Edge for Private Cloud v4.19.01
TLS(Transport Layer Security、前身は SSL)は、アプリから Apigee Edge、バックエンド サービスに至るまで、API 環境全体で暗号化された安全なメッセージングを実現するための標準的なセキュリティ テクノロジーです。
Management API の環境構成に関係なく、たとえば、管理 API の前にプロキシ、ルーター、ロードバランサを使用しているかどうかに関係なく、Edge では TLS を有効にして構成できるため、オンプレミスの API 管理環境でメッセージの暗号化を制御できます。
Edge Private Cloud のオンプレミス環境では、いくつかの場所で TLS を構成できます。
- Router と Message Processor の間
- Edge Management API にアクセスする場合
- Edge 管理 UI にアクセスする場合
- New Edge エクスペリエンスへのアクセス
- アプリから API にアクセスする場合
- Edge からバックエンド サービスへのアクセス
Edge での TLS 構成の概要については、TLS/SSL をご覧ください。
JKS ファイルの作成
多くの TLS 構成では、キーストアを JKS ファイルとして表します。このキーストアには TLS 証明書と秘密鍵が含まれています。JKS ファイルを作成する方法はいくつかありますが、openssl ユーティリティと keytool ユーティリティを使用する方法の一つもあります。
たとえば、TLS 証明書を含む server.pem
という名前の PEM ファイルと、秘密鍵を含む private_key.pem という名前の PEM ファイルがあるとします。次のコマンドを使用して、PKCS12 ファイルを作成します。
openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12
鍵のパスフレーズ(設定されている場合)とエクスポート パスワードを入力する必要があります。このコマンドにより、keystore.pkcs12
という名前の PKCS12 ファイルが作成されます。
次のコマンドを使用して、keystore.jks という名前の JKS ファイルに変換します。
keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks
JKS ファイルの新しいパスワードと PKCS12 ファイルの既存のパスワードを入力するよう求められます。JKS ファイルには、PKCS12 ファイルに使用したものと同じパスワードを使用してください。
Router と Message Processor の間で TLS を構成する場合など、キーエイリアスを指定する必要がある場合は、openssl
コマンドに -name
オプションを含めます。
openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest
次に、keytool
コマンドに -alias
オプションを含めます。
keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest
難読化されたパスワードの生成
Edge の TLS 構成手順の一部では、構成ファイルに難読化されたパスワードを入力する必要があります。難読化されたパスワードは、書式なしテキストでパスワードを入力する代わりに、より安全です。
難読化されたパスワードを生成するには、Edge Management Server で次のコマンドを使用します。
/opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password
新しいパスワードを入力し、プロンプトで確認します。セキュリティ上の理由から、パスワードのテキストは表示されません。このコマンドは、次の形式でパスワードを返します。
OBF:58fh40h61svy156789gk1saj MD5:902fobg9d80e6043b394cb2314e9c6
TLS を構成するときは、OBF で指定された難読化されたパスワードを使用します。
詳しくは、こちらの記事をご覧ください。