設定邊緣端的傳輸層安全標準 (TLS)/SSL

私有雲的邊緣 4.17.05 版

傳輸層安全標準 (TLS) 是標準安全性技術,可確保 API 環境從應用程式、Apigee Edge 和後端服務之間,以安全的方式加密訊息傳遞。

無論管理 API 的環境設定為何 (例如,是否使用 Proxy、路由器和/或 Management API 前方的負載平衡器),Edge 可讓您啟用及設定 TLS,以便控管地端部署 API 管理環境中的郵件加密作業。

如要以地端部署的方式安裝 Edge Private Cloud,您可以在以下幾個地方設定 TLS:

  1. 在路由器與訊息處理器之間
  2. 存取 Edge Management API
  3. 存取 Edge 管理 UI
  4. 從應用程式存取 API
  5. 從 Edge 存取後端服務

以下將說明如何為前三個項目設定 TLS。上述所有程序都假設您已建立內含 TLS 憑證和私密金鑰的 JKS 檔案。

如要設定從應用程式存取 API 的 TLS,請參閱上方的「為私有雲設定 API 的 TLS 存取權」一節。如要設定從 Edge 存取後端服務的 TLS,請參閱上方的設定從 Edge 到後端的 TLS (Cloud 和 Private Cloud)

如需在 Edge 上設定 TLS 的完整說明,請參閱 TLS/SSL

建立 JKS 檔案

您將 KeyStore 表示為 JKS 檔案,而 KeyStore 則會包含您的 TLS 憑證和私密金鑰。建立 JKS 檔案的方法有很多種,但其中一種是使用 openssl 和 keytool 公用程式。

舉例來說,您有一個名為 server.pem 的 PEM 檔案,其中包含傳輸層安全標準 (TLS) 憑證,以及名為 private_key.pem 且包含私密金鑰的 PEM 檔案。請使用下列指令建立 PKCS12 檔案:

> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12

您必須為金鑰輸入通關密語 (如有),以及匯出密碼。這個指令會建立名為 keystore.pkcs12 的 PKCS12 檔案。

使用下列指令將其轉換為名為 keystore.jks 的 JKS 檔案:

> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

系統會提示您輸入 JKS 檔案的新密碼,以及 PKCS12 檔案的現有密碼。請務必使用與 PKCS12 檔案相同的 JKS 檔案密碼。

如需指定金鑰別名 (例如在路由器和訊息處理器之間設定 TLS 時),請在 openssl 指令中加入「-name"」選項:

>  openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest

然後在 keytool 指令中加入「-alias」選項:

> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest

產生經過模糊處理的密碼

Edge TLS 設定程序的某些部分會要求您在設定檔中輸入經過模糊處理的密碼。使用經過模糊處理的密碼能以純文字格式輸入密碼,較為安全。

您可以在 Edge Management Server 上使用下列指令,產生經過模糊處理的密碼:

> /opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password

輸入新密碼,然後在系統提示時確認。基於安全考量,系統不會顯示密碼的文字。這個指令會以下列格式傳回密碼:

OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

設定 TLS 時,請使用 OBF 指定的模糊化密碼。

詳情請參閱這篇文章