หน้านี้ได้รับการแปลโดย Cloud Translation API

การกําหนดค่า TLS/SSL สําหรับสถานที่ภายในองค์กร

Edge for Private Cloud v4.18.05

TLS (Transport Layer Security ซึ่ง SSL เป็นรุ่นก่อนหน้า) เป็นเทคโนโลยีความปลอดภัยมาตรฐานสำหรับการรับส่งข้อความที่เข้ารหัสอย่างปลอดภัยในสภาพแวดล้อม API ตั้งแต่แอปไปจนถึง Apigee Edge และบริการแบ็กเอนด์

หมายเหตุ: เนื่องจาก Edge รองรับ SSL มาตั้งแต่แรก คุณจึงจะเห็นอินสแตนซ์บางอย่างใน UI ของ Edge, Edge XML และพร็อพเพอร์ตี้ Edge ที่ใช้คำว่า "SSL" ตัวอย่างเช่น รายการเมนูใน UI ของ Edge ที่คุณใช้ดูใบรับรองเรียกว่าใบรับรอง SSL แท็ก XML ที่คุณใช้กำหนดค่าโฮสต์เสมือนให้ใช้ TLS มีชื่อว่า <SSLInfo> และพร็อพเพอร์ตี้สำหรับตั้งค่าพอร์ต SSL ของ API การจัดการคือ conf_webserver_ssl.port

ไม่ว่าคุณจะกำหนดค่าสภาพแวดล้อมสำหรับ API การจัดการอย่างไร เช่น ไม่ว่าคุณจะใช้พร็อกซี, เราเตอร์ และ/หรือโหลดบาลานซ์ไว้ด้านหน้า API การจัดการหรือไม่ Edge ให้คุณเปิดใช้และกำหนดค่า TLS ได้ ซึ่งจะช่วยให้คุณควบคุมการเข้ารหัสข้อความในสภาพแวดล้อมการจัดการ API ภายในองค์กรได้

สําหรับการติดตั้ง Edge Private Cloud ในองค์กร คุณสามารถกําหนดค่า TLS ได้ในหลายตำแหน่ง ดังนี้

ระหว่างเราเตอร์กับ Message Processor
สำหรับการเข้าถึง Edge Management API
สำหรับการเข้าถึง UI การจัดการ Edge
สำหรับการเข้าถึง API จากแอป
สําหรับการเข้าถึงจาก Edge ไปยังบริการแบ็กเอนด์

การกำหนดค่า TLS สำหรับรายการ 3 รายการแรกมีคำอธิบายอยู่ด้านล่าง ขั้นตอนทั้งหมดนี้ถือว่าคุณได้สร้างไฟล์ JKS ที่มีใบรับรอง TLS และคีย์ส่วนตัวแล้ว

หากต้องการกำหนดค่า TLS สำหรับการเข้าถึงจากแอปไปยัง API หมายเลข 4 ด้านบน โปรดดูการกำหนดค่าการเข้าถึง TLS ไปยัง API สำหรับระบบคลาวด์ส่วนตัว หากต้องการกำหนดค่า TLS สำหรับการเข้าถึงจาก Edge ไปยังบริการแบ็กเอนด์ #5 ด้านบน โปรดดูการกำหนดค่า TLS จาก Edge ไปยังแบ็กเอนด์ (ระบบคลาวด์และ Private Cloud)

ดูภาพรวมทั้งหมดเกี่ยวกับการกำหนดค่า TLS ใน Edge ได้ที่ TLS/SSL

การสร้างไฟล์ JKS

คุณแสดงคีย์สโตร์เป็นไฟล์ JKS โดยที่คีย์สโตร์มีใบรับรอง TLS และคีย์ส่วนตัว การสร้างไฟล์ JKS ทำได้หลายวิธี แต่วิธีหนึ่งคือการใช้ยูทิลิตี openssl และ keytool

ตัวอย่างเช่น คุณมีไฟล์ PEM ชื่อ server.pem ที่มีใบรับรอง TLS และไฟล์ PEM ชื่อ private_key.pem ที่มีคีย์ส่วนตัว ใช้คำสั่งต่อไปนี้เพื่อสร้างไฟล์ PKCS12

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12

คุณต้องป้อนข้อความรหัสผ่านสำหรับคีย์ (หากมี) และรหัสผ่านการส่งออก คำสั่งนี้จะสร้างไฟล์ PKCS12 ชื่อ keystore.pkcs12

ใช้คำสั่งต่อไปนี้เพื่อแปลงเป็นไฟล์ JKS ชื่อ keystore.jks

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

ระบบจะแจ้งให้คุณป้อนรหัสผ่านใหม่สำหรับไฟล์ JKS และรหัสผ่านที่มีอยู่สำหรับไฟล์ PKCS12 ตรวจสอบว่าคุณใช้รหัสผ่านเดียวกันกับไฟล์ JKS กับที่ใช้กับไฟล์ PKCS12

หากต้องระบุชื่อแทนคีย์ เช่น เมื่อกำหนดค่า TLS ระหว่างเราเตอร์และโปรแกรมประมวลผลข้อความ ให้ใส่ตัวเลือก -name ลงในคำสั่ง openssl ดังนี้

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest

จากนั้นใส่ตัวเลือก -alias ลงในคำสั่ง keytool ดังนี้

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest

การสร้างรหัสผ่านที่มีการสร้างความสับสน

ขั้นตอนการกำหนดค่า TLS ของ Edge บางขั้นตอนกำหนดให้คุณป้อนรหัสผ่านที่มีการสร้างความสับสนในไฟล์การกําหนดค่า รหัสผ่านที่มีการสร้างความสับสนเป็นทางเลือกที่ปลอดภัยกว่าการป้อนรหัสผ่านเป็นข้อความธรรมดา

คุณสร้างรหัสผ่านที่มีการสร้างความสับสนได้โดยใช้คําสั่งต่อไปนี้ในเซิร์ฟเวอร์การจัดการ Edge

/opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password

ป้อนรหัสผ่านใหม่ แล้วยืนยันรหัสผ่านเมื่อได้รับข้อความแจ้ง ระบบจะไม่แสดงข้อความรหัสผ่านเนื่องจากเหตุผลด้านความปลอดภัย คำสั่งนี้จะแสดงผลรหัสผ่านในรูปแบบต่อไปนี้

OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

ใช้รหัสผ่านที่มีการสร้างความสับสนซึ่งระบุโดย OBF เมื่อกำหนดค่า TLS

ดูข้อมูลเพิ่มเติมได้ที่บทความนี้