配置 TLS/SSL

Edge for Private Cloud v4.19.01

TLS(传输层安全协议,其前身为 SSL)是一种标准安全技术,用于确保在 API 环境中从应用到 Apigee Edge 再到后端服务进行安全加密的消息传递。

无论 Management API 的环境配置如何(例如,是否在您的 Management API 前使用了代理、路由器和/或负载平衡器);Edge 允许您启用和配置 TLS,从而允许您在本地 API 管理环境中控制消息加密。

对于在本地安装 Edge Private Cloud,您可以在多个位置配置 TLS:

  1. 路由器和消息处理器之间
  2. 访问 Edge Management API
  3. 访问 Edge 管理界面
  4. 获享新版 Edge 体验
  5. 通过应用访问您的 API
  6. 从 Edge 访问后端服务

如需全面了解在 Edge 上配置 TLS,请参阅 TLS/SSL

创建 JKS 文件

对于许多 TLS 配置,您用 JKS 文件表示密钥库,其中密钥库包含您的 TLS 证书和私钥。您可以通过多种方式创建 JKS 文件,但一种方法是使用 openssl 和 keytool 实用程序。

例如,您有一个名为 server.pem 的 PEM 文件(其中包含您的 TLS 证书)和一个名为 private_key.pem 的 PEM 文件(其中包含您的私钥)。您可以使用以下命令创建 PKCS12 文件:

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12

您必须输入密钥的密码(如果有)以及导出密码。此命令会创建一个名为 keystore.pkcs12 的 PKCS12 文件。

使用以下命令将其转换为名为 keystore.jks 的 JKS 文件:

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

系统会提示您输入 JKS 文件的新密码以及 PKCS12 文件的现有密码。确保对 JKS 文件使用与 PKCS12 文件相同的密码。

如果您必须指定密钥别名(例如在路由器和消息处理器之间配置 TLS 时),请在 openssl 命令中添加 -name 选项:

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest

然后,在 keytool 命令中添加 -alias 选项:

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest

生成混淆密码

在边缘 TLS 配置过程的某些部分,您需要在配置文件中输入经过混淆处理的密码。相较于以纯文本形式输入密码,经过混淆处理的密码是一种更安全的替代方案。

您可以在边缘管理服务器上使用以下命令生成经过混淆处理的密码:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password

输入新密码,然后在出现提示时确认。出于安全考虑,系统不会显示密码文本。此命令以如下形式返回密码:

OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

配置 TLS 时,请使用 OBF 指定的混淆密码。

如需了解详情,请参阅这篇文章