オンプレミスの Edge での TLS/SSL の構成

Edge for Private Cloud v. 4.17.09

TLS(Transport Layer Security、前身は SSL)は標準的なセキュリティ テクノロジー アプリから Apigee まで、API 環境全体で暗号化された安全なメッセージングを確保できます。 エッジからバックエンド サービスに接続します。

たとえば、管理 API の環境構成に関係なく、 管理 API の前にプロキシ、ルーター、ロードバランサを配置している場合 Edge では、TLS を有効にして構成できます。これにより、 API 管理環境で実行できます

Edge Private Cloud をオンプレミスにインストールする場合、 TLS を構成します。

  1. Router と Message Processor の間
  2. Edge Management API へのアクセス
  3. Edge 管理 UI へのアクセス
  4. アプリから API へのアクセス
  5. Edge からバックエンド サービスへのアクセス

最初の 3 つの項目に対する TLS の構成については、以下で説明します。これらの手順はすべて、 TLS 証明書と秘密鍵を含む JKS ファイルが作成されていること。

アプリから API へのアクセスに TLS を構成するには、上記 4 の API への TLS アクセスの構成をご覧ください。 (プライベート クラウド向け)をご覧ください。Edge からバックエンド サービスへのアクセス用に TLS を構成するには、#5 詳細については、TLS の構成 Edge からバックエンド(Cloud と Private Cloud)

Edge での TLS 構成の概要については、TLS/SSL をご覧ください。

JKS ファイルの作成

キーストアを JKS ファイルとして表します。このキーストアには TLS 証明書と されます。JKS ファイルを作成するにはいくつかの方法がありますが、openssl と ユーティリティです。

たとえば、TLS 証明書を含む server.pem という名前の PEM ファイルがあるとします。 秘密鍵を含む private_key.pem という名前の PEM ファイルが必要です。以下のコマンドを使用して、 PKCS12 ファイルを作成します。

> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12

鍵のパスフレーズ(設定されている場合)とエクスポート パスワードを入力する必要があります。この コマンドを実行すると、keystore.pkcs12 という名前の PKCS12 ファイルが作成されます。

次のコマンドを使用して、keystore.jks という名前の JKS ファイルに変換します。

> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

JKS ファイルの新しいパスワードを入力し、JKS ファイルの既存のパスワードも入力するよう求められます。 PKCS12 ファイルです。JKS ファイルには、 PKCS12 ファイルです。

Router と Message の間で TLS を構成する場合など、キーエイリアスを指定する必要がある場合 プロセッサ(-name を含めます) オプションを次のように追加します。

>  openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest

次に "-alias" を追加します。 keytool オプション command:

> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest

難読化されたパスワードの生成

Edge TLS 構成手順の一部で、難読化されたパスワードを入力する必要がある 記述する必要があります。難読化されたパスワードは、認証情報を 暗号化します。

Edge 管理ページで次のコマンドを使用すると、難読化されたパスワードを生成できます。 サーバー:

> /opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password

新しいパスワードを入力し、プロンプトで確認します。セキュリティ上の理由から、 パスワードは表示されません。このコマンドは、パスワードを次の形式で返します。

OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

TLS の設定時に、OBF で指定された難読化されたパスワードを使用します。

詳しくは、こちらの 記事をご覧ください。