הגדרה של TLS/SSL לנכסי Edge בשטח

Edge for Private Cloud גרסה 4.17.09

TLS (Transport Layer Security, שקודמו הוא SSL) היא טכנולוגיית האבטחה הסטנדרטית כדי להבטיח מסרים מאובטחים ומוצפנים בכל סביבת ה-API, מאפליקציות ל-Apigee מעבר לשירותים לקצה העורפי.

ללא קשר להגדרת הסביבה עבור ממשק ה-API לניהול - לדוגמה, אתם משתמשים בשרת proxy, בנתב או במאזן עומסים מול ה-Management API (או לא) – Edge מאפשר להפעיל ולהגדיר TLS, וכך לשלוט בהצפנת ההודעות בסביבת ניהול ה-API בארגון.

בהתקנה מקומית של Edge Private Cloud, יש כמה מקומות שבהם אפשר הגדרת TLS:

  1. בין נתב למעבד הודעות
  2. גישה ל-Edge management API
  3. גישה לממשק המשתמש של ניהול Edge
  4. גישה מאפליקציה לממשקי ה-API
  5. לגישה מ-Edge לשירותים לקצה העורפי

הגדרת TLS לשלושת הפריטים הראשונים מתוארת בהמשך. כל הנהלים האלה מניחים שיצרתם קובץ JKS שמכיל את אישור ה-TLS ואת המפתח הפרטי שלכם.

כדי להגדיר TLS לגישה מאפליקציה לממשקי ה-API שלכם, #4 למעלה. ראו הגדרת גישת TLS ל-API לענן הפרטי. כדי להגדיר TLS לגישה מ-Edge לשירותים לקצה העורפי, #5 למעלה, ראו הגדרת TLS (אבטחת שכבת התעבורה) מ-Edge לקצה העורפי (Cloud ו-Private Cloud).

לסקירה כללית מלאה של הגדרת TLS ב-Edge, ראו TLS/SSL.

יצירת קובץ JKS

אתם מייצגים את מאגר המפתחות כקובץ JKS, שבו מאגר המפתחות מכיל את אישור ה-TLS (אבטחת שכבת התעבורה) שלכם מפתח פרטי. יש כמה דרכים ליצור קובץ JKS, אבל דרך אחת היא להשתמש ב-Opensl וב של כלי המקשים.

לדוגמה, יש לכם קובץ PEM בשם server.pem שמכיל את אישור ה-TLS (אבטחת שכבת התעבורה) וקובץ PEM בשם private_key.pem שמכיל את המפתח הפרטי שלך. משתמשים בפקודות הבאות כדי יוצרים את קובץ ה-PKCS12:

> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12

עליך להזין את ביטוי הסיסמה של המפתח, אם יש לו, ואת סיסמת הייצוא. הזה הפקודה יוצרת קובץ PKCS12 בשם keystore.pkcs12.

משתמשים בפקודה הבאה כדי להמיר אותו לקובץ JKS בשם keystore.jks:

> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

תתבקשו להזין סיסמה חדשה לקובץ ה-JKS ואת הסיסמה הקיימת של קובץ PKCS12. חשוב לוודא שאתם משתמשים באותה סיסמה לקובץ ה-JKS שבה השתמשתם עבור קובץ PKCS12.

אם צריך לציין כינוי מפתח, למשל כשמגדירים TLS בין נתב להודעה מעבד, יש לכלול את "-name" לפקודת opensl:

>  openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest

ואז כוללים את '-alias' האפשרות לפקודה keytool:

> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest

יצירת סיסמה מעורפלת

בחלקים מסוימים בהליך ההגדרה של TLS (אבטחת שכבת התעבורה) יש להזין סיסמה מעורפלת בקובץ תצורה. סיסמה מעורפלת היא חלופה מאובטחת יותר להזנה של בפורמט של טקסט פשוט.

אפשר ליצור סיסמה מעורפלת באמצעות הפקודה הבאה ב-Edge Management שרת:

> /opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password

מזינים את הסיסמה החדשה ומאשרים אותה כשמוצגת הבקשה. מטעמי אבטחה, הטקסט של הסיסמה לא מוצגת. הפקודה תחזיר את הסיסמה:

OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

שימוש בסיסמה המעורפלת שצוינה על ידי OBF כשמגדירים TLS.

למידע נוסף במאמר הזה.