Konfigurowanie TLS/SSL dla serwerów brzegowych

Edge for Private Cloud w wersji 4.18.01

TLS (Transport Layer Security, którego poprzednik to protokół SSL) to standardowa technologia zabezpieczeń zapewniające bezpieczne, zaszyfrowane wiadomości w środowisku API, od aplikacji po Apigee Edge dla usług backendu.

Niezależnie od konfiguracji środowiska dla interfejsu API do zarządzania – na przykład używasz serwera proxy, routera lub systemu równoważenia obciążenia przed interfejsem API zarządzania (albo nie). – Edge umożliwia włączenie i skonfigurowanie protokołu TLS, zapewniając Ci kontrolę nad szyfrowaniem wiadomości lokalnemu środowisku zarządzania interfejsami API.

W przypadku lokalnej instalacji Edge Private Cloud istnieje kilka miejsc, w których można skonfiguruj TLS:

  1. Połączenie między routerem a procesorem wiadomości
  2. Dostęp do interfejsu Edge Management API
  3. Dostęp do interfejsu zarządzania brzegiem
  4. Dostęp z aplikacji do interfejsów API
  5. Aby uzyskać dostęp z Edge do usług backendu

Konfigurowanie TLS dla pierwszych 3 elementów opisano poniżej. Wszystkie te procedury przy założeniu, został utworzony plik JKS zawierający certyfikat TLS i klucz prywatny.

Aby skonfigurować protokół TLS na potrzeby dostępu z aplikacji do interfejsów API, #4 powyżej zapoznaj się z sekcją Konfigurowanie dostępu TLS do interfejsu API przy użyciu protokołu TLS dla chmury Private Cloud. Aby skonfigurować TLS na potrzeby dostępu z Edge do usług backendu, nr 5 znajdziesz powyżej w sekcji Konfigurowanie TLS z Edge do backendu (Cloud i Private Cloud).

Pełne omówienie konfigurowania TLS w Edge znajdziesz w artykule TLS/SSL.

Tworzenie pliku JKS

Magazyn kluczy jest przedstawiony jako plik JKS, w którym znajduje się certyfikat TLS oraz klucz prywatny. Plik JKS można utworzyć na kilka sposobów, ale jednym z nich jest użycie instrukcji sitessl oraz z keytool.

Załóżmy, że masz plik PEM o nazwie server.pem i certyfikat TLS. i plik PEM o nazwie private_key.pem zawierającym klucz prywatny. Użyj tych poleceń, aby utwórz plik PKCS12:

> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12

Musisz wpisać hasło wielowyrazowe klucza (jeśli go ma) oraz hasło eksportu. Ten tworzy plik PKCS12 o nazwie keystore.pkcs12.

Użyj następującego polecenia, aby przekonwertować go na plik JKS o nazwie keystore.jks:

> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

Pojawi się prośba o podanie nowego hasła w pliku JKS oraz istniejącego hasła do Plik PKCS12. Upewnij się, że w pliku JKS używasz tego samego hasła co w przypadku w pliku PKCS12.

Jeśli musisz określić alias klucza, na przykład podczas konfigurowania protokołu TLS między routerem a wiadomością Procesor – dodaj parametr „-name” opcję dla polecenia opensl:

>? openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest

Następnie dołącz ciąg „-alias”. polecenia keytool:

> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest

Generowanie zaciemnionego hasła

Niektóre części procedury konfiguracji Edge TLS wymagają podania zaciemnionego hasła w pliku konfiguracji. Zaciemnione hasło to bezpieczniejsza alternatywa dla wpisania .

Zaciemnione hasło możesz wygenerować za pomocą tego polecenia w Edge Management Serwer:

> /opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password

Wpisz nowe hasło i potwierdź je. Ze względów bezpieczeństwa tekst hasło nie jest wyświetlane. To polecenie zwraca hasło w formacie:

OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

Podczas konfigurowania protokołu TLS użyj zaciemnionego hasła określonego przez OBF.

Więcej informacji znajdziesz w tym artykule .