Edge for Private Cloud v4.18.05
بروتوكول أمان طبقة النقل (TLS) هو تقنية الأمان القياسية لضمان المراسلة الآمنة المشفَّرة في بيئة واجهة برمجة التطبيقات، بدءًا من التطبيقات ووصولاً إلى Apigee Edge وخدمات الخلفية.
بغض النظر عن إعدادات البيئة لواجهة برمجة التطبيقات الخاصة بالإدارة، على سبيل المثال، ما إذا كان يتم استخدام خادم وكيل و/أو جهاز توجيه و/أو أداة موازنة تحميل أمام واجهة برمجة التطبيقات الخاصة بالإدارة (أو لا)، تتيح لك Edge تفعيل بروتوكول أمان طبقة النقل وضبطه، ما يمنحك التحكّم في تشفير الرسائل في بيئة إدارة واجهة برمجة التطبيقات داخل المؤسسة.
بالنسبة إلى عملية التثبيت على الموقع الإلكتروني لـ Edge Private Cloud، هناك عدة مواضع يمكنك فيها ضبط بروتوكول أمان طبقة النقل (TLS):
- بين المُوجِّه ومعالج الرسائل
- للوصول إلى واجهة برمجة التطبيقات Edge management API
- للوصول إلى واجهة مستخدم إدارة Edge
- للوصول من تطبيق إلى واجهات برمجة التطبيقات
- للوصول من Edge إلى خدمات الخلفية
في ما يلي وصف لإعداد بروتوكول TLS للعناصر الثلاثة الأولى. تعتمد كل هذه الإجراءات على أنّك أنشأت ملف JKS يحتوي على شهادة بروتوكول أمان طبقة النقل (TLS) ومفتاحك الخاص.
لضبط بروتوكول أمان طبقة النقل (TLS) للوصول من تطبيق إلى واجهات برمجة التطبيقات، يُرجى الاطّلاع على الخطوة 4 أعلاه، وضبط إمكانية الوصول إلى واجهة برمجة التطبيقات باستخدام بروتوكول أمان طبقة النقل (TLS) في "السحابة الخاصة". لضبط بروتوكول أمان طبقة النقل (TLS) للوصول من Edge إلى خدمات الخلفية، الخطوة 5 أعلاه، يُرجى الاطّلاع على ضبط بروتوكول أمان طبقة النقل (TLS) من Edge إلى الخلفية (السحابة الإلكترونية والسحابة الإلكترونية الخاصة).
للحصول على نظرة عامة كاملة حول ضبط بروتوكول أمان طبقة النقل (TLS) على Edge، يُرجى الاطّلاع على مقالة بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة (SSL).
إنشاء ملف JKS
يمكنك تمثيل ملف تخزين المفاتيح كملف JKS، حيث يحتوي ملف تخزين المفاتيح على شهادة بروتوكول أمان طبقة النقل (TLS) ومفتاحك الخاص. هناك عدة طرق لإنشاء ملف JKS، ولكن إحدى الطرق هي استخدام الأداتَين openssl و keytool.
على سبيل المثال، لديك ملف PEM باسم server.pem يحتوي على شهادة TLS
وملف PEM باسم private_key.pem يحتوي على مفتاحك الخاص. استخدِم الأوامر التالية ل
إنشاء ملف PKCS12:
openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12
عليك إدخال عبارة مرور المفتاح، إذا كان يحتوي على عبارة مرور، وكلمة مرور للتصدير. ينشئ هذا الأمر
ملف PKCS12 باسم keystore.pkcs12.
استخدِم الأمر التالي لتحويله إلى ملف JKS باسم keystore.jks:
keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks
سيُطلب منك إدخال كلمة المرور الجديدة لملف JKS وكلمة المرور الحالية لملف PKCS12. احرص على استخدام كلمة المرور نفسها لملف JKS التي استخدمتها في ملف PKCS12.
إذا كان عليك تحديد اسم معرِّف للمفتاح، مثل عند ضبط بروتوكول أمان طبقة النقل بين جهاز توجيه ومعالج رسائل، أدرِج الخيار -name في الأمر openssl:
openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest
بعد ذلك، أدرِج الخيار -alias في الأمر keytool:
keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest
إنشاء كلمة مرور مشوَّهة
تتطلب بعض أجزاء عملية ضبط بروتوكول أمان طبقة النقل (TLS) في Edge إدخال كلمة مرور مشوّهة في ملف الإعداد. تشكّل كلمة المرور المشوشة بديلاً أكثر أمانًا لإدخال كلمة المرور في نص عادي.
يمكنك إنشاء كلمة مرور مشوّشة باستخدام الأمر التالي على "خادم إدارة الحواف":
/opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password
أدخِل كلمة المرور الجديدة، ثم أكِّدها عندما يُطلب منك ذلك. لأسباب تتعلّق بالأمان، لا يتم عرض نص كلمة المرور. يعرض هذا الأمر كلمة المرور على النحو التالي:
OBF:58fh40h61svy156789gk1saj MD5:902fobg9d80e6043b394cb2314e9c6
استخدِم كلمة المرور المشوشة التي حدّدها OBF عند ضبط بروتوكول أمان طبقة النقل (TLS).
لمزيد من المعلومات، يُرجى الاطّلاع على هذه المقالة.