Edge สำหรับ Private Cloud เวอร์ชัน 4.17.05
TLS (Transport Layer Security ซึ่งมีรุ่นก่อนหน้าคือ SSL) เป็นเทคโนโลยีการรักษาความปลอดภัยมาตรฐานที่ช่วยรับรองข้อความที่ปลอดภัยและเข้ารหัสในสภาพแวดล้อม API ของคุณ ตั้งแต่แอปไปจนถึง Apigee Edge ไปจนถึงบริการแบ็กเอนด์ของคุณ
ไม่ว่าจะกำหนดค่าสภาพแวดล้อมสำหรับ API การจัดการอย่างไร เช่น คุณจะใช้พร็อกซี เราเตอร์ และ/หรือตัวจัดสรรภาระงานด้านหน้า API การจัดการ (หรือไม่ใช้) Edge จะให้คุณเปิดใช้และกำหนดค่า TLS เพื่อให้ควบคุมการเข้ารหัสข้อความในสภาพแวดล้อมการจัดการ API ภายในองค์กรได้
สำหรับการติดตั้ง Edge Private Cloud ภายในองค์กร คุณจะกำหนดค่า TLS ได้จากหลายตำแหน่ง ดังนี้
- ระหว่างเราเตอร์และเครื่องมือประมวลผลข้อความ
- สำหรับการเข้าถึง Edge Management API
- สำหรับการเข้าถึง UI การจัดการ Edge
- สำหรับการเข้าถึง API จากแอป
- เพื่อการเข้าถึงบริการแบ็กเอนด์จาก Edge
การกำหนดค่า TLS สำหรับ 3 รายการแรกมีคำอธิบายอยู่ด้านล่าง กระบวนการทั้งหมดนี้จะถือว่าคุณได้สร้างไฟล์ JKS ที่มีการรับรอง TLS และคีย์ส่วนตัวแล้ว
หากต้องการกำหนดค่า TLS สำหรับการเข้าถึงจากแอปไปยัง API #4 ด้านบน โปรดดูการกำหนดค่าการเข้าถึง TLS ไปยัง API สำหรับ Private Cloud หากต้องการกำหนดค่า TLS เพื่อเข้าถึงบริการแบ็กเอนด์ #5 ด้านบน โปรดดูการกำหนดค่า TLS จาก Edge ไปยังแบ็กเอนด์ (Cloud และ Private Cloud)
โปรดดูภาพรวมทั้งหมดของการกำหนดค่า TLS ใน Edge ที่หัวข้อ TLS/SSL
การสร้างไฟล์ JKS
คุณเป็นตัวแทนของคีย์สโตร์เป็นไฟล์ JKS ซึ่งคีย์สโตร์มีใบรับรอง TLS และคีย์ส่วนตัว การสร้างไฟล์ JKS ทำได้หลายวิธี แต่วิธีหนึ่งคือการใช้ยูทิลิตี openssl และ keytool
เช่น คุณมีไฟล์ PEM ชื่อ server.pem ที่มีใบรับรอง TLS และไฟล์ PEM ชื่อ Private_key.pem ที่มีคีย์ส่วนตัว ใช้คำสั่งต่อไปนี้เพื่อสร้างไฟล์ PKCS12
> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12
คุณต้องป้อนรหัสผ่านสำหรับคีย์ (หากมี) และรหัสผ่านการส่งออก คำสั่งนี้จะสร้างไฟล์ PKCS12 ชื่อ keystore.pkcs12
ใช้คำสั่งต่อไปนี้เพื่อแปลงเป็นไฟล์ JKS ชื่อ keystore.jks:
> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks
ระบบจะแจ้งให้ป้อนรหัสผ่านใหม่ของไฟล์ JKS และรหัสผ่านที่มีอยู่สำหรับไฟล์ PKCS12 ตรวจสอบว่าคุณใช้รหัสผ่านเดียวกันกับไฟล์ JKS ที่ใช้กับไฟล์ PKCS12
หากคุณต้องระบุชื่อแทนคีย์ เช่น เมื่อกำหนดค่า TLS ระหว่างเราเตอร์กับตัวประมวลผลข้อความ ให้ใส่ตัวเลือก "-name" ในคำสั่ง openssl
> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest
จากนั้นใส่ตัวเลือก "-alias" ในคำสั่ง keytool ดังนี้
> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest
การสร้างรหัสผ่านที่สร้างความสับสน
ขั้นตอนการกำหนดค่า Edge TLS บางส่วนกำหนดให้คุณต้องป้อนรหัสผ่านที่สร้างความสับสนในไฟล์การกำหนดค่า รหัสผ่านที่สร้างความสับสนคือทางเลือกที่ปลอดภัยกว่าในการป้อนรหัสผ่านเป็นข้อความธรรมดา
คุณสร้างรหัสผ่านที่สร้างความสับสนได้โดยใช้คำสั่งต่อไปนี้ใน Edge Management Server
> /opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password
ป้อนรหัสผ่านใหม่ จากนั้นยืนยันรหัสผ่านเมื่อมีข้อความแจ้ง ข้อความของรหัสผ่านจะไม่ปรากฏเพื่อความปลอดภัย คำสั่งนี้จะส่งคืนรหัสผ่านในรูปแบบ:
OBF:58fh40h61svy156789gk1saj MD5:902fobg9d80e6043b394cb2314e9c6
ใช้รหัสผ่านที่สร้างความสับสนซึ่ง OBF กำหนดเมื่อกำหนดค่า TLS
ดูข้อมูลเพิ่มเติมได้ในบทความนี้