Como configurar o TLS/SSL para o Edge no local

Edge para nuvem privada v4.18.05

O TLS (Transport Layer Security, cujo antecessor é o SSL) é a tecnologia de segurança padrão para garantir mensagens criptografadas e seguras em todo o ambiente da API, desde apps até o Apigee Edge e seus serviços de back-end.

Independentemente da configuração do ambiente da sua API de gerenciamento, por exemplo, se você está usando um proxy, um roteador e/ou um balanceador de carga na frente de sua API de gerenciamento (ou não); O Edge permite ativar e configurar o TLS, proporcionando controle sobre a criptografia de mensagens em seu ambiente de gerenciamento de API local.

Para uma instalação local da Edge Private Cloud, há vários lugares em que é possível configurar o TLS:

  1. Entre um roteador e um processador de mensagens
  2. Para acessar a API Edge Management
  3. Para acessar a interface de gerenciamento do Edge
  4. Para acesso de um app às suas APIs
  5. Para acesso do Edge aos seus serviços de back-end

A configuração do TLS para os três primeiros itens é descrita abaixo. Todos esses procedimentos pressupõem que você criou um arquivo JKS contendo a certificação TLS e a chave privada.

Para configurar o TLS para acesso de um app às suas APIs, consulte a etapa 4 acima em Como configurar o acesso TLS a uma API para a nuvem particular. Para configurar o TLS para acesso do Edge aos seus serviços de back-end, consulte a etapa 5 acima em Como configurar o TLS da borda para o back-end (nuvem e nuvem privada).

Para uma visão geral completa sobre a configuração do TLS no Edge, consulte TLS/SSL.

Como criar um arquivo JKS

Você representa o keystore como um arquivo JKS, em que o keystore contém seu certificado TLS e chave privada. Há várias maneiras de criar um arquivo JKS, mas uma delas é usar os utilitários openssl e keytool.

Por exemplo, você tem um arquivo PEM chamado server.pem que contém seu certificado TLS e um arquivo PEM chamado private_key.pem que contém sua chave privada. Use os comandos abaixo para criar o arquivo PKCS12:

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12

Você precisa inserir a senha longa da chave, se houver uma, e uma senha de exportação. Esse comando cria um arquivo PKCS12 chamado keystore.pkcs12.

Use o comando abaixo para convertê-lo em um arquivo JKS chamado keystore.jks:

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

Você vai precisar inserir a nova senha do arquivo JKS e a senha atual do arquivo PKCS12. Use a mesma senha para o arquivo JKS que você usou para o arquivo PKCS12.

Se você precisar especificar um alias de chave, como ao configurar o TLS entre um roteador e um processador de mensagens, inclua a opção -name no comando openssl:

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest

Em seguida, inclua a opção -alias no comando keytool:

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest

Como gerar uma senha ofuscada

Algumas partes do procedimento de configuração do TLS do Edge exigem que você insira uma senha ofuscada em um arquivo de configuração. Uma senha ofuscada é uma alternativa mais segura do que inserir sua senha em texto simples.

É possível gerar uma senha ofuscada usando o seguinte comando no servidor de gerenciamento do Edge:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password

Digite a nova senha e confirme. Por motivos de segurança, o texto da senha não é mostrado. Esse comando retorna a senha no formato:

OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

Use a senha ofuscada especificada pelo OBF ao configurar o TLS.

Para mais informações, consulte este artigo.