Konfigurowanie TLS/SSL

TLS (Transport Layer Security, którego poprzednik to protokół SSL) to standardowa technologia zabezpieczeń zapewniające bezpieczne, zaszyfrowane wiadomości w środowisku API, od aplikacji po Apigee Edge dla usług backendu.

Niezależnie od konfiguracji środowiska dla interfejsu API do zarządzania – na przykład używasz serwera proxy, routera lub systemu równoważenia obciążenia przed interfejsem API zarządzania (albo nie); Edge umożliwia włączenie i skonfigurowanie protokołu TLS, zapewniając Ci kontrolę nad szyfrowaniem wiadomości lokalnemu środowisku zarządzania interfejsami API.

W przypadku lokalnej instalacji Edge Private Cloud istnieje kilka miejsc, w których można skonfiguruj TLS:

  1. Między routerem a wiadomością Procesor
  2. Dostęp do interfejsu Edge Management API
  3. Dostęp do interfejsu zarządzania brzegiem
  4. Dostęp do nowego interfejsu Edge
  5. Dostęp z poziomu aplikacji do interfejsów API
  6. W przypadku dostęp z Edge do usług backendu

Pełne omówienie konfigurowania TLS w Edge znajdziesz w artykule TLS/SSL.

Tworzenie pliku JKS

W przypadku wielu konfiguracji TLS magazyn kluczy jest przedstawiany jako plik JKS, w którym znajduje się certyfikat TLS oraz klucz prywatny. Plik JKS można utworzyć na kilka sposobów, ale jednym z nich jest użycie instrukcji sitessl oraz z keytool.

Załóżmy, że masz plik PEM o nazwie server.pem, który zawiera certyfikat TLS. i plik PEM o nazwie private_key.pem zawierającym klucz prywatny. Użyj tych poleceń, aby utwórz plik PKCS12:

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12

Musisz wpisać hasło wielowyrazowe klucza (jeśli go ma) oraz hasło eksportu. Ten tworzy plik PKCS12 o nazwie keystore.pkcs12.

Użyj następującego polecenia, aby przekonwertować go na plik JKS o nazwie keystore.jks:

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

Pojawi się prośba o podanie nowego hasła w pliku JKS oraz istniejącego hasła do Plik PKCS12. Upewnij się, że w pliku JKS używasz tego samego hasła co w przypadku w pliku PKCS12.

Jeśli musisz określić alias klucza, na przykład podczas konfigurowania protokołu TLS między routerem a wiadomością Procesor, uwzględnij opcję -name w poleceniu openssl:

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest

Następnie dodaj do polecenia keytool opcję -alias:

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest

Generowanie zaciemnionego hasła

Niektóre części procedury konfiguracji Edge TLS wymagają podania zaciemnionego hasła w pliku konfiguracji. Zaciemnione hasło to bezpieczniejsza alternatywa dla wpisania .

Zaciemnione hasło możesz wygenerować za pomocą tego polecenia w Edge Management Serwer:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password

Wpisz nowe hasło i potwierdź je. Ze względów bezpieczeństwa tekst hasło nie jest wyświetlane. To polecenie zwraca hasło w formacie:

OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

Podczas konfigurowania protokołu TLS użyj zaciemnionego hasła określonego przez OBF.

Więcej informacji znajdziesz w tym artykule .