การกําหนดค่า TLS/SSL

Edge for Private Cloud v4.19.01

TLS (Transport Layer Security) ซึ่งมีรุ่นก่อนหน้าเป็น SSL) เป็นเทคโนโลยีความปลอดภัยมาตรฐาน สำหรับการดูแลการรับส่งข้อความที่เข้ารหัสในสภาพแวดล้อม API อย่างปลอดภัย ตั้งแต่แอปต่างๆ ไปจนถึง Apigee ใช้บริการแบ็กเอนด์ของคุณ

ไม่ว่าจะกำหนดค่าสภาพแวดล้อมสำหรับ API การจัดการไว้อย่างไร ตัวอย่างเช่น คุณกำลังใช้พร็อกซี เราเตอร์ และ/หรือตัวจัดสรรภาระงานที่อยู่ด้านหน้า API การจัดการ (หรือ not); Edge ช่วยให้คุณเปิดใช้และกำหนดค่า TLS ซึ่งทำให้คุณสามารถควบคุมการเข้ารหัสข้อความใน สภาพแวดล้อมการจัดการ API ภายในองค์กรของคุณ

สำหรับการติดตั้ง Edge Private Cloud ภายในองค์กร คุณสามารถดำเนินการได้จากหลายที่ กำหนดค่า TLS:

  1. ระหว่างเราเตอร์และระบบประมวลผลข้อความ
  2. สำหรับการเข้าถึง Edge Management API
  3. สำหรับการเข้าถึง UI การจัดการ Edge
  4. สำหรับการเข้าถึงประสบการณ์การใช้งาน New Edge
  5. สำหรับการเข้าถึงจากแอปไปยัง API
  6. สำหรับการเข้าถึงจาก Edge ไปยังบริการแบ็กเอนด์

โปรดดูภาพรวมทั้งหมดของการกำหนดค่า TLS ใน Edge ได้ที่ TLS/SSL

การสร้างไฟล์ JKS

สำหรับการกำหนดค่า TLS จำนวนมาก คุณจะแสดงคีย์สโตร์เป็นไฟล์ JKS ซึ่งคีย์สโตร์จะมีใบรับรอง TLS และ คีย์ส่วนตัว การสร้างไฟล์ JKS นั้นทำได้หลายวิธี แต่วิธีหนึ่งก็คือการใช้ openssl และ เครื่องมือคีย์ยูทิลิตี

เช่น คุณมีไฟล์ PEM ชื่อ server.pem ที่มีใบรับรอง TLS และไฟล์ PEM ชื่อ private_key.pem ที่มีคีย์ส่วนตัว ใช้คำสั่งต่อไปนี้เพื่อ สร้างไฟล์ PKCS12

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12

คุณต้องป้อนรหัสผ่านสำหรับคีย์ (หากมี) และรหัสผ่านสำหรับส่งออก ช่วงเวลานี้ สร้างไฟล์ PKCS12 ชื่อ keystore.pkcs12

ใช้คำสั่งต่อไปนี้เพื่อแปลงเป็นไฟล์ JKS ชื่อ keystore.jks

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

ระบบจะแจ้งให้คุณป้อนรหัสผ่านใหม่สำหรับไฟล์ JKS และรหัสผ่านที่มีอยู่สำหรับ PKCS12 ตรวจสอบว่าคุณใช้รหัสผ่านสำหรับไฟล์ JKS เดียวกันกับที่ใช้ ไฟล์ PKCS12

หากต้องระบุชื่อแทนคีย์ เช่น เมื่อกำหนดค่า TLS ระหว่างเราเตอร์และข้อความ โปรเซสเซอร์ รวมตัวเลือก -name ไว้ในคำสั่ง openssl ดังนี้

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest

จากนั้นรวมตัวเลือก -alias ไว้ในคำสั่ง keytool ดังนี้

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest

การสร้างรหัสผ่านที่ปรับให้ยากต่อการอ่าน (Obfuscate)

บางส่วนของขั้นตอนการกำหนดค่า Edge TLS ต้องป้อนรหัสผ่านที่ปรับให้ยากต่อการอ่าน (Obfuscate) ในไฟล์การกำหนดค่า รหัสผ่านที่ปรับให้ยากต่อการอ่าน (Obfuscate) เป็นทางเลือกที่ปลอดภัยกว่าในการป้อนรหัสผ่าน เป็นข้อความธรรมดา

คุณสร้างรหัสผ่านที่ปรับให้ยากต่อการอ่าน (Obfuscate) ได้โดยใช้คำสั่งต่อไปนี้ในการจัดการ Edge เซิร์ฟเวอร์:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password

ป้อนรหัสผ่านใหม่และยืนยันรหัสผ่านเมื่อมีข้อความแจ้ง เพื่อความปลอดภัย ข้อความของ ไม่แสดงรหัสผ่าน คำสั่งนี้จะแสดงรหัสผ่านในรูปแบบดังนี้

OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

ใช้รหัสผ่านที่ปรับให้ยากต่อการอ่าน (Obfuscate) ที่ระบุโดย OBF เมื่อกำหนดค่า TLS

สำหรับข้อมูลเพิ่มเติม โปรดดู บทความ