Edge for Private Cloud v4.19.01
TLS(Transport Layer Security、前身は SSL)は標準的なセキュリティ テクノロジー アプリから Apigee まで、API 環境全体で暗号化された安全なメッセージングを確保できます。 エッジからバックエンド サービスに接続します。
たとえば、管理 API の環境構成に関係なく、 管理 API の前にプロキシ、ルーター、ロードバランサを配置している場合 not);Edge では、TLS を有効にして構成し、 API 管理環境で実行できます
Edge Private Cloud をオンプレミスにインストールする場合、 TLS を構成します。
- Router と Message Processor 間
- Edge 管理 API へのアクセス
- Edge 管理 UI へのアクセス
- New Edge エクスペリエンスへのアクセス
- アプリから API へのアクセスの場合
- Edge からバックエンド サービスへのアクセス
Edge での TLS 構成の概要については、TLS/SSL をご覧ください。
JKS ファイルの作成
多くの TLS 構成では、キーストアを JKS ファイルとして表します。この場合、キーストアには TLS 証明書と されます。JKS ファイルを作成するにはいくつかの方法がありますが、openssl と ユーティリティです。
たとえば、TLS 証明書を含む server.pem という名前の PEM ファイルがあるとします。
秘密鍵を含む private_key.pem という名前の PEM ファイルが必要です。以下のコマンドを使用して、
PKCS12 ファイルを作成します。
openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12
鍵のパスフレーズ(設定されている場合)とエクスポート パスワードを入力する必要があります。この
コマンドにより、keystore.pkcs12 という名前の PKCS12 ファイルを作成します。
次のコマンドを使用して、keystore.jks という名前の JKS ファイルに変換します。
keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks
JKS ファイルの新しいパスワードと、Cloud Storage バケットの既存の PKCS12 ファイルです。JKS ファイルには、 PKCS12 ファイルです。
Router と Message の間で TLS を構成する場合など、キーエイリアスを指定する必要がある場合
プロセッサ] で、openssl コマンドに -name オプションを指定します。
openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest
次に、keytool コマンドに -alias オプションを含めます。
keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest
難読化されたパスワードの生成
Edge TLS 構成手順の一部で、難読化されたパスワードを入力する必要がある 記述する必要があります。難読化されたパスワードは、認証情報を 暗号化します。
Edge 管理ページで次のコマンドを使用すると、難読化されたパスワードを生成できます。 サーバー:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password
新しいパスワードを入力し、プロンプトで確認します。セキュリティ上の理由から、 パスワードは表示されません。このコマンドは、パスワードを次の形式で返します。
OBF:58fh40h61svy156789gk1saj MD5:902fobg9d80e6043b394cb2314e9c6
TLS の設定時に、OBF で指定された難読化されたパスワードを使用します。
詳しくは、こちらの 記事をご覧ください。