TLS (Transport Layer Security, dessen Vorgänger SSL) ist die standardmäßige Sicherheitstechnologie für sicheres, verschlüsseltes Messaging in Ihrer API-Umgebung – von Apps bis Apigee Edge zu Ihren Backend-Diensten.
Unabhängig von der Umgebungskonfiguration für Ihre Verwaltungs-API, z. B. Sie verwenden einen Proxy, einen Router und/oder einen Load-Balancer vor Ihrer Verwaltungs-API (oder nicht); Mit Edge können Sie TLS aktivieren und konfigurieren und so die Nachrichtenverschlüsselung in Ihrer lokalen API-Verwaltungsumgebung.
Für eine lokale Installation von Edge Private Cloud gibt es mehrere Möglichkeiten, TLS konfigurieren:
- Zwischen einem Router und einer Nachricht Prozessor
- Für den Zugriff auf die Edge-Verwaltungs-API
- Für den Zugriff auf die Edge-Management-Benutzeroberfläche
- Für den Zugriff auf die neue Edge-Benutzeroberfläche
- Für Zugriff über eine App zu Ihren APIs
- Für Zugriff von Edge auf Ihre Backend-Dienste
Eine vollständige Übersicht über das Konfigurieren von TLS in Edge finden Sie unter TLS/SSL.
JKS-Datei erstellen
Bei vielen TLS-Konfigurationen stellen Sie den Schlüsselspeicher als JKS-Datei dar, wobei der Schlüsselspeicher Ihr TLS-Zertifikat und privaten Schlüssel enthält. Es gibt mehrere Möglichkeiten, eine JKS-Datei zu erstellen. Eine Möglichkeit ist die Verwendung von openssl und keytool-Dienstprogrammen.
Beispiel: Sie haben eine PEM-Datei mit dem Namen server.pem
, die Ihr TLS-Zertifikat enthält.
und eine PEM-Datei mit dem Namen private_key.pem, die Ihren privaten Schlüssel enthält. Verwenden Sie die folgenden Befehle, um
Erstellen Sie die PKCS12-Datei:
openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12
Sie müssen die Passphrase für den Schlüssel, falls vorhanden, sowie ein Exportpasswort eingeben. Dieses
wird eine PKCS12-Datei mit dem Namen keystore.pkcs12
erstellt.
Verwenden Sie den folgenden Befehl, um sie in eine JKS-Datei namens keystore.jks zu konvertieren:
keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks
Sie werden aufgefordert, das neue Passwort für die JKS-Datei und das bestehende Passwort für die PKCS12-Datei. Verwenden Sie für die JKS-Datei dasselbe Passwort wie für in der PKCS12-Datei.
Wenn Sie einen Schlüsselalias angeben müssen, z. B. beim Konfigurieren von TLS zwischen einem Router und einer Nachricht
Prozessor: Fügen Sie dem Befehl openssl
die Option -name
hinzu:
openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest
Fügen Sie dann die Option -alias
in den Befehl keytool
ein:
keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest
Verschleiertes Passwort generieren
Einige Teile der Edge-TLS-Konfiguration erfordern die Eingabe eines verschleierten Passworts in einer Konfigurationsdatei. Ein verschleiertes Passwort ist eine sicherere Alternative zur Eingabe deines als Klartext.
Sie können ein verschleiertes Passwort mit dem folgenden Befehl in Edge Management generieren. Server:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password
Geben Sie das neue Passwort ein und bestätigen Sie es in der Aufforderung. Aus Sicherheitsgründen wird der Text wird das Passwort nicht angezeigt. Dieser Befehl gibt das Passwort in folgendem Format zurück:
OBF:58fh40h61svy156789gk1saj MD5:902fobg9d80e6043b394cb2314e9c6
Verwenden Sie beim Konfigurieren von TLS das verschleierte Passwort, das in OBF angegeben ist.
Weitere Informationen finden Sie in diesem