דף זה תורגם על ידי Cloud Translation API.

הגדרת TLS/SSL

Edge for Private Cloud גרסה 4.19.01

TLS (Transport Layer Security, שקודמו הוא SSL) היא טכנולוגיית האבטחה הסטנדרטית כדי להבטיח מסרים מאובטחים ומוצפנים בכל סביבת ה-API, מאפליקציות ל-Apigee מעבר לשירותים לקצה העורפי.

הערה: מכיוון ש-Edge תומך במקור ב-SSL, יופיעו חלק במאפייני ממשק המשתמש של Edge, Edge XML ו-Edge שמשתמשים במונח 'SSL'. לדוגמה, התפריט בממשק המשתמש של Edge שבו משתמשים כדי לצפות באישורים נקרא SSL אישורים, תג ה-XML שבו משתמשים כדי להגדיר למארח וירטואלי להשתמש ב-TLS נקרא <SSLInfo>, והמאפיין להגדרת יציאת ה-SSL עבור ה-Management API הוא conf_webserver_ssl.port.

ללא קשר להגדרת הסביבה עבור ממשק ה-API לניהול - לדוגמה, אתם משתמשים בשרת proxy, בנתב או במאזן עומסים מול ה-Management API (או not); Edge מאפשר להפעיל ולהגדיר TLS, כך שתוכלו לשלוט בהצפנת ההודעות בסביבת ניהול ה-API בארגון.

בהתקנה מקומית של Edge Private Cloud, יש כמה מקומות שבהם אפשר הגדרת TLS:

לסקירה כללית מלאה של הגדרת TLS ב-Edge, ראו TLS/SSL.

יצירת קובץ JKS

בתצורות TLS רבות, אתם מייצגים את מאגר המפתחות כקובץ JKS, שבו מאגר המפתחות מכיל את אישור ה-TLS, מפתח פרטי. יש כמה דרכים ליצור קובץ JKS, אבל דרך אחת היא להשתמש ב-Opensl וב של כלי המקשים.

לדוגמה, יש לכם קובץ PEM בשם server.pem שמכיל את אישור ה-TLS (אבטחת שכבת התעבורה) וקובץ PEM בשם private_key.pem שמכיל את המפתח הפרטי שלך. משתמשים בפקודות הבאות כדי יוצרים את קובץ ה-PKCS12:

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12

עליך להזין את ביטוי הסיסמה של המפתח, אם יש לו, ואת סיסמת הייצוא. הזה הפקודה יוצרת קובץ PKCS12 בשם keystore.pkcs12.

משתמשים בפקודה הבאה כדי להמיר אותו לקובץ JKS בשם keystore.jks:

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

תתבקשו להזין את הסיסמה החדשה של קובץ ה-JKS ואת הסיסמה הקיימת של קובץ PKCS12. חשוב לוודא שאתם משתמשים באותה סיסמה שבה השתמשתם בקובץ ה-JKS שבו השתמשתם את קובץ ה-PKCS12.

אם צריך לציין כינוי מפתח, למשל כשמגדירים TLS בין נתב להודעה מעבד, כוללים את האפשרות -name לפקודה openssl:

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest

לאחר מכן כוללים את האפשרות -alias בפקודה keytool:

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest

יצירת סיסמה מעורפלת

בחלקים מסוימים בהליך ההגדרה של TLS (אבטחת שכבת התעבורה) ב-Edge צריך להזין סיסמה מעורפלת בקובץ תצורה. סיסמה מעורפלת היא חלופה מאובטחת יותר להזנה של בפורמט של טקסט פשוט.

אפשר ליצור סיסמה מעורפלת באמצעות הפקודה הבאה ב-Edge Management שרת:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password

מזינים את הסיסמה החדשה ומאשרים אותה כשמוצגת הבקשה. מטעמי אבטחה, הטקסט של הסיסמה לא מוצגת. הפקודה תחזיר את הסיסמה:

OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

שימוש בסיסמה המעורפלת שצוינה על ידי OBF כשמגדירים TLS.

למידע נוסף במאמר הזה.