Configura TLS/SSL para las instalaciones perimetrales locales

Edge for Private Cloud v. 4.17.05

TLS (seguridad de la capa de transporte, cuyo predecesor es SSL) es la tecnología de seguridad estándar para garantizar una mensajería encriptada y segura en todo tu entorno de API, desde apps hasta Apigee Conexión con los servicios de backend

Sin importar la configuración del entorno para tu API de administración, por ejemplo, si estás usando un proxy, un router o un balanceador de cargas frente a tu API de administración (o ) Edge te permite habilitar y configurar TLS, lo que te da control sobre la encriptación de mensajes en en tu entorno de administración de APIs local.

Para una instalación local de la nube privada perimetral, existen varios lugares en los que puedes configura TLS:

  1. Entre un router y un procesador de mensajes
  2. Para acceder a la API de Edge Management
  3. Para acceder a la IU de administración perimetral
  4. Para acceder desde una app a tus APIs
  5. Para el acceso desde Edge a tus servicios de backend

A continuación, se describe la configuración de TLS para los primeros tres elementos. Todos estos procedimientos suponen que creaste un archivo JKS que contiene tu certificación TLS y tu clave privada.

Si deseas configurar TLS para el acceso desde una aplicación a tus APIs, consulta la sección 4, consulta Cómo configurar el acceso de TLS a una API para la nube privada. Si quieres configurar TLS para el acceso desde Edge a tus servicios de backend, n.o 5 arriba, consulta Cómo configurar TLS desde el perímetro hasta el backend (nube y nube privada).

Para obtener una descripción general completa de la configuración de TLS en Edge, consulta TLS/SSL.

Crea un archivo JKS

Representas el almacén de claves como un archivo JKS, en el que el almacén de claves contiene tu certificado TLS y privada. Hay varias formas de crear un archivo JKS, pero una de ellas es usar openssl y utilidades de keytool.

Por ejemplo, si tienes un archivo PEM llamado server.pem que contiene el certificado TLS y un archivo PEM con el nombre private_key.pem que contenga tu clave privada. Usa los siguientes comandos para Crea el archivo PKCS12:

> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12

Debes ingresar la frase de contraseña para la clave, si tiene una, y una contraseña de exportación. Esta crea un archivo PKCS12 llamado keystore.pkcs12.

Usa el siguiente comando para convertirlo en un archivo JKS llamado keystore.jks:

> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

Se te solicitará que ingreses la contraseña nueva para el archivo JKS y la contraseña existente del archivo Archivo PKCS12. Asegúrate de usar la misma contraseña para el archivo JKS que usaste para el archivo PKCS12.

Si debes especificar un alias de clave, como cuando configuras TLS entre un router y un mensaje Procesador, incluye “-name” al comando openssl:

>  openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest

Luego, incluye el alias “-alias” al comando keytool:

> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest

Genera una contraseña ofuscada

Algunas partes del procedimiento de configuración de TLS de Edge requieren que ingreses una contraseña ofuscada en un archivo de configuración. Una contraseña ofuscada es una alternativa más segura que ingresar tu contraseña en texto sin formato.

Para generar una contraseña ofuscada, usa el siguiente comando en la administración perimetral Servidor:

> /opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password

Ingresa la nueva contraseña y confírmala cuando se te solicite. Por motivos de seguridad, el texto de la contraseña no se muestra. Este comando devuelve la contraseña con el siguiente formato:

OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

Usa la contraseña ofuscada que especifica OBF cuando configures TLS.

Para obtener más información, consulta esta artículo.