Uç noktadaki tesisler için TLS/SSL yapılandırma

Edge for Private Cloud v. 4.17.05

TLS (önceki adı SSL olan Taşıma Katmanı Güvenliği), uygulamalardan Apigee Edge'e ve arka uç hizmetlerinize kadar API ortamınızın tamamında güvenli ve şifrelenmiş mesajlaşma sağlayan standart güvenlik teknolojisidir.

Edge, Management API'nizin önünde bir proxy, yönlendirici ve/veya yük dengeleyici kullanıp kullanmadığınız gibi yönetim API'nizin ortam yapılandırmasından bağımsız olarak TLS'yi etkinleştirmenize ve yapılandırmanıza olanak tanıyarak şirket içi API yönetimi ortamınızda mesaj şifrelemesini kontrol edebilmenizi sağlar.

Edge Private Cloud'un şirket içi kurulumu için TLS'yi yapılandırabileceğiniz birkaç yer vardır:

  1. Yönlendirici ile Mesaj İşleyici arasında
  2. Edge Management API'ye erişim için
  3. Edge yönetim kullanıcı arayüzüne erişim için
  4. Bir uygulamadan API'lerinize erişim için
  5. Edge'den arka uç hizmetlerinize erişim için

İlk üç öğe için TLS'nin yapılandırılması aşağıda açıklanmıştır. Tüm bu prosedürlerde, TLS sertifikanızı ve özel anahtarınızı içeren bir JKS dosyası oluşturduğunuz varsayılmaktadır.

TLS'yi bir uygulamadan API'lerinize erişecek şekilde yapılandırmak için yukarıdaki 4 numaralı maddede Private Cloud için bir API'ye TLS erişimini yapılandırma bölümüne bakın. Edge'den arka uç hizmetlerinize erişim için TLS'yi yapılandırmak üzere yukarıdaki #5. bölüme bakın. Uçtan arka uca TLS'yi yapılandırma (Cloud ve Private Cloud) bölümüne bakın.

Edge'de TLS'yi yapılandırmaya ilişkin kapsamlı bir genel bakış için TLS/SSL konusuna bakın.

JKS dosyası oluşturma

Anahtar deposunu bir JKS dosyası olarak temsil edersiniz. Burada anahtar deposu, TLS sertifikanızı ve özel anahtarınızı içerir. JKS dosyası oluşturmanın birkaç yolu vardır ancak bunların bir yolu da Opensl ve keytool yardımcı programlarını kullanmaktır.

Örneğin, TLS sertifikanızı içeren server.pem adlı bir PEM dosyanız ve özel anahtarınızı içeren private_key.pem adlı bir PEM dosyanız olduğunu varsayalım. PKCS12 dosyasını oluşturmak için aşağıdaki komutları kullanın:

> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12

Anahtarın parolasını (varsa) ve dışa aktarma şifresini girmeniz gerekir. Bu komut, keystore.pkcs12 adlı bir PKCS12 dosyası oluşturur.

Dosyayı keystore.jks adlı bir JKS dosyasına dönüştürmek için aşağıdaki komutu kullanın:

> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

JKS dosyası için yeni şifreyi ve PKCS12 dosyası için mevcut şifreyi girmeniz istenir. JKS dosyası için PKCS12 dosyasıyla aynı şifreyi kullandığınızdan emin olun.

Bir Yönlendirici ve Mesaj İşleyici arasında TLS'yi yapılandırırken olduğu gibi bir anahtar takma adı belirtmeniz gerekiyorsa Opensl komutuna "-name" seçeneğini ekleyin:

>  openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest

Ardından keytool komutuna "-alias" seçeneğini ekleyin:

> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest

Karartılmış şifre oluşturma

Edge TLS yapılandırma prosedürünün bazı bölümleri, bir yapılandırma dosyasına kodu karartılmış bir şifre girmenizi gerektirir. Karartılmış şifre, şifrenizi düz metin olarak girmeye kıyasla daha güvenli bir alternatiftir.

Uç Yönetim Sunucusu'nda aşağıdaki komutu kullanarak kodu karartılmış şifre oluşturabilirsiniz:

> /opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password

Yeni şifreyi girin ve komut isteminde onaylayın. Güvenlik nedeniyle şifre metni gösterilmez. Bu komut, şifreyi şu biçimde döndürür:

OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

TLS'yi yapılandırırken OBF tarafından belirtilen kodu karartılmış şifreyi kullanın.

Daha fazla bilgi için bu makaleyi inceleyin.