Edge pour le cloud privé v4.18.01
Le protocole TLS (Transport Layer Security), dont la version précédente est SSL, est la technologie de sécurité standard qui garantit la messagerie sécurisée et chiffrée dans l'ensemble de votre environnement d'API, des applications à Apigee Edge, en passant par vos services de backend.
Quelle que soit la configuration de l'environnement pour votre API de gestion (par exemple, si vous utilisez un proxy, un routeur et/ou un équilibreur de charge devant ou non votre API de gestion), Edge vous permet d'activer et de configurer le protocole TLS, ce qui vous permet de contrôler le chiffrement des messages dans votre environnement de gestion d'API sur site.
Pour une installation sur site d'Edge Private Cloud, vous pouvez configurer le protocole TLS à plusieurs endroits:
- Entre un routeur et un processeur de messages
- Pour accéder à l'API de gestion Edge
- Pour accéder à l'interface utilisateur de gestion périphérique
- Pour accéder à vos API depuis une application
- Pour accéder depuis Edge à vos services de backend
La configuration de TLS pour les trois premiers éléments est décrite ci-dessous. Toutes ces procédures supposent que vous avez créé un fichier JKS contenant votre certification TLS et votre clé privée.
Pour configurer l'accès TLS d'une application à vos API, reportez-vous à la section 4 ci-dessus. Consultez la page Configurer l'accès TLS à une API pour le cloud privé. Pour configurer TLS pour l'accès depuis Edge à vos services de backend, consultez la section 5 ci-dessus. Pour en savoir plus, consultez la section Configurer le protocole TLS depuis le backend vers le backend (Cloud et cloud privé).
Pour obtenir une présentation complète de la configuration de TLS sur Edge, consultez TLS/SSL.
Créer un fichier JKS
Vous représentez le keystore sous la forme d'un fichier JKS, dans lequel se trouvent votre certificat TLS et votre clé privée. Il existe plusieurs façons de créer un fichier JKS, mais vous pouvez utiliser les utilitaires openssl et keytool.
Par exemple, vous disposez d'un fichier PEM nommé server.pem contenant votre certificat TLS et d'un fichier PEM nommé private_key.pem contenant votre clé privée. Exécutez les commandes suivantes pour créer le fichier PKCS12:
> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12
Vous devez saisir la phrase secrète pour la clé, si elle existe, ainsi qu'un mot de passe pour l'exportation. Cette commande crée un fichier PKCS12 nommé keystore.pkcs12.
Utilisez la commande suivante pour le convertir en fichier JKS nommé keystore.jks:
> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks
Vous êtes invité à saisir le nouveau mot de passe du fichier JKS, ainsi que le mot de passe existant du fichier PKCS12. Veillez à utiliser le même mot de passe pour le fichier JKS et pour le fichier PKCS12.
Si vous devez spécifier un alias de clé, par exemple lors de la configuration de TLS entre un routeur et un processeur de messages, incluez l'option -name dans la commande openssl:
>? openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest
Incluez ensuite l'option -alias dans la commande keytool:
> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest
Générer un mot de passe obscurci
Certaines parties de la procédure de configuration Edge TLS nécessitent de saisir un mot de passe obscurci dans un fichier de configuration. Un mot de passe obscurci est une alternative plus sécurisée que la saisie en texte brut.
Vous pouvez générer un mot de passe obscurci en exécutant la commande suivante sur le serveur de gestion Edge:
> /opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password
Saisissez le nouveau mot de passe, puis confirmez-le lorsque vous y êtes invité. Pour des raisons de sécurité, le texte du mot de passe n'est pas affiché. Cette commande renvoie le mot de passe au format suivant:
OBF:58fh40h61svy156789gk1saj MD5:902fobg9d80e6043b394cb2314e9c6
Utilisez le mot de passe obscurci spécifié par OBF lors de la configuration de TLS.
Pour en savoir plus, consultez cet article.