הגדרת TLS/SSL

TLS (Transport Layer Security, שקודמו הוא SSL) היא טכנולוגיית האבטחה הסטנדרטית כדי להבטיח מסרים מאובטחים ומוצפנים בכל סביבת ה-API, מאפליקציות ל-Apigee מעבר לשירותים לקצה העורפי.

ללא קשר להגדרת הסביבה עבור ממשק ה-API לניהול - לדוגמה, משתמשים בשרת proxy, בנתב או במאזן עומסים מול ה-Management API (או not); Edge מאפשר להפעיל ולהגדיר TLS, כך שתוכלו לשלוט בהצפנת ההודעות בסביבת ניהול ה-API בארגון.

בהתקנה מקומית של Edge Private Cloud, יש כמה מקומות שבהם אפשר הגדרת TLS:

  1. בין נתב והודעה מעבד
  2. לגישה ל-Edge management API
  3. לגישה לממשק המשתמש של ניהול Edge
  4. גישה לממשק המשתמש החדש של Edge
  5. לגישה מאפליקציה לממשקי ה-API שלכם
  6. עבור גישה מ-Edge לשירותים לקצה העורפי

לסקירה כללית מלאה של הגדרת TLS ב-Edge, ראו TLS/SSL.

יצירת קובץ JKS

בתצורות TLS רבות, אתם מייצגים את מאגר המפתחות כקובץ JKS, שבו מאגר המפתחות מכיל את אישור ה-TLS, מפתח פרטי. יש כמה דרכים ליצור קובץ JKS, אבל דרך אחת היא להשתמש ב-Opensl וב של כלי המקשים.

לדוגמה, יש לכם קובץ PEM בשם server.pem שמכיל את אישור ה-TLS (אבטחת שכבת התעבורה) וקובץ PEM בשם private_key.pem שמכיל את המפתח הפרטי שלך. משתמשים בפקודות הבאות כדי יוצרים את קובץ ה-PKCS12:

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12

עליך להזין את ביטוי הסיסמה של המפתח, אם יש לו, ואת סיסמת הייצוא. הזה הפקודה יוצרת קובץ PKCS12 בשם keystore.pkcs12.

משתמשים בפקודה הבאה כדי להמיר אותו לקובץ JKS בשם keystore.jks:

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

תתבקשו להזין את הסיסמה החדשה של קובץ ה-JKS ואת הסיסמה הקיימת של קובץ PKCS12. חשוב לוודא שאתם משתמשים באותה סיסמה שבה השתמשתם בקובץ ה-JKS שבו השתמשתם את קובץ ה-PKCS12.

אם צריך לציין כינוי מפתח, למשל כשמגדירים TLS בין נתב להודעה מעבד, כוללים את האפשרות -name לפקודה openssl:

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest

לאחר מכן כוללים את האפשרות -alias בפקודה keytool:

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest

יצירת סיסמה מעורפלת

בחלקים מסוימים בהליך ההגדרה של TLS (אבטחת שכבת התעבורה) יש להזין סיסמה מעורפלת בקובץ תצורה. סיסמה מעורפלת היא חלופה מאובטחת יותר להזנה של בפורמט של טקסט פשוט.

אפשר ליצור סיסמה מעורפלת באמצעות הפקודה הבאה ב-Edge Management שרת:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password

מזינים את הסיסמה החדשה ומאשרים אותה כשמוצגת הבקשה. מטעמי אבטחה, הטקסט של הסיסמה לא מוצגת. הפקודה תחזיר את הסיסמה:

OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

שימוש בסיסמה המעורפלת שצוינה על ידי OBF כשמגדירים TLS.

למידע נוסף במאמר הזה.