הגדרה של TLS/SSL לנכסי Edge בשטח

Edge for Private Cloud v. 4.17.09

TLS (אבטחת שכבת התעבורה, שהקודמת שלהן היא SSL), היא טכנולוגיית האבטחה הרגילה שבאמצעותה אפשר להבטיח שההודעות מאובטחות ומוצפנות בכל סביבת ה-API, מאפליקציות ועד Apigee Edge ועד לשירותים לקצה העורפי.

בלי קשר להגדרת הסביבה בממשק ה-API לניהול – לדוגמה, אם אתם משתמשים בשרת proxy, בנתב או במאזן עומסים, לפני ה-API לניהול (או לא), ב-Edge אפשר להפעיל ולהגדיר את ה-TLS. תהיה לכם שליטה על הצפנת ההודעות בסביבת הניהול המקומית של ה-API.

בהתקנה מקומית של Cloud Edge יש כמה מקומות שבהם אפשר להגדיר TLS:

  1. בין נתב למעבד הודעות
  2. גישה ל-API לניהול Edge
  3. גישה לממשק המשתמש לניהול Edge
  4. גישה מאפליקציה לממשקי ה-API
  5. גישה מ-Edge לקצה העורפי

בהמשך מוסבר איך מגדירים TLS לשלושת הפריטים הראשונים. כל התהליכים האלה מניחים שיצרתם קובץ JKS שמכיל את אישור ה-TLS (אבטחת שכבת התעבורה) והמפתח הפרטי שלכם.

כדי להגדיר TLS (אבטחת שכבת התעבורה) מאפליקציה לאפליקציה לממשקי ה-API שמופיעים למעלה, קראו את המאמר הגדרת גישת TLS ל-API לענן הפרטי. במאמר הגדרת TLS (אבטחת שכבת התעבורה) מ-Edge לקצה העורפי (ענן וענן פרטי) מוסבר איך להגדיר TLS.

סקירה מלאה של הגדרת TLS ב-Edge זמינה ב-TLS/SSL.

יצירת קובץ JKS

אתם מייצגים את מאגר המפתחות כקובץ JKS, שבו מאגר המפתחות מכיל את אישור ה-TLS (אבטחת שכבת התעבורה) ואת המפתח הפרטי שלכם. יש כמה דרכים ליצור קובץ JKS, אבל דרך אחת היא להשתמש בכלים של Opensl ובכלים למפתחות הצפנה.

לדוגמה, יש לכם קובץ PEM בשם server.pem שמכיל את אישור ה-TLS שלכם, וקובץ PEM בשם private_key.pem שמכיל את המפתח הפרטי שלכם. כדי ליצור את קובץ ה-PKCS12, צריך להשתמש בפקודות הבאות:

> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12

עליך להזין את ביטוי הסיסמה למפתח, אם הוא קיים, ואת סיסמת הייצוא. הפקודה הזו יוצרת קובץ PKCS12 בשם keystore.pkcs12.

כדי להמיר אותו לקובץ JKS בשם keystore.jks, השתמשו בפקודה הבאה:

> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

תתבקשו להזין סיסמה חדשה לקובץ JKS ואת הסיסמה הקיימת לקובץ PKCS12. חשוב לוודא שמשתמשים באותה סיסמה לקובץ ה-JKS שבו השתמשתם בקובץ PKCS12.

אם צריך לציין כינוי של מפתח, כמו למשל, בעת הגדרת TLS בין נתב לבין מעבד הודעות, יש לכלול את האפשרות name בפקודה opensl:

>  openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest

לאחר מכן, הוסיפו את האפשרות "-alias" לפקודה keytool:

> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest

יצירת סיסמה מעורפלת

בחלק מההליכים של הגדרת Edge TLS צריך להזין סיסמה מטושטשת בקובץ תצורה. סיסמה מעורפלת היא חלופה מאובטחת יותר להזנת הסיסמה בטקסט פשוט.

אפשר ליצור סיסמה מעורפלת באמצעות הפקודה הבאה בשרת Edge Management:

> /opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password

מזינים את הסיסמה החדשה ומאשרים אותה בהודעה שמופיעה. מטעמי אבטחה, הטקסט של הסיסמה לא מוצג. הפקודה הזו מחזירה את הסיסמה בפורמט הבא:

OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

יש להשתמש בסיסמה המעורפלת שצוינה על ידי OBF בעת הגדרת TLS (אבטחת שכבת התעבורה).

מידע נוסף זמין במאמר הזה.