Edge for Private Cloud גרסה 4.17.09
TLS (Transport Layer Security, שקודמו הוא SSL) היא טכנולוגיית האבטחה הסטנדרטית כדי להבטיח מסרים מאובטחים ומוצפנים בכל סביבת ה-API, מאפליקציות ל-Apigee מעבר לשירותים לקצה העורפי.
ללא קשר להגדרת הסביבה עבור ממשק ה-API לניהול - לדוגמה, אתם משתמשים בשרת proxy, בנתב או במאזן עומסים מול ה-Management API (או לא) – Edge מאפשר להפעיל ולהגדיר TLS, וכך לשלוט בהצפנת ההודעות בסביבת ניהול ה-API בארגון.
בהתקנה מקומית של Edge Private Cloud, יש כמה מקומות שבהם אפשר הגדרת TLS:
- בין נתב למעבד הודעות
- גישה ל-Edge management API
- גישה לממשק המשתמש של ניהול Edge
- גישה מאפליקציה לממשקי ה-API
- לגישה מ-Edge לשירותים לקצה העורפי
הגדרת TLS לשלושת הפריטים הראשונים מתוארת בהמשך. כל הנהלים האלה מניחים שיצרתם קובץ JKS שמכיל את אישור ה-TLS ואת המפתח הפרטי שלכם.
כדי להגדיר TLS לגישה מאפליקציה לממשקי ה-API שלכם, #4 למעלה. ראו הגדרת גישת TLS ל-API לענן הפרטי. כדי להגדיר TLS לגישה מ-Edge לשירותים לקצה העורפי, #5 למעלה, ראו הגדרת TLS (אבטחת שכבת התעבורה) מ-Edge לקצה העורפי (Cloud ו-Private Cloud).
לסקירה כללית מלאה של הגדרת TLS ב-Edge, ראו TLS/SSL.
יצירת קובץ JKS
אתם מייצגים את מאגר המפתחות כקובץ JKS, שבו מאגר המפתחות מכיל את אישור ה-TLS (אבטחת שכבת התעבורה) שלכם מפתח פרטי. יש כמה דרכים ליצור קובץ JKS, אבל דרך אחת היא להשתמש ב-Opensl וב של כלי המקשים.
לדוגמה, יש לכם קובץ PEM בשם server.pem שמכיל את אישור ה-TLS (אבטחת שכבת התעבורה) וקובץ PEM בשם private_key.pem שמכיל את המפתח הפרטי שלך. משתמשים בפקודות הבאות כדי יוצרים את קובץ ה-PKCS12:
> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12
עליך להזין את ביטוי הסיסמה של המפתח, אם יש לו, ואת סיסמת הייצוא. הזה הפקודה יוצרת קובץ PKCS12 בשם keystore.pkcs12.
משתמשים בפקודה הבאה כדי להמיר אותו לקובץ JKS בשם keystore.jks:
> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks
תתבקשו להזין סיסמה חדשה לקובץ ה-JKS ואת הסיסמה הקיימת של קובץ PKCS12. חשוב לוודא שאתם משתמשים באותה סיסמה לקובץ ה-JKS שבה השתמשתם עבור קובץ PKCS12.
אם צריך לציין כינוי מפתח, למשל כשמגדירים TLS בין נתב להודעה מעבד, יש לכלול את "-name" לפקודת opensl:
> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest
ואז כוללים את '-alias' האפשרות לפקודה keytool:
> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest
יצירת סיסמה מעורפלת
בחלקים מסוימים בהליך ההגדרה של TLS (אבטחת שכבת התעבורה) יש להזין סיסמה מעורפלת בקובץ תצורה. סיסמה מעורפלת היא חלופה מאובטחת יותר להזנה של בפורמט של טקסט פשוט.
אפשר ליצור סיסמה מעורפלת באמצעות הפקודה הבאה ב-Edge Management שרת:
> /opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password
מזינים את הסיסמה החדשה ומאשרים אותה כשמוצגת הבקשה. מטעמי אבטחה, הטקסט של הסיסמה לא מוצגת. הפקודה תחזיר את הסיסמה:
OBF:58fh40h61svy156789gk1saj MD5:902fobg9d80e6043b394cb2314e9c6
שימוש בסיסמה המעורפלת שצוינה על ידי OBF כשמגדירים TLS.
למידע נוסף במאמר הזה.