Định cấu hình TLS/SSL cho các mặt bằng

Edge for Private Cloud v4.18.05

TLS (Bảo mật tầng truyền tải, tiền thân là SSL) là công nghệ bảo mật tiêu chuẩn để đảm bảo việc nhắn tin được mã hoá và an toàn trên môi trường API, từ ứng dụng đến Apigee Edge đến các dịch vụ phụ trợ.

Bất kể cấu hình môi trường cho API quản lý của bạn (ví dụ: bạn có đang sử dụng proxy, bộ định tuyến và/hoặc bộ cân bằng tải trước API quản lý hay không), Edge cho phép bạn bật và định cấu hình TLS, cho phép bạn kiểm soát việc mã hoá thông điệp trong môi trường quản lý API tại chỗ.

Đối với việc cài đặt Edge Private Cloud trên máy, bạn có thể định cấu hình TLS ở một số vị trí:

  1. Giữa Trình định tuyến và Trình xử lý thông báo
  2. Để truy cập vào API quản lý Edge
  3. Để truy cập vào giao diện người dùng quản lý Edge
  4. Để truy cập từ một ứng dụng vào các API của bạn
  5. Để truy cập từ Edge vào các dịch vụ phụ trợ

Phần dưới đây mô tả cách định cấu hình TLS cho ba mục đầu tiên. Tất cả các quy trình này giả định rằng bạn đã tạo một tệp JKS chứa chứng chỉ TLS và khoá riêng tư.

Để định cấu hình TLS cho quyền truy cập từ một ứng dụng vào các API của bạn, mục 4 ở trên, hãy xem phần Định cấu hình quyền truy cập TLS vào một API cho đám mây riêng. Để định cấu hình TLS cho quyền truy cập từ Edge đến các dịch vụ phụ trợ, mục 5 ở trên, hãy xem phần Định cấu hình TLS từ Edge đến phần phụ trợ (Đám mây và Đám mây riêng tư).

Để biết thông tin tổng quan đầy đủ về cách định cấu hình TLS trên Edge, hãy xem phần TLS/SSL.

Tạo tệp JKS

Bạn biểu thị kho khoá dưới dạng tệp JKS, trong đó kho khoá chứa chứng chỉ TLS và khoá riêng tư của bạn. Có một số cách để tạo tệp JKS, nhưng một cách là sử dụng các tiện ích openssl và keytool.

Ví dụ: bạn có một tệp PEM tên là server.pem chứa chứng chỉ TLS và một tệp PEM tên là private_key.pem chứa khoá riêng tư. Sử dụng các lệnh sau để tạo tệp PKCS12:

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12

Bạn phải nhập cụm mật khẩu cho khoá (nếu có) và mật khẩu xuất. Lệnh này sẽ tạo một tệp PKCS12 có tên là keystore.pkcs12.

Sử dụng lệnh sau để chuyển đổi tệp này thành tệp JKS có tên keystore.jks:

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

Bạn sẽ được nhắc nhập mật khẩu mới cho tệp JKS và mật khẩu hiện có cho tệp PKCS12. Hãy đảm bảo bạn sử dụng cùng một mật khẩu cho tệp JKS như bạn đã sử dụng cho tệp PKCS12.

Nếu bạn phải chỉ định bí danh khoá, chẳng hạn như khi định cấu hình TLS giữa Trình xử lý thông báo và Trình định tuyến, hãy thêm tuỳ chọn -name vào lệnh openssl:

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest

Sau đó, thêm tuỳ chọn -alias vào lệnh keytool:

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest

Tạo mật khẩu được làm rối

Một số phần của quy trình định cấu hình TLS Edge yêu cầu bạn nhập mật khẩu đã làm rối trong tệp cấu hình. Mật khẩu được làm rối mã nguồn là một phương án thay thế an toàn hơn so với việc nhập mật khẩu ở dạng văn bản thuần tuý.

Bạn có thể tạo mật khẩu được làm rối mã nguồn bằng cách sử dụng lệnh sau trên Máy chủ quản lý Edge:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password

Nhập mật khẩu mới rồi xác nhận mật khẩu đó khi được nhắc. Vì lý do bảo mật, văn bản của mật khẩu sẽ không hiển thị. Lệnh này trả về mật khẩu ở dạng:

OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

Sử dụng mật khẩu được làm rối mã nguồn do OBF chỉ định khi định cấu hình TLS.

Để biết thêm thông tin, hãy xem bài viết này.