דף זה תורגם על ידי Cloud Translation API.

הגדרה של TLS/SSL לנכסי Edge בשטח

Edge for Private Cloud v4.18.05

TLS (Transport Layer Security, קודמו הוא SSL) היא טכנולוגיית האבטחה הסטנדרטית להעברת הודעות מאובטחות ומוצפנות בסביבת ה-API, מהאפליקציות ועד ל-Apigee Edge ולשירותים לקצה העורפי.

הערה: מאחר ש-Edge נתמך במקור ב-SSL, יופיעו כמה מופעים בממשק המשתמש של Edge, ב-XML של Edge ובנכסי Edge שבהם נעשה שימוש במונח 'SSL'. לדוגמה, האפשרות בתפריט בממשק המשתמש של Edge שבה משתמשים כדי להציג אישורים נקראת SSL Certificates, תג ה-XML שבו משתמשים כדי להגדיר מארח וירטואלי לשימוש ב-TLS נקרא <SSLInfo>, והנכס להגדרת יציאת ה-SSL ל-API לניהול נקרא conf_webserver_ssl.port.

ללא קשר להגדרת הסביבה של ה-API לניהול – לדוגמה, אם אתם משתמשים בשרת proxy, בנתב ו/או במאזן עומסים לפני ה-API לניהול (או לא) – Edge מאפשר לכם להפעיל ולהגדיר TLS, וכך לשלוט בהצפנת ההודעות בסביבת ניהול ה-API בארגון.

בהתקנה מקומית של Edge Private Cloud, יש כמה מקומות שבהם אפשר להגדיר TLS:

בין נתב לבין מעבד בקשות
לגישה ל-Edge Management API
כדי לגשת לממשק המשתמש לניהול Edge
כדי לתת לאפליקציה גישה לממשקי ה-API שלכם
כדי לגשת מ-Edge לשירותים לקצה העורפי

בהמשך מוסבר איך מגדירים TLS בשלושת הפריטים הראשונים. כל התהליכים האלה מבוססים על ההנחה שיצרתם קובץ JKS שמכיל את אישור ה-TLS ואת המפתח הפרטי שלכם.

כדי להגדיר TLS לגישה מאפליקציה לממשקי ה-API שלכם, נקודה 4 למעלה, אפשר לעיין במאמר הגדרת גישה ל-API באמצעות TLS בענן הפרטי. כדי להגדיר TLS לגישה מ-Edge לשירותי הקצה העורפי, מספר 5 למעלה, אפשר לעיין במאמר הגדרת TLS מ-Edge לקצה העורפי (ענן וענן פרטי).

סקירה כללית מלאה על הגדרת TLS ב-Edge זמינה במאמר TLS/SSL.

יצירת קובץ JKS

מאגר המפתחות מיוצג כקובץ JKS, שבו מאגר המפתחות מכיל את אישור ה-TLS ואת המפתח הפרטי. יש כמה דרכים ליצור קובץ JKS, אבל אחת מהן היא להשתמש בכלים openssl ו-keytool.

לדוגמה, יש לכם קובץ PEM בשם server.pem שמכיל את אישור ה-TLS, וקובץ PEM בשם private_key.pem שמכיל את המפתח הפרטי. משתמשים בפקודות הבאות כדי ליצור את קובץ ה-PKCS12:

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12

צריך להזין את משפט הסיסמה של המפתח, אם יש לו כזה, ואת סיסמת הייצוא. הפקודה הזו יוצרת קובץ PKCS12 בשם keystore.pkcs12.

משתמשים בפקודה הבאה כדי להמיר אותו לקובץ JKS בשם keystore.jks:

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

תוצג בקשה להזין את הסיסמה החדשה לקובץ ה-JKS ואת הסיסמה הקיימת לקובץ ה-PKCS12. חשוב להשתמש באותה סיסמה בקובץ ה-JKS שבה השתמשתם בקובץ ה-PKCS12.

אם צריך לציין כינוי למפתח, למשל כשמגדירים TLS בין נתב לבין מעבד הודעות, צריך לכלול את האפשרות -name בפקודה openssl:

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest

לאחר מכן, מוסיפים את האפשרות -alias לפקודה keytool:

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest

יצירת סיסמה מעורפלת

בחלק מהשלבים בתהליך ההגדרה של TLS ב-Edge צריך להזין סיסמה מעורפלת בקובץ תצורה. סיסמה מעורפלת היא חלופה מאובטחת יותר להזנת הסיסמה בטקסט ללא הצפנה.

אפשר ליצור סיסמה מעורפלת באמצעות הפקודה הבאה בשרת הניהול של Edge:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password

מזינים את הסיסמה החדשה ומאשרים אותה בהודעה שמופיעה. מטעמי אבטחה, הטקסט של הסיסמה לא מוצג. הפקודה הזו מחזירה את הסיסמה בפורמט:

OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

כשמגדירים את TLS, משתמשים בסיסמה המעורפלת שצוינה על ידי OBF.

מידע נוסף זמין במאמר הזה.