הגדרה של TLS/SSL לנכסי Edge בשטח

Edge for Private Cloud גרסה 4.18.01

TLS (אבטחת שכבת התעבורה, שקודמתה ל-SSL) היא טכנולוגיית האבטחה הסטנדרטית לשמירה על אבטחה מוצפנת של הודעות בסביבת ה-API שלכם, החל מאפליקציות ועד Apigee Edge ועד לשירותים לקצה העורפי.

בלי קשר לתצורת הסביבה של ממשק ה-API לניהול – לדוגמה, אם משתמשים בשרת proxy, בנתב או במאזן עומסים מול ממשק ה-API לניהול (וגם אם לא) – ב-Edge תהיה אפשרות להפעיל ולהגדיר TLS, וכך לשלוט בהצפנת הודעות בסביבת ניהול ה-API המקומית שלך.

בהתקנה מקומית של ענן פרטי של Edge, יש כמה מקומות שבהם אפשר להגדיר TLS:

  1. בין נתב למעבד הודעות
  2. לקבלת גישה ל-Edge Management API
  3. לגישה לממשק המשתמש לניהול Edge
  4. לגישה מאפליקציה לממשקי ה-API
  5. לגישה מ-Edge לשירותים לקצה העורפי

בהמשך מתוארת הגדרת TLS בשלושת הפריטים הראשונים. כל התהליכים האלה מבוססים על ההנחה שיצרתם קובץ JKS שמכיל את אישור ה-TLS (אבטחת שכבת התעבורה) והמפתח הפרטי שלכם.

כדי להגדיר TLS לגישה מאפליקציה לממשקי ה-API שלכם, ראו הגדרת גישה באמצעות TLS לממשק API בענן הפרטי. כדי להגדיר TLS לגישה מ-Edge לשירותים לקצה העורפי, ראו הגדרת TLS מ-Edge לקצה העורפי (ענן וענן פרטי).

סקירה כללית מלאה על הגדרת TLS ב-Edge זמינה במאמר TLS/SSL.

יצירת קובץ JKS

אתם מייצגים את מאגר המפתחות כקובץ JKS, שבו מאגר המפתחות מכיל את אישור ה-TLS (אבטחת שכבת התעבורה) והמפתח הפרטי שלכם. יש כמה דרכים ליצור קובץ JKS, אבל אחת הדרכים היא להשתמש ב-openssl ובכלים ל-keytool.

לדוגמה, יש לכם קובץ PEM בשם server.pem שמכיל את אישור ה-TLS (אבטחת שכבת התעבורה) וקובץ PEM בשם privacy_key.pem שמכיל את המפתח הפרטי שלכם. כדי ליצור את קובץ ה-PKCS12, משתמשים בפקודות הבאות:

> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12

אם יש למפתח ביטוי סיסמה, אתם צריכים להזין אותם, וגם סיסמה לייצוא. הפקודה יוצרת קובץ PKCS12 בשם keystore.pkcs12.

כדי להמיר אותו לקובץ JKS בשם keystore.jks, משתמשים בפקודה הבאה:

> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

תוצג בקשה להזין את הסיסמה החדשה לקובץ ה-JKS ואת הסיסמה הקיימת לקובץ ה-PKCS12. חשוב לוודא שהשתמשתם באותה הסיסמה לקובץ ה-JKS שבה השתמשתם לקובץ ה-PKCS12.

אם צריך לציין כינוי למפתח, למשל כשמגדירים TLS בין נתב למעבד הודעות, כוללים את האפשרות -name" בפקודה opensl:

>? openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest

לאחר מכן כוללים את האפשרות "-alias" לפקודה keytool:

> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest

יצירת סיסמה מעורפלת

בחלקים מסוימים בהליך ההגדרה של TLS ב-Edge צריך להזין סיסמה מעורפלת בקובץ תצורה. סיסמה מעורפלת היא חלופה מאובטחת יותר להזנת הסיסמה בטקסט פשוט.

אפשר ליצור סיסמה מעורפלת באמצעות הפקודה הבאה בשרת הניהול של Edge:

> /opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password

מזינים את הסיסמה החדשה ומאשרים אותה בהודעה שמופיעה. מטעמי אבטחה, הטקסט של הסיסמה לא מוצג. הפקודה הזו מחזירה את הסיסמה בצורה הבאה:

OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

משתמשים בסיסמה לערפול קוד (obfuscation) שצוינה על ידי OBF כשמגדירים TLS.

אפשר לקרוא מידע נוסף במאמר הזה.