Edge for Private Cloud w wersji 4.19.01
TLS (Transport Layer Security, którego poprzednik to SSL) to standardowa technologia zabezpieczeń zapewniająca bezpieczne, zaszyfrowane wiadomości w środowisku interfejsów API, od aplikacji przez Apigee Edge po usługi backendu.
Niezależnie od konfiguracji środowiska interfejsu API do zarządzania – na przykład od tego, czy używasz serwera proxy, routera czy systemu równoważenia obciążenia przed interfejsem API zarządzania (czy też nie). Edge umożliwia włączenie i skonfigurowanie protokołu TLS, zapewniając Ci kontrolę nad szyfrowaniem wiadomości w lokalnym środowisku zarządzania interfejsami API.
W przypadku lokalnej instalacji Edge Private Cloud jest kilka miejsc, w których można skonfigurować protokół TLS:
- Między routerem a procesorem przesyłania wiadomości
- Dostęp do interfejsu Edge Management API
- Dostęp do interfejsu zarządzania urządzeniami brzegowymi
- Aby uzyskać dostęp do nowej wersji Edge
- Dostęp z aplikacji do interfejsów API
- Dostęp z Edge do usług backendu
Pełne omówienie konfigurowania TLS w Edge znajdziesz w artykule TLS/SSL.
Tworzenie pliku JKS
W przypadku wielu konfiguracji TLS magazyn kluczy przedstawiasz jako plik JKS, gdzie magazyn kluczy zawiera certyfikat TLS i klucz prywatny. Plik JKS można utworzyć na kilka sposobów, ale jednym z nich jest skorzystanie z narzędzi opensl i keytool.
Masz na przykład plik PEM o nazwie server.pem
zawierający certyfikat TLS i plik PEM o nazwie private_key.pem zawierający klucz prywatny. Aby utworzyć plik PKCS12, użyj tych poleceń:
openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12
Musisz wpisać hasło klucza (jeśli je ma) oraz hasło eksportu. To polecenie tworzy plik PKCS12 o nazwie keystore.pkcs12
.
Przekonwertuj go na plik JKS o nazwie keystore.jks za pomocą tego polecenia:
keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks
Pojawi się prośba o podanie nowego hasła do pliku JKS oraz obecnego hasła do pliku PKCS12. Pamiętaj, by w pliku JKS użyć tego samego hasła co w pliku PKCS12.
Jeśli musisz określić alias klucza, na przykład podczas konfigurowania protokołu TLS między routerem a procesorem wiadomości, dodaj opcję -name
do polecenia openssl
:
openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest
Następnie dodaj opcję -alias
do polecenia keytool
:
keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest
Generowanie zaciemnionego hasła
Niektóre części procedury konfiguracji Edge TLS wymagają wpisania zaciemnionego hasła w pliku konfiguracji. Zaciemnione hasło to bezpieczniejsza alternatywa dla wpisywania hasła w postaci zwykłego tekstu.
Zaciemnione hasło możesz wygenerować przy użyciu tego polecenia na serwerze zarządzania urządzeniami brzegowymi:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password
Wpisz nowe hasło i potwierdź je w wyświetlonym oknie. Ze względów bezpieczeństwa tekst hasła nie jest wyświetlany. To polecenie zwraca hasło w takiej postaci:
OBF:58fh40h61svy156789gk1saj MD5:902fobg9d80e6043b394cb2314e9c6
Podczas konfigurowania protokołu TLS użyj zaciemnionego hasła określonego przez OBF.
Więcej informacji znajdziesz w tym artykule.