Configurazione di TLS/SSL per Edge on-premise

Edge per Private Cloud v4.18.01

TLS (Transport Layer Security, il cui predecessore è SSL) è la tecnologia di sicurezza standard per garantire una messaggistica sicura e criptata in tutto l'ambiente API, dalle app ad Apigee per accedere ai tuoi servizi di backend.

Indipendentemente dalla configurazione dell'ambiente per l'API di gestione, ad esempio se stai utilizzando un proxy, un router e/o un bilanciatore del carico per l'API di gestione (o non)— Edge consente di abilitare e configurare TLS, fornendoti il controllo sulla crittografia dei messaggi l'ambiente on-premise di gestione delle API.

Per un'installazione on-premise di Edge Private Cloud, esistono diverse posizioni in cui configurare TLS:

  1. Tra un router e un processore di messaggi
  2. Per accedere all'API di gestione perimetrale
  3. Per accedere all'interfaccia utente di gestione perimetrale
  4. Per accedere da un'app alle tue API
  5. Per l'accesso da Edge ai tuoi servizi di backend

La configurazione di TLS per i primi tre elementi è descritta di seguito. Tutte queste procedure presuppongono di aver creato un file JKS contenente la certificazione TLS e la chiave privata.

Per configurare il protocollo TLS per l'accesso da un'app alle tue API, vedi il paragrafo 4 riportato sopra, vedi Configurare l'accesso TLS a un'API. per il cloud privato. Per configurare TLS per l'accesso da Edge ai tuoi servizi di backend, n. 5 qui sopra, vedi Configurare TLS da perimetro al backend (cloud e cloud privato).

Per una panoramica completa della configurazione di TLS su Edge, vedi TLS/SSL.

Creazione di un file JKS

Rappresenta l'archivio chiavi come un file JKS, in cui l'archivio chiavi contiene il tuo certificato TLS e chiave privata. Esistono diversi modi per creare un file JKS, ma un modo consiste nell'utilizzare i comandi Opensl e utilità keytool.

Ad esempio, hai un file PEM denominato server.pem contenente il tuo certificato TLS e un file PEM denominato private_key.pem contenente la chiave privata. Usa i seguenti comandi per crea il file PKCS12:

> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12

Devi inserire la passphrase della chiave, se presente, e una password di esportazione. Questo crea un file PKCS12 denominato keystore.pkcs12.

Utilizza il seguente comando per convertirlo in un file JKS denominato keystore.jks:

> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

Viene richiesto di immettere la nuova password per il file JKS e la password esistente per il file PKCS12. Assicurati di utilizzare per il file JKS la stessa password che hai utilizzato per il file PKCS12.

Se devi specificare un alias di chiave, ad esempio quando configuri TLS tra un router e un messaggio Processore, includi "-name" al comando Opensl:

>? openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest

Includi poi "-alias" al comando keytool:

> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest

Generare una password offuscata

Alcune parti della procedura di configurazione TLS perimetrale richiedono l'inserimento di una password offuscata in un file di configurazione. Una password offuscata è un'alternativa più sicura all'inserimento del tuo in testo normale.

Puoi generare una password offuscata utilizzando il seguente comando in Edge Management Server:

> /opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password

Inserisci la nuova password e confermala quando richiesto. Per motivi di sicurezza, il testo la password non viene visualizzata. Il comando seguente restituisce la password in questo formato:

OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

Utilizza la password offuscata specificata da OBF durante la configurazione di TLS.

Per ulteriori informazioni, consulta questo .