为 Edge On Premises 配置 TLS/SSL

适用于私有云的 Edge v4.18.05

TLS(传输层安全协议,其前身为 SSL)是一种标准安全技术,用于确保在整个 API 环境(从应用到 Apigee Edge 到后端服务)中进行安全加密消息传递。

无论管理 API 的环境配置如何(例如,您是否在管理 API 前面使用代理、路由器和/或负载平衡器),Edge 都允许您启用和配置 TLS,从而控制在本地 API 管理环境中对消息进行加密。

对于 Edge Private Cloud 的本地安装,您可以在多个位置配置 TLS:

  1. 路由器和消息处理器之间
  2. 如需访问 Edge 管理 API
  3. 如需访问 Edge 管理界面
  4. 用于从应用访问您的 API
  5. 如需从 Edge 访问您的后端服务

下面介绍了如何为前三项配置 TLS。所有这些步骤都假定您已创建包含 TLS 认证和私钥的 JKS 文件。

如需配置 TLS 以便应用访问您的 API(上文第 4 点),请参阅为私有云配置对 API 的 TLS 访问权限。如需配置 TLS 以便从 Edge 访问后端服务(上文第 5 点),请参阅配置从 Edge 到后端(云和私有云)的 TLS

如需全面了解如何在 Edge 上配置 TLS,请参阅 TLS/SSL

创建 JKS 文件

您可以将密钥库表示为 JKS 文件,其中密钥库包含您的 TLS 证书和私钥。创建 JKS 文件的方法有多种,其中一种是使用 openssl 和 keytool 实用程序。

例如,您有一个名为 server.pem 的 PEM 文件,其中包含您的 TLS 证书,并且有一个名为 private_key.pem 的 PEM 文件,其中包含您的私钥。使用以下命令创建 PKCS12 文件:

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12

您必须输入密钥的密码(如果有)和导出密码。此命令会创建一个名为 keystore.pkcs12 的 PKCS12 文件。

使用以下命令将其转换为名为 keystore.jks 的 JKS 文件:

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

系统会提示您输入 JKS 文件的新密码,以及 PKCS12 文件的现有密码。请务必为 JKS 文件使用与 PKCS12 文件相同的密码。

如果您必须指定密钥别名(例如在路由器和消息处理器之间配置 TLS 时),请将 -name 选项添加到 openssl 命令中:

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest

然后,将 -alias 选项添加到 keytool 命令中:

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest

生成经过混淆处理的密码

Edge TLS 配置流程的某些部分需要您在配置文件中输入经过混淆处理的密码。与输入纯文本密码相比,使用经过混淆处理的密码是一种更安全的替代方案。

您可以在 Edge 管理服务器上使用以下命令生成经过混淆处理的密码:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password

输入新密码,然后在系统提示时进行确认。出于安全考虑,系统不会显示密码文本。此命令以如下形式返回密码:

OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

配置 TLS 时,请使用 OBF 指定的经过混淆处理的密码。

如需了解详情,请参阅这篇文章