Edge for Private Cloud 4.17.01 版
TLS (傳輸層安全標準,前身為 SSL) 是標準安全技術,可確保 API 環境中的訊息安全加密,包括應用程式、Apigee Edge 和後端服務。
無論管理 API 的環境設定為何 (例如是否在管理 API 前端使用 Proxy、路由器和/或負載平衡器),Edge 都能讓您啟用及設定 TLS,讓您在內部部署的 API 管理環境中控管訊息加密作業。
對於 Edge Private Cloud 的內部部署,您可以透過以下幾種方式設定 TLS:
- 路由器和訊息處理工具之間
- 如要存取 Edge 管理 API
- 如要存取 Edge 管理 UI
- 應用程式存取您的 API
- 從 Edge 存取後端服務
以下說明如何為前三個項目設定 TLS。這些程序均假設您已建立一個包含 TLS 認證和私密金鑰的 JKS 檔案。
如要設定 TLS,讓應用程式可以存取您的 API,請參閱上方第 4 點「設定私有雲端的 API TLS 存取權」。如要設定 TLS,以便 Edge 存取後端服務,請參閱上方的 #5 項說明,瞭解如何設定 Edge 到後端的 TLS (Cloud 和私有雲)。
如需 Edge 上 TLS 設定的完整總覽,請參閱「TLS/SSL」。
建立 JKS 檔案
您可以將 KeyStore 表示為 JKS 檔案,其中 KeyStore 包含 TLS 憑證和私密金鑰。您可以透過多種方式建立 JKS 檔案,其中一種方式是使用 openssl 和 keytool 公用程式。
舉例來說,您有一個名為 server.pem 的 PEM 檔案,其中包含 TLS 憑證,以及一個名為 private_key.pem 的 PEM 檔案,其中包含私密金鑰。使用下列指令建立 PKCS12 檔案:
> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12
您必須輸入金鑰的通關密語 (如果有) 和匯出密碼。這個指令會建立名為 keystore.pkcs12 的 PKCS12 檔案。
請使用以下指令將其轉換為名為 keystore.jks 的 JKS 檔案:
> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks
系統會提示您輸入 JKS 檔案的新密碼,以及 PKCS12 檔案現有的密碼。請務必使用與 PKCS12 檔案相同的密碼來設定 JKS 檔案。
如果您必須指定金鑰別名 (例如在路由器和訊息處理器之間設定 TLS 時),請在 openssl 指令中加入「-name」選項:
> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest
然後在 keytool 指令中加入「-alias」選項:
> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest
產生經過模糊處理的密碼
Edge TLS 設定程序的部分內容需要您在設定檔中輸入經過模糊處理的密碼。與輸入明文密碼相比,使用經過模糊處理的密碼可提供更安全的替代方案。
您可以在 Edge Management Server 上使用下列指令產生經過模糊處理的密碼:
> /opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password
輸入新密碼,然後在提示時確認密碼。基於安全考量,系統不會顯示密碼文字。這個指令會以以下格式傳回密碼:
OBF:58fh40h61svy156789gk1saj MD5:902fobg9d80e6043b394cb2314e9c6
設定 TLS 時,請使用 OBF 指定的模糊處理密碼。
詳情請參閱這篇文章。