Định cấu hình TLS/SSL

Edge for Private Cloud phiên bản 4.19.01

TLS (Bảo mật tầng truyền tải, tiền thân là SSL) là công nghệ bảo mật tiêu chuẩn để đảm bảo việc nhắn tin an toàn và được mã hoá trên môi trường API của bạn, từ các ứng dụng cho đến Apigee Khai thác các dịch vụ phụ trợ.

Bất kể cấu hình môi trường cho API quản lý của bạn là gì, ví dụ: liệu bạn đang sử dụng proxy, bộ định tuyến và/hoặc trình cân bằng tải trước API quản lý của mình (hoặc not); Edge cho phép bạn bật và định cấu hình TLS, nhờ đó, bạn có thể kiểm soát tính năng mã hoá thư môi trường quản lý API tại chỗ của bạn.

Bạn có thể cài đặt Edge Private Cloud tại một số nơi định cấu hình TLS:

  1. Giữa bộ định tuyến và bộ xử lý thư
  2. Để có quyền truy cập vào API Quản lý Edge
  3. Để có quyền truy cập vào giao diện người dùng quản lý Edge
  4. Để có quyền truy cập vào trải nghiệm Edge mới
  5. Đối với quyền truy cập từ một ứng dụng vào các API của bạn
  6. Để có quyền truy cập từ Edge vào các dịch vụ phụ trợ của bạn

Để biết toàn bộ thông tin tổng quan về cách định cấu hình TLS trên Edge, hãy xem TLS/SSL.

Tạo tệp JKS

Đối với nhiều cấu hình TLS, bạn biểu thị kho khoá dưới dạng một tệp JKS, trong đó kho khoá chứa chứng chỉ TLS và khoá riêng tư. Có nhiều cách để tạo tệp JKS, nhưng có một cách là sử dụng openssl và các tiện ích keytool.

Ví dụ: bạn có một tệp PEM có tên là server.pem chứa chứng chỉ TLS của bạn và một tệp PEM có tên private_key.pem chứa khoá riêng tư của bạn. Hãy dùng các lệnh sau để tạo tệp PKCS12:

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12

Bạn phải nhập cụm mật khẩu cho khoá (nếu có) và mật khẩu xuất. Chiến dịch này sẽ tạo một tệp PKCS12 có tên keystore.pkcs12.

Sử dụng lệnh sau để chuyển đổi tệp này thành tệp JKS có tên là kho khoá.jks:

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

Bạn được nhắc nhập mật khẩu mới cho tệp JKS và mật khẩu hiện tại cho PKCS12. Đảm bảo rằng bạn sử dụng cùng một mật khẩu cho tệp JKS như đã dùng cho tệp PKCS12.

Nếu bạn phải chỉ định bí danh khoá, chẳng hạn như khi định cấu hình TLS giữa Bộ định tuyến và Thông báo Bộ xử lý, hãy thêm tuỳ chọn -name vào lệnh openssl:

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest

Sau đó, đưa tuỳ chọn -alias vào lệnh keytool:

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest

Tạo mật khẩu bị làm rối mã nguồn

Một số phần của quy trình cấu hình TLS (Bảo mật tầng truyền tải) ở cạnh yêu cầu bạn nhập mật khẩu bị làm rối mã nguồn trong tệp cấu hình. Mật khẩu bị làm rối mã nguồn là một biện pháp thay thế an toàn hơn để nhập thông tin mật khẩu bằng văn bản thuần tuý.

Bạn có thể tạo mật khẩu bị làm rối mã nguồn bằng cách sử dụng lệnh sau trên Edge Management Máy chủ:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password

Nhập mật khẩu mới rồi xác nhận tại lời nhắc. Vì lý do bảo mật, nội dung của mật khẩu không hiển thị. Lệnh này trả về mật khẩu có dạng:

OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

Sử dụng mật khẩu đã làm rối mã nguồn do OBF chỉ định khi định cấu hình TLS.

Để biết thêm thông tin, hãy xem bài viết này bài viết.