配置 TLS/SSL

适用于私有云的 Edge v4.19.01

TLS(传输层安全协议,其前身是 SSL)是一种标准的安全技术 可确保跨 API 环境(从应用到 Apigee)进行安全加密的消息传递 让您的后端服务完美无瑕。

无论您的 Management API 环境配置如何,例如, 您在 Management API 前面使用了代理、路由器和/或负载平衡器(或者 not);借助 Edge,您可以启用和配置 TLS,从而控制 管理本地 API 管理环境。

对于 Edge 私有云的本地安装,您可以在多个位置 配置 TLS:

  1. 路由器和消息处理器之间
  2. 用于访问 Edge Management API
  3. 访问 Edge 管理界面
  4. 如要访问新版 Edge
  5. 从应用访问您的 API
  6. 用于从 Edge 访问后端服务

如需全面了解如何在 Edge 上配置 TLS,请参阅 TLS/SSL

创建 JKS 文件

对于许多 TLS 配置,您可以将密钥库表示为 JKS 文件,其中密钥库会包含您的 TLS 证书和 私钥。您可以通过多种方式创建 JKS 文件,但可以使用 openssl 和 keytool 实用程序。

例如,您有一个名为 server.pem 的 PEM 文件,其中包含您的 TLS 证书 和一个名为 private_key.pem 的 PEM 文件,其中包含您的私钥。使用以下命令 创建 PKCS12 文件:

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12

您必须输入密钥的密码(如果有),以及导出密码。这个 命令会创建一个名为 keystore.pkcs12 的 PKCS12 文件。

使用以下命令将其转换为名为 keystore.jks 的 JKS 文件:

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

系统会提示您为 JKS 文件输入新密码, PKCS12 文件。请确保 JKS 文件的密码与 PKCS12 文件。

如果您必须指定密钥别名,例如在路由器和邮件之间配置 TLS 时 处理器中,请在 openssl 命令中添加 -name 选项:

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest

然后,在 keytool 命令中添加 -alias 选项:

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest

生成经过混淆处理的密码

Edge TLS 配置过程的某些环节会要求您输入混淆过的密码 定义一个配置文件与输入验证码相比,混淆过的密码 纯文本格式的密码。

您可以在 Edge Management 上使用以下命令生成经过混淆处理的密码 服务器:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password

输入新密码,然后在出现提示时确认。出于安全考虑, 密码将不会显示。此命令以如下形式返回密码:

OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

在配置 TLS 时使用 OBF 指定的经过混淆处理的密码。

有关详情,请参阅此 文章