Private Cloud v. 4.17.09 版本
TLS (傳輸層安全標準,其前身是 SSL) 是標準的安全性技術 可確保整個 API 環境中 (從應用程式和 Apigee) 的訊息獲得安全的加密訊息 後端服務
無論您使用 Management API 的環境設定為何,例如 在 Management API 前方使用 Proxy、路由器和/或負載平衡器 (或 not)—Edge 可讓您啟用及設定 TLS,讓您能控制在 內部部署 API 管理環境
如想在地端部署環境中安裝 Edge Private Cloud,您有幾個位置可以 設定 TLS:
- 在路由器與訊息處理器之間
- 用於存取 Edge Management API
- 用於存取 Edge Management UI
- 讓應用程式存取 API
- 從 Edge 存取後端服務
以下說明如何為前三個項目設定 TLS。上述所有程序都是假設 您必須建立包含 TLS 憑證和私密金鑰的 JKS 檔案。
如要設定 TLS,以從應用程式存取 API,請參閱設定 API 的 TLS 存取權 私有雲。如要設定傳輸層安全標準 (TLS) 以從 Edge 存取後端服務,請 #5 請參閱設定 TLS 從邊緣到後端 (Cloud 與私有雲)
如需在 Edge 上設定 TLS 的完整總覽,請參閱 TLS/SSL。
建立 JKS 檔案
您以 JKS 檔案格式代表 KeyStore,其中 KeyStore 包含您的 TLS 憑證。 私密金鑰建立 JKS 檔案的方式有很多種,但其中一種方法是使用 opensl,並 keytool 公用程式。
舉例來說,有一個名為 server.pem 的 PEM 檔案,內含您的 TLS 憑證 以及名為 private_key.pem 的 PEM 檔案,其中含有您的私密金鑰。使用以下指令完成 建立 PKCS12 檔案:
> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12
你必須輸入金鑰的通關密語 (如果有的話),以及匯出密碼。這個 指令會建立名為 keystore.pkcs12 的 PKCS12 檔案。
請使用下列指令,將其轉換為名為 keystore.jks 的 JKS 檔案:
> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks
系統會提示您輸入 JKS 檔案的新密碼及 PKCS12 檔。務必使用與 PKCS12 檔案。
如需指定金鑰別名,例如在路由器和郵件之間設定 TLS 時 處理器,請加入「-name」 opensl 指令的選項:
> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest
請加入「-alias」 keytool 指令的選項:
> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest
產生經過模糊處理的密碼
使用 Edge TLS 設定程序的某些部分時,您必須輸入經過模糊處理的密碼 設定檔經過模糊處理的密碼是更安全的密碼 以純文字格式
您可以在 Edge Management 上使用以下指令產生經模糊化處理的密碼 伺服器:
> /opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password
輸入新密碼,然後在系統提示時確認。基於安全理由, 但不會顯示密碼這個指令會以下列格式傳回密碼:
OBF:58fh40h61svy156789gk1saj MD5:902fobg9d80e6043b394cb2314e9c6
設定 TLS 時,請使用 OBF 指定的經模糊處理密碼。
詳情請參閱此 一文。