适用于私有云的 Edge v4.18.05
TLS(传输层安全协议,其前身为 SSL)是一种标准安全技术,用于确保在整个 API 环境(从应用到 Apigee Edge 到后端服务)中进行安全加密消息传递。
无论管理 API 的环境配置如何(例如,您是否在管理 API 前面使用代理、路由器和/或负载平衡器),Edge 都允许您启用和配置 TLS,从而控制在本地 API 管理环境中对消息进行加密。
对于 Edge Private Cloud 的本地安装,您可以在多个位置配置 TLS:
- 路由器和消息处理器之间
- 如需访问 Edge 管理 API
- 如需访问 Edge 管理界面
- 用于从应用访问您的 API
- 如需从 Edge 访问您的后端服务
下面介绍了如何为前三项配置 TLS。所有这些步骤都假定您已创建包含 TLS 认证和私钥的 JKS 文件。
如需配置 TLS 以便应用访问您的 API(上文第 4 点),请参阅为私有云配置对 API 的 TLS 访问权限。如需配置 TLS 以便从 Edge 访问后端服务(上文第 5 点),请参阅配置从 Edge 到后端(云和私有云)的 TLS。
如需全面了解如何在 Edge 上配置 TLS,请参阅 TLS/SSL。
创建 JKS 文件
您可以将密钥库表示为 JKS 文件,其中密钥库包含您的 TLS 证书和私钥。创建 JKS 文件的方法有多种,其中一种是使用 openssl 和 keytool 实用程序。
例如,您有一个名为 server.pem 的 PEM 文件,其中包含您的 TLS 证书,并且有一个名为 private_key.pem 的 PEM 文件,其中包含您的私钥。使用以下命令创建 PKCS12 文件:
openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12
您必须输入密钥的密码(如果有)和导出密码。此命令会创建一个名为 keystore.pkcs12 的 PKCS12 文件。
使用以下命令将其转换为名为 keystore.jks 的 JKS 文件:
keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks
系统会提示您输入 JKS 文件的新密码,以及 PKCS12 文件的现有密码。请务必为 JKS 文件使用与 PKCS12 文件相同的密码。
如果您必须指定密钥别名(例如在路由器和消息处理器之间配置 TLS 时),请将 -name 选项添加到 openssl 命令中:
openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest
然后,将 -alias 选项添加到 keytool 命令中:
keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest
生成经过混淆处理的密码
Edge TLS 配置流程的某些部分需要您在配置文件中输入经过混淆处理的密码。与输入纯文本密码相比,使用经过混淆处理的密码是一种更安全的替代方案。
您可以在 Edge 管理服务器上使用以下命令生成经过混淆处理的密码:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password
输入新密码,然后在系统提示时进行确认。出于安全考虑,系统不会显示密码文本。此命令以如下形式返回密码:
OBF:58fh40h61svy156789gk1saj MD5:902fobg9d80e6043b394cb2314e9c6
配置 TLS 时,请使用 OBF 指定的经过混淆处理的密码。
如需了解详情,请参阅这篇文章。