Edge for Private Cloud v4.18.05
TLS (Transport Layer Security, dessen Vorgänger SSL ist) ist die Standardsicherheitstechnologie für sichere, verschlüsselte Nachrichten in Ihrer API-Umgebung, von Apps über Apigee Edge bis hin zu Ihren Backend-Diensten.
Unabhängig von der Umgebungskonfiguration Ihrer Verwaltungs-API, z. B. ob Sie einen Proxy, einen Router und/oder einen Load Balancer vor Ihrer Verwaltungs-API verwenden oder nicht, können Sie mit Edge TLS aktivieren und konfigurieren, um die Nachrichtenverschlüsselung in Ihrer lokalen API-Verwaltungsumgebung zu steuern.
Bei einer On-Premises-Installation von Edge Private Cloud können Sie TLS an mehreren Stellen konfigurieren:
- Zwischen einem Router und einem Message Processor
- Für den Zugriff auf die Edge Management API
- Für den Zugriff auf die Edge-Benutzeroberfläche
- Für den Zugriff von einer App auf Ihre APIs
- Für den Zugriff von Edge auf Ihre Back-End-Dienste
Die Konfiguration von TLS für die ersten drei Elemente wird unten beschrieben. Bei allen diesen Verfahren wird davon ausgegangen, dass Sie eine JKS-Datei mit Ihrer TLS-Zertifizierung und Ihrem privaten Schlüssel erstellt haben.
Wie Sie TLS für den Zugriff von einer App auf Ihre APIs konfigurieren (Nummer 4 oben), erfahren Sie unter TLS-Zugriff auf eine API für die Private Cloud konfigurieren. Wie Sie TLS für den Zugriff von Edge auf Ihre Backend-Dienste konfigurieren, erfahren Sie unter TLS von Edge zum Back-End konfigurieren (Cloud und Private Cloud).
Eine vollständige Übersicht zur Konfiguration von TLS auf Edge finden Sie unter TLS/SSL.
JKS-Datei erstellen
Sie stellen den Keystore als JKS-Datei dar, die Ihr TLS-Zertifikat und Ihren privaten Schlüssel enthält. Es gibt mehrere Möglichkeiten, eine JKS-Datei zu erstellen. Eine davon ist die Verwendung der Dienstprogramme „openssl“ und „keytool“.
Angenommen, Sie haben eine PEM-Datei mit dem Namen server.pem, die Ihr TLS-Zertifikat enthält, und eine PEM-Datei mit dem Namen „private_key.pem“, die Ihren privaten Schlüssel enthält. Verwenden Sie die folgenden Befehle, um die PKCS12-Datei zu erstellen:
openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12
Sie müssen die Passphrase für den Schlüssel eingeben, falls vorhanden, und ein Exportpasswort. Mit diesem Befehl wird eine PKCS12-Datei mit dem Namen keystore.pkcs12 erstellt.
Verwenden Sie den folgenden Befehl, um sie in eine JKS-Datei mit dem Namen „keystore.jks“ zu konvertieren:
keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks
Sie werden aufgefordert, das neue Passwort für die JKS-Datei und das vorhandene Passwort für die PKCS12-Datei einzugeben. Verwenden Sie für die JKS-Datei dasselbe Passwort wie für die PKCS12-Datei.
Wenn Sie einen Schlüsselalias angeben müssen, z. B. beim Konfigurieren von TLS zwischen einem Router und einem Nachrichtenprozessor, fügen Sie dem Befehl openssl die Option -name hinzu:
openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest
Fügen Sie dann die Option -alias in den Befehl keytool ein:
keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest
Verschleiertes Passwort generieren
Für einige Teile des TLS-Konfigurationsverfahrens für Edge müssen Sie ein verschleiertes Passwort in eine Konfigurationsdatei eingeben. Ein verschleiertes Passwort ist eine sicherere Alternative zum Eingeben Ihres Passworts im Klartext.
Mit dem folgenden Befehl auf dem Edge-Verwaltungsserver können Sie ein verschleiertes Passwort generieren:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password
Geben Sie das neue Passwort ein und bestätigen Sie es auf Aufforderung. Aus Sicherheitsgründen wird der Text des Passworts nicht angezeigt. Dieser Befehl gibt das Passwort in folgendem Format zurück:
OBF:58fh40h61svy156789gk1saj MD5:902fobg9d80e6043b394cb2314e9c6
Verwenden Sie beim Konfigurieren von TLS das von OBF angegebene verschleierte Passwort.