Konfigurowanie TLS/SSL

Edge for Private Cloud, wersja 4.19.01

TLS (Transport Layer Security, którego poprzednik to SSL) to standardowa technologia zabezpieczająca bezpieczne przesyłanie wiadomości w Twoim środowisku interfejsu API – od aplikacji po interfejsy Apigee Edge i usługi backendu.

Niezależnie od konfiguracji środowiska używanego do zarządzania interfejsem API – na przykład tego, czy przed interfejsem API do zarządzania używasz serwera proxy, routera lub systemu równoważenia obciążenia. Edge pozwala włączyć i skonfigurować TLS, co daje Ci kontrolę nad szyfrowaniem wiadomości w lokalnym środowisku zarządzania API.

Aby przeprowadzić lokalną instalację Edge Private Cloud, możesz skonfigurować TLS w kilku miejscach:

  1. Między routerem a firmą obsługującą wiadomości
  2. Dostęp do interfejsu API zarządzania urządzeniami brzegowymi
  3. Dostęp do interfejsu zarządzania Edge
  4. Dostęp do nowej wersji Edge
  5. Dostęp z aplikacji do interfejsów API
  6. Dostęp z Edge do usług backendu

Pełne omówienie konfiguracji TLS w Edge znajdziesz w artykule TLS/SSL.

Tworzenie pliku JKS

W przypadku wielu konfiguracji TLS reprezentujesz magazyn kluczy jako plik JKS, który zawiera certyfikat TLS i klucz prywatny. Plik JKS można utworzyć na kilka sposobów, ale jednym ze sposobów jest użycie narzędzi opensl i keykey.

Na przykład masz plik PEM o nazwie server.pem zawierający certyfikat TLS oraz plik PEM o nazwie private_key.pem zawierający klucz prywatny. Aby utworzyć plik PKCS12, użyj tych poleceń:

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12

Musisz podać hasło klucza (jeśli je ma) oraz hasło eksportu. To polecenie tworzy plik PKCS12 o nazwie keystore.pkcs12.

Aby przekonwertować go na plik JKS o nazwie keystore.jks, użyj tego polecenia:

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

Pojawi się prośba o podanie nowego hasła do pliku JKS i hasła do pliku PKCS12. Upewnij się, że w pliku JKS używasz tego samego hasła, co w przypadku pliku PKCS12.

Jeśli musisz określić alias klucza, na przykład podczas konfigurowania TLS między routerem a procesorem wiadomości, dołącz do polecenia openssl opcję -name:

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest

Następnie dodaj do polecenia keytool opcję -alias:

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest

Generowanie zaciemnionego hasła

Niektóre części procedury konfiguracji TLS brzegowego wymagają wpisania zaciemnionego hasła w pliku konfiguracji. Zaciemnione hasło jest bezpieczniejszą alternatywą dla wpisywania hasła w postaci zwykłego tekstu.

Zaciemnione hasło możesz wygenerować za pomocą tego polecenia na serwerze zarządzania brzegowym:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password

Wpisz nowe hasło, a następnie potwierdź je w wyświetlonym oknie. Ze względów bezpieczeństwa tekst hasła nie jest wyświetlany. To polecenie zwraca hasło w postaci:

OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

Użyj zaciemnionego hasła określonego przez OBF podczas konfigurowania TLS.

Więcej informacji znajdziesz w tym artykule.