このページは Cloud Translation API によって翻訳されました。

オンプレミスの Edge での TLS/SSL の構成

Edge for Private Cloud v4.18.05

TLS（Transport Layer Security、前身は SSL）は標準的なセキュリティテクノロジーアプリから Apigee まで、API 環境全体で暗号化された安全なメッセージングを確保できます。エッジからバックエンドサービスに接続します。

注: Edge は元々 SSL をサポートしていたため、 Edge UI、Edge XML、および Edge プロパティで「SSL」という用語が使用されているインスタンスたとえば、 Edge UI で証明書の表示に使用するメニュー項目は、SSL と呼ばれています。 Certificates（証明書）: TLS を使用するように仮想ホストを構成するために使用する XML タグは、 <SSLInfo>。管理 API の SSL ポートを設定するプロパティは、 conf_webserver_ssl.port。

たとえば、管理 API の環境構成に関係なく、管理 API の前にプロキシ、ルーター、ロードバランサを配置している場合 not);Edge では、TLS を有効にして構成し、 API 管理環境で実行できます

Edge Private Cloud をオンプレミスにインストールする場合、 TLS を構成します。

Router と Message Processor の間
Edge Management API へのアクセス
Edge 管理 UI へのアクセス
アプリから API へのアクセス
Edge からバックエンドサービスへのアクセス

最初の 3 つの項目に対する TLS の構成については、以下で説明します。これらの手順はすべて、 TLS 証明書と秘密鍵を含む JKS ファイルが作成されていること。

アプリから API へのアクセスに TLS を構成するには、上記 4 の API への TLS アクセスの構成をご覧ください。（プライベートクラウド向け）をご覧ください。Edge からバックエンドサービスへのアクセス用に TLS を構成するには、#5 詳細については、TLS の構成 Edge からバックエンド（Cloud と Private Cloud）

Edge での TLS 構成の概要については、TLS/SSL をご覧ください。

JKS ファイルの作成

キーストアを JKS ファイルとして表します。このキーストアには TLS 証明書とされます。JKS ファイルを作成するにはいくつかの方法がありますが、openssl とユーティリティです。

たとえば、TLS 証明書を含む server.pem という名前の PEM ファイルがあるとします。秘密鍵を含む private_key.pem という名前の PEM ファイルが必要です。以下のコマンドを使用して、 PKCS12 ファイルを作成します。

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12

鍵のパスフレーズ（設定されている場合）とエクスポートパスワードを入力する必要があります。このコマンドにより、keystore.pkcs12 という名前の PKCS12 ファイルを作成します。

次のコマンドを使用して、keystore.jks という名前の JKS ファイルに変換します。

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

JKS ファイルの新しいパスワードと、Cloud Storage バケットの既存の PKCS12 ファイルです。JKS ファイルには、 PKCS12 ファイルです。

Router と Message の間で TLS を構成する場合など、キーエイリアスを指定する必要がある場合プロセッサ。openssl コマンドに -name オプションを指定します。

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest

次に、keytool コマンドに -alias オプションを含めます。

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest

難読化されたパスワードの生成

Edge TLS 構成手順の一部で、難読化されたパスワードを入力する必要がある記述する必要があります。難読化されたパスワードは、認証情報を暗号化します。

Edge 管理ページで次のコマンドを使用すると、難読化されたパスワードを生成できます。サーバー:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password

新しいパスワードを入力し、プロンプトで確認します。セキュリティ上の理由から、パスワードは表示されません。このコマンドは、パスワードを次の形式で返します。

OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

TLS の設定時に、OBF で指定された難読化されたパスワードを使用します。

詳しくは、こちらの記事をご覧ください。