Ta strona została przetłumaczona przez Cloud Translation API.

Konfigurowanie TLS/SSL

Edge for Private Cloud w wersji 4.19.01

TLS (Transport Layer Security, którego poprzednik to SSL) to standardowa technologia zabezpieczeń zapewniająca bezpieczne, zaszyfrowane wiadomości w środowisku interfejsów API, od aplikacji przez Apigee Edge po usługi backendu.

Uwaga: przeglądarka Edge początkowo obsługiwała protokół SSL, dlatego we właściwościach interfejsu Edge, Edge XML i Edge możesz zobaczyć wystąpienie „SSL”. Na przykład pozycja menu w interfejsie użytkownika Edge, której używasz do wyświetlania certyfikatów, nosi nazwę Certyfikaty SSL, tag XML używany do konfigurowania hosta wirtualnego do używania TLS to <SSLInfo>, a właściwość do ustawiania portu SSL dla interfejsu API zarządzania to conf_webserver_ssl.port.

Niezależnie od konfiguracji środowiska interfejsu API do zarządzania – na przykład od tego, czy używasz serwera proxy, routera czy systemu równoważenia obciążenia przed interfejsem API zarządzania (czy też nie). Edge umożliwia włączenie i skonfigurowanie protokołu TLS, zapewniając Ci kontrolę nad szyfrowaniem wiadomości w lokalnym środowisku zarządzania interfejsami API.

W przypadku lokalnej instalacji Edge Private Cloud jest kilka miejsc, w których można skonfigurować protokół TLS:

Pełne omówienie konfigurowania TLS w Edge znajdziesz w artykule TLS/SSL.

Tworzenie pliku JKS

W przypadku wielu konfiguracji TLS magazyn kluczy przedstawiasz jako plik JKS, gdzie magazyn kluczy zawiera certyfikat TLS i klucz prywatny. Plik JKS można utworzyć na kilka sposobów, ale jednym z nich jest skorzystanie z narzędzi opensl i keytool.

Masz na przykład plik PEM o nazwie server.pem zawierający certyfikat TLS i plik PEM o nazwie private_key.pem zawierający klucz prywatny. Aby utworzyć plik PKCS12, użyj tych poleceń:

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12

Musisz wpisać hasło klucza (jeśli je ma) oraz hasło eksportu. To polecenie tworzy plik PKCS12 o nazwie keystore.pkcs12.

Przekonwertuj go na plik JKS o nazwie keystore.jks za pomocą tego polecenia:

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

Pojawi się prośba o podanie nowego hasła do pliku JKS oraz obecnego hasła do pliku PKCS12. Pamiętaj, by w pliku JKS użyć tego samego hasła co w pliku PKCS12.

Jeśli musisz określić alias klucza, na przykład podczas konfigurowania protokołu TLS między routerem a procesorem wiadomości, dodaj opcję -name do polecenia openssl:

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest

Następnie dodaj opcję -alias do polecenia keytool:

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest

Generowanie zaciemnionego hasła

Niektóre części procedury konfiguracji Edge TLS wymagają wpisania zaciemnionego hasła w pliku konfiguracji. Zaciemnione hasło to bezpieczniejsza alternatywa dla wpisywania hasła w postaci zwykłego tekstu.

Zaciemnione hasło możesz wygenerować przy użyciu tego polecenia na serwerze zarządzania urządzeniami brzegowymi:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password

Wpisz nowe hasło i potwierdź je w wyświetlonym oknie. Ze względów bezpieczeństwa tekst hasła nie jest wyświetlany. To polecenie zwraca hasło w takiej postaci:

OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

Podczas konfigurowania protokołu TLS użyj zaciemnionego hasła określonego przez OBF.

Więcej informacji znajdziesz w tym artykule.