TLS/SSL konfigurieren

Edge for Private Cloud v4.19.01

TLS (Transport Layer Security, dessen Vorgänger SSL) ist die standardmäßige Sicherheitstechnologie für sicheres, verschlüsseltes Messaging in Ihrer API-Umgebung – von Apps bis Apigee Edge zu Ihren Backend-Diensten.

Unabhängig von der Umgebungskonfiguration für Ihre Verwaltungs-API, z. B. Sie verwenden einen Proxy, einen Router und/oder einen Load-Balancer vor Ihrer Verwaltungs-API (oder nicht); Mit Edge können Sie TLS aktivieren und konfigurieren und so die Nachrichtenverschlüsselung in Ihrer lokalen API-Verwaltungsumgebung.

Für eine lokale Installation von Edge Private Cloud gibt es mehrere Möglichkeiten, TLS konfigurieren:

  1. Zwischen einem Router und einem Nachrichtenprozessor
  2. Für den Zugriff auf die Edge-Verwaltungs-API
  3. Für den Zugriff auf die Edge-Management-Benutzeroberfläche
  4. Für den Zugriff auf New Edge
  5. Für den Zugriff von einer App auf Ihre APIs
  6. Für den Zugriff von Edge auf Ihre Backend-Dienste

Eine vollständige Übersicht über das Konfigurieren von TLS in Edge finden Sie unter TLS/SSL.

JKS-Datei erstellen

Bei vielen TLS-Konfigurationen stellen Sie den Schlüsselspeicher als JKS-Datei dar, wobei der Schlüsselspeicher Ihr TLS-Zertifikat und privaten Schlüssel enthält. Es gibt mehrere Möglichkeiten, eine JKS-Datei zu erstellen. Eine Möglichkeit ist die Verwendung von openssl und keytool-Dienstprogrammen.

Beispiel: Sie haben eine PEM-Datei mit dem Namen server.pem, die Ihr TLS-Zertifikat enthält. und eine PEM-Datei mit dem Namen private_key.pem, die Ihren privaten Schlüssel enthält. Verwenden Sie die folgenden Befehle, um Erstellen Sie die PKCS12-Datei:

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12

Sie müssen die Passphrase für den Schlüssel, falls vorhanden, sowie ein Exportpasswort eingeben. Dieses wird eine PKCS12-Datei mit dem Namen keystore.pkcs12 erstellt.

Verwenden Sie den folgenden Befehl, um sie in eine JKS-Datei namens keystore.jks zu konvertieren:

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

Sie werden aufgefordert, das neue Passwort für die JKS-Datei und das bestehende Passwort für die PKCS12-Datei. Verwenden Sie für die JKS-Datei dasselbe Passwort wie für in der PKCS12-Datei.

Wenn Sie einen Schlüsselalias angeben müssen, z. B. beim Konfigurieren von TLS zwischen einem Router und einer Nachricht Prozessor: Fügen Sie dem Befehl openssl die Option -name hinzu:

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest

Fügen Sie dann die Option -alias in den Befehl keytool ein:

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest

Verschleiertes Passwort generieren

Einige Teile der Edge-TLS-Konfiguration erfordern die Eingabe eines verschleierten Passworts in einer Konfigurationsdatei. Ein verschleiertes Passwort ist eine sicherere Alternative zur Eingabe deines als Klartext.

Sie können ein verschleiertes Passwort mit dem folgenden Befehl in Edge Management generieren. Server:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password

Geben Sie das neue Passwort ein und bestätigen Sie es in der Aufforderung. Aus Sicherheitsgründen wird der Text wird das Passwort nicht angezeigt. Dieser Befehl gibt das Passwort in folgendem Format zurück:

OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

Verwenden Sie beim Konfigurieren von TLS das verschleierte Passwort, das in OBF angegeben ist.

Weitere Informationen finden Sie in diesem