Edge for Private Cloud w wersji 4.18.05
TLS (Transport Layer Security, którego poprzednik to protokół SSL) to standardowa technologia zabezpieczeń zapewniające bezpieczne, zaszyfrowane wiadomości w środowisku API, od aplikacji po Apigee Edge dla usług backendu.
Niezależnie od konfiguracji środowiska dla interfejsu API do zarządzania – na przykład używasz serwera proxy, routera lub systemu równoważenia obciążenia przed interfejsem API zarządzania (albo nie); Edge umożliwia włączenie i skonfigurowanie protokołu TLS, zapewniając Ci kontrolę nad szyfrowaniem wiadomości lokalnemu środowisku zarządzania interfejsami API.
W przypadku lokalnej instalacji Edge Private Cloud istnieje kilka miejsc, w których można skonfiguruj TLS:
- Połączenie między routerem a procesorem wiadomości
- Dostęp do interfejsu Edge Management API
- Dostęp do interfejsu zarządzania brzegiem
- Dostęp z aplikacji do interfejsów API
- Aby uzyskać dostęp z Edge do usług backendu
Konfigurowanie TLS dla pierwszych 3 elementów opisano poniżej. Wszystkie te procedury przy założeniu, został utworzony plik JKS zawierający certyfikat TLS i klucz prywatny.
Aby skonfigurować protokół TLS na potrzeby dostępu z aplikacji do interfejsów API, #4 powyżej zapoznaj się z sekcją Konfigurowanie dostępu TLS do interfejsu API przy użyciu protokołu TLS dla chmury Private Cloud. Aby skonfigurować TLS na potrzeby dostępu z Edge do usług backendu, nr 5 znajdziesz powyżej w sekcji Konfigurowanie TLS z Edge do backendu (Cloud i Private Cloud).
Pełne omówienie konfigurowania TLS w Edge znajdziesz w artykule TLS/SSL.
Tworzenie pliku JKS
Magazyn kluczy jest przedstawiony jako plik JKS, w którym znajduje się certyfikat TLS oraz klucz prywatny. Plik JKS można utworzyć na kilka sposobów, ale jednym z nich jest użycie instrukcji sitessl oraz z keytool.
Załóżmy, że masz plik PEM o nazwie server.pem
, który zawiera certyfikat TLS.
i plik PEM o nazwie private_key.pem zawierającym klucz prywatny. Użyj tych poleceń, aby
utwórz plik PKCS12:
openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12
Musisz wpisać hasło wielowyrazowe klucza (jeśli go ma) oraz hasło eksportu. Ten
tworzy plik PKCS12 o nazwie keystore.pkcs12
.
Użyj następującego polecenia, aby przekonwertować go na plik JKS o nazwie keystore.jks:
keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks
Pojawi się prośba o podanie nowego hasła w pliku JKS oraz istniejącego hasła do Plik PKCS12. Upewnij się, że w pliku JKS używasz tego samego hasła co w przypadku w pliku PKCS12.
Jeśli musisz określić alias klucza, na przykład podczas konfigurowania protokołu TLS między routerem a wiadomością
Procesor, uwzględnij opcję -name
w poleceniu openssl
:
openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest
Następnie dodaj do polecenia keytool
opcję -alias
:
keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest
Generowanie zaciemnionego hasła
Niektóre części procedury konfiguracji Edge TLS wymagają podania zaciemnionego hasła w pliku konfiguracji. Zaciemnione hasło to bezpieczniejsza alternatywa dla wpisania .
Zaciemnione hasło możesz wygenerować za pomocą tego polecenia w Edge Management Serwer:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password
Wpisz nowe hasło i potwierdź je. Ze względów bezpieczeństwa tekst hasło nie jest wyświetlane. To polecenie zwraca hasło w formacie:
OBF:58fh40h61svy156789gk1saj MD5:902fobg9d80e6043b394cb2314e9c6
Podczas konfigurowania protokołu TLS użyj zaciemnionego hasła określonego przez OBF.
Więcej informacji znajdziesz w tym artykule .