Edge for Private Cloud, wersja 4.19.01
TLS (Transport Layer Security, którego poprzednik to SSL) to standardowa technologia zabezpieczająca bezpieczne przesyłanie wiadomości w Twoim środowisku interfejsu API – od aplikacji po interfejsy Apigee Edge i usługi backendu.
Niezależnie od konfiguracji środowiska używanego do zarządzania interfejsem API – na przykład tego, czy przed interfejsem API do zarządzania używasz serwera proxy, routera lub systemu równoważenia obciążenia. Edge pozwala włączyć i skonfigurować TLS, co daje Ci kontrolę nad szyfrowaniem wiadomości w lokalnym środowisku zarządzania API.
Aby przeprowadzić lokalną instalację Edge Private Cloud, możesz skonfigurować TLS w kilku miejscach:
- Między routerem a firmą obsługującą wiadomości
- Dostęp do interfejsu API zarządzania urządzeniami brzegowymi
- Dostęp do interfejsu zarządzania Edge
- Dostęp do nowej wersji Edge
- Dostęp z aplikacji do interfejsów API
- Dostęp z Edge do usług backendu
Pełne omówienie konfiguracji TLS w Edge znajdziesz w artykule TLS/SSL.
Tworzenie pliku JKS
W przypadku wielu konfiguracji TLS reprezentujesz magazyn kluczy jako plik JKS, który zawiera certyfikat TLS i klucz prywatny. Plik JKS można utworzyć na kilka sposobów, ale jednym ze sposobów jest użycie narzędzi opensl i keykey.
Na przykład masz plik PEM o nazwie server.pem
zawierający certyfikat TLS oraz plik PEM o nazwie private_key.pem zawierający klucz prywatny. Aby utworzyć plik PKCS12, użyj tych poleceń:
openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12
Musisz podać hasło klucza (jeśli je ma) oraz hasło eksportu. To polecenie tworzy plik PKCS12 o nazwie keystore.pkcs12
.
Aby przekonwertować go na plik JKS o nazwie keystore.jks, użyj tego polecenia:
keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks
Pojawi się prośba o podanie nowego hasła do pliku JKS i hasła do pliku PKCS12. Upewnij się, że w pliku JKS używasz tego samego hasła, co w przypadku pliku PKCS12.
Jeśli musisz określić alias klucza, na przykład podczas konfigurowania TLS między routerem a procesorem wiadomości, dołącz do polecenia openssl
opcję -name
:
openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest
Następnie dodaj do polecenia keytool
opcję -alias
:
keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest
Generowanie zaciemnionego hasła
Niektóre części procedury konfiguracji TLS brzegowego wymagają wpisania zaciemnionego hasła w pliku konfiguracji. Zaciemnione hasło jest bezpieczniejszą alternatywą dla wpisywania hasła w postaci zwykłego tekstu.
Zaciemnione hasło możesz wygenerować za pomocą tego polecenia na serwerze zarządzania brzegowym:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password
Wpisz nowe hasło, a następnie potwierdź je w wyświetlonym oknie. Ze względów bezpieczeństwa tekst hasła nie jest wyświetlany. To polecenie zwraca hasło w postaci:
OBF:58fh40h61svy156789gk1saj MD5:902fobg9d80e6043b394cb2314e9c6
Użyj zaciemnionego hasła określonego przez OBF podczas konfigurowania TLS.
Więcej informacji znajdziesz w tym artykule.