การกําหนดค่า TLS/SSL สําหรับสถานที่ภายในองค์กร

Edge สำหรับ Private Cloud เวอร์ชัน 4.18.01

TLS (Transport Layer Security ซึ่งมีรุ่นก่อนหน้าคือ SSL) เป็นเทคโนโลยีการรักษาความปลอดภัยมาตรฐานที่ช่วยรับรองข้อความที่ปลอดภัยและเข้ารหัสในสภาพแวดล้อม API ของคุณ ตั้งแต่แอปไปจนถึง Apigee Edge ไปจนถึงบริการแบ็กเอนด์ของคุณ

ไม่ว่าจะกำหนดค่าสภาพแวดล้อมสำหรับ API การจัดการอย่างไร เช่น คุณจะใช้พร็อกซี เราเตอร์ และ/หรือตัวจัดสรรภาระงานด้านหน้า API การจัดการ (หรือไม่ใช้) Edge จะให้คุณเปิดใช้และกำหนดค่า TLS เพื่อให้ควบคุมการเข้ารหัสข้อความในสภาพแวดล้อมการจัดการ API ภายในองค์กรได้

สำหรับการติดตั้ง Edge Private Cloud ภายในองค์กร คุณจะกำหนดค่า TLS ได้จากหลายตำแหน่ง ดังนี้

  1. ระหว่างเราเตอร์และเครื่องมือประมวลผลข้อความ
  2. สำหรับการเข้าถึง Edge Management API
  3. สำหรับการเข้าถึง UI การจัดการ Edge
  4. สำหรับการเข้าถึง API จากแอป
  5. เพื่อการเข้าถึงบริการแบ็กเอนด์จาก Edge

การกำหนดค่า TLS สำหรับ 3 รายการแรกมีคำอธิบายอยู่ด้านล่าง กระบวนการทั้งหมดนี้จะถือว่าคุณได้สร้างไฟล์ JKS ที่มีการรับรอง TLS และคีย์ส่วนตัวแล้ว

หากต้องการกำหนดค่า TLS สำหรับการเข้าถึงจากแอปไปยัง API #4 ด้านบน โปรดดูการกำหนดค่าการเข้าถึง TLS ไปยัง API สำหรับ Private Cloud หากต้องการกำหนดค่า TLS เพื่อเข้าถึงบริการแบ็กเอนด์ #5 ด้านบน โปรดดูการกำหนดค่า TLS จาก Edge ไปยังแบ็กเอนด์ (Cloud และ Private Cloud)

โปรดดูภาพรวมทั้งหมดของการกำหนดค่า TLS ใน Edge ที่หัวข้อ TLS/SSL

การสร้างไฟล์ JKS

คุณเป็นตัวแทนของคีย์สโตร์เป็นไฟล์ JKS ซึ่งคีย์สโตร์มีใบรับรอง TLS และคีย์ส่วนตัว การสร้างไฟล์ JKS ทำได้หลายวิธี แต่วิธีหนึ่งคือการใช้ยูทิลิตี openssl และ keytool

เช่น คุณมีไฟล์ PEM ชื่อ server.pem ที่มีใบรับรอง TLS และไฟล์ PEM ชื่อ Private_key.pem ที่มีคีย์ส่วนตัว ใช้คำสั่งต่อไปนี้เพื่อสร้างไฟล์ PKCS12

> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12

คุณต้องป้อนรหัสผ่านสำหรับคีย์ (หากมี) และรหัสผ่านการส่งออก คำสั่งนี้จะสร้างไฟล์ PKCS12 ชื่อ keystore.pkcs12

ใช้คำสั่งต่อไปนี้เพื่อแปลงเป็นไฟล์ JKS ชื่อ keystore.jks:

> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

ระบบจะแจ้งให้ป้อนรหัสผ่านใหม่ของไฟล์ JKS และรหัสผ่านที่มีอยู่สำหรับไฟล์ PKCS12 ตรวจสอบว่าคุณใช้รหัสผ่านเดียวกันกับไฟล์ JKS ที่ใช้กับไฟล์ PKCS12

หากคุณต้องระบุชื่อแทนคีย์ เช่น เมื่อกำหนดค่า TLS ระหว่างเราเตอร์กับตัวประมวลผลข้อความ ให้ใส่ตัวเลือก "-name" ในคำสั่ง openssl

>? openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest

จากนั้นใส่ตัวเลือก "-alias" ในคำสั่ง keytool ดังนี้

> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest

การสร้างรหัสผ่านที่สร้างความสับสน

ขั้นตอนการกำหนดค่า Edge TLS บางส่วนกำหนดให้คุณต้องป้อนรหัสผ่านที่สร้างความสับสนในไฟล์การกำหนดค่า รหัสผ่านที่สร้างความสับสนคือทางเลือกที่ปลอดภัยกว่าในการป้อนรหัสผ่านเป็นข้อความธรรมดา

คุณสร้างรหัสผ่านที่สร้างความสับสนได้โดยใช้คำสั่งต่อไปนี้ใน Edge Management Server

> /opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password

ป้อนรหัสผ่านใหม่ จากนั้นยืนยันรหัสผ่านเมื่อมีข้อความแจ้ง ข้อความของรหัสผ่านจะไม่ปรากฏเพื่อความปลอดภัย คำสั่งนี้จะส่งคืนรหัสผ่านในรูปแบบ:

OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

ใช้รหัสผ่านที่สร้างความสับสนซึ่ง OBF กำหนดเมื่อกำหนดค่า TLS

ดูข้อมูลเพิ่มเติมได้ในบทความนี้