适用于私有云的 Edge v4.19.01
TLS(传输层安全协议,其前身是 SSL)是一种标准的安全技术 可确保跨 API 环境(从应用到 Apigee)进行安全加密的消息传递 让您的后端服务完美无瑕。
无论您的 Management API 环境配置如何,例如, 您在 Management API 前面使用了代理、路由器和/或负载平衡器(或者 not);借助 Edge,您可以启用和配置 TLS,从而控制 管理本地 API 管理环境。
对于 Edge 私有云的本地安装,您可以在多个位置 配置 TLS:
如需全面了解如何在 Edge 上配置 TLS,请参阅 TLS/SSL。
创建 JKS 文件
对于许多 TLS 配置,您可以将密钥库表示为 JKS 文件,其中密钥库会包含您的 TLS 证书和 私钥。您可以通过多种方式创建 JKS 文件,但可以使用 openssl 和 keytool 实用程序。
例如,您有一个名为 server.pem 的 PEM 文件,其中包含您的 TLS 证书
和一个名为 private_key.pem 的 PEM 文件,其中包含您的私钥。使用以下命令
创建 PKCS12 文件:
openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12
您必须输入密钥的密码(如果有),以及导出密码。这个
命令会创建一个名为 keystore.pkcs12 的 PKCS12 文件。
使用以下命令将其转换为名为 keystore.jks 的 JKS 文件:
keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks
系统会提示您为 JKS 文件输入新密码, PKCS12 文件。请确保 JKS 文件的密码与 PKCS12 文件。
如果您必须指定密钥别名,例如在路由器和邮件之间配置 TLS 时
处理器中,请在 openssl 命令中添加 -name 选项:
openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest
然后,在 keytool 命令中添加 -alias 选项:
keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest
生成经过混淆处理的密码
Edge TLS 配置过程的某些环节会要求您输入混淆过的密码 定义一个配置文件与输入验证码相比,混淆过的密码 纯文本格式的密码。
您可以在 Edge Management 上使用以下命令生成经过混淆处理的密码 服务器:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password
输入新密码,然后在出现提示时确认。出于安全考虑, 密码将不会显示。此命令以如下形式返回密码:
OBF:58fh40h61svy156789gk1saj MD5:902fobg9d80e6043b394cb2314e9c6
在配置 TLS 时使用 OBF 指定的经过混淆处理的密码。
有关详情,请参阅此 文章。