秘密鍵の暗号化を有効にする

このドキュメントでは、Google Cloud での暗号化および 保存されているデベロッパー アプリのコンシューマ シークレット(クライアント認証情報) Cassandra データベースに作成されます。

概要

従来、Apigee Edge for Private Cloud では、Key-Value マップ暗号化がオプションとして提供されています。 (KVM)データと OAuth アクセス トークン。

次の表に、Apigee for Private Cloud の保存データの暗号化オプションを示します。

エンティティ デフォルトで暗号化が有効 オプションで暗号化を利用可能 関連ドキュメント
KVM × 暗号化された KVM についてをご覧ください。
OAuth アクセス トークン × トークンのハッシュ化によるセキュリティの強化をご覧ください。
デベロッパー アプリのコンシューマ シークレット × 有効にするには、このドキュメントの構成手順を行います。

クライアント認証情報の暗号化を有効にするには、 Message Processor ノードおよび Management Server ノードです。

  • キーストアを作成して 鍵暗号鍵 (KEK)。Apigee は、この暗号化された鍵を使用して、データの暗号化に必要な秘密鍵を暗号化します。
  • すべての Management Server ノードと Message Processor ノードの構成プロパティを編集します。
  • 鍵の作成をトリガーするデベロッパー アプリを作成します。
  • ノードを再起動します。

このドキュメントでは、これらのタスクについて説明します。

キーについて知っておくべきこと 暗号化機能

このドキュメントの手順では、KEK 機能を有効にする方法について説明します。これにより、Apigee は Cloud Storage の デベロッパー アプリの暗号化に使用する秘密鍵 コンシューマ シークレットが Cassandra データベースに保存されるときに暗号化されます。

デフォルトでは、データベース内の既存の値は(書式なしテキストで)変更されず、 引き続き機能します

<ph type="x-smartling-placeholder">

暗号化されていないエンティティに書き込みオペレーションを実行すると、 保存されます。たとえば、暗号化されていないトークンを取り消してから、 新たに承認されたトークンは暗号化されます。

鍵を安全に保管する

KEK が保存されているキーストアのコピーを安全な場所に保管してください。まず独自のカスタムモジュールの キーストアのコピーを保存する安全なメカニズムです。このドキュメントで説明するように、 ローカル ビジネスが展開するすべての Message Processor ノードおよび管理サーバー ノードに、キーストアが 構成ファイルから参照できます。 ただし、変数を キーストアのコピーを別の場所に保管し、安全に保管し、バックアップとして使用します。

鍵暗号化の有効化

コンシューマ秘密鍵の暗号化手順は次のとおりです。

前提条件

このドキュメントの手順を行う前に、次の要件を満たす必要があります。

  • Apigee Edge for Private Cloud 4.50.00.10 以降をインストールするか、これにアップグレードする必要があります。
  • Apigee Edge for Private Cloud の管理者である必要があります。

ステップ 1: キーストアを生成する

鍵暗号鍵(KEK)を保持するキーストアを作成する手順は次のとおりです。

<ph type="x-smartling-placeholder">
  1. 次のコマンドを実行して、キーストアを生成するために、 暗号化します。ここに示されているとおりにコマンドを正確に入力します。(任意のキーストア名を指定できます)。
    keytool -genseckey -alias KEYSTORE_NAME -keyalg AES -keysize 256 \
    -keystore kekstore.p12 -storetype PKCS12

    プロンプトが表示されたら、パスワードを入力します。このパスワードは、この後のセクションで Management Server と Message Processor を構成します。

    このコマンドにより、kekstore.p12 キーストア ファイルが生成されます。このファイルには、 エイリアス KEYSTORE_NAME です。

  2. (省略可)次のコマンドを使用して、ファイルが正しく生成されたことを確認します。ファイルが 正しい場合、コマンドはエイリアス KEYSTORE_NAME を持つキーを返します。
    keytool -list -keystore kekstore.p12

ステップ 2: 管理サーバーを構成する

次に、管理サーバーを構成します。複数のノードに管理サーバーをインストールしている場合 この手順をノードごとに繰り返す必要があります。

  1. 手順 1 で生成したキーストア ファイルを、管理サーバーノードのディレクトリ(/opt/apigee/customer/application など)にコピーします。例:
    cp certs/kekstore.p12 /opt/apigee/customer/application
  2. apigee ユーザーがファイルを読み取れるようにします。
    chown apigee:apigee /opt/apigee/customer/application/kekstore.p12
    chmod 400 /opt/apigee/customer/application/kekstore.p12
  3. /opt/apigee/customer/application/management-server.properties に次のプロパティを追加します。 ファイルが存在しない場合は作成します。プロパティ ファイルのリファレンスもご覧ください。
    conf_keymanagement_kmscred.encryption.enabled=true
    
    # Fallback is true to ensure your existing plaintext credentials continue to work
    conf_keymanagement_kmscred.encryption.allowFallback=true
    
    conf_keymanagement_kmscred.encryption.keystore.path=PATH_TO_KEYSTORE_FILE
    conf_keymanagement_kmscred.encryption.kek.alias=KEYSTORE_NAME
    
    # These could alternately be set as environment variables. These variables should be
    # accessible to Apigee user during bootup of the Java process. If environment
    # variables are specified, you can skip the password configs below.
    # KMSCRED_ENCRYPTION_KEYSTORE_PASS=
    # KMSCRED_ENCRYPTION_KEK_PASS=
    See also Using environment variables for configuration properties.
    
    conf_keymanagement_kmscred.encryption.keystore.pass=KEYSTORE_PASSWORD
    conf_keymanagement_kmscred.encryption.kek.pass=KEK_PASSWORD

    キーストアの生成に使用するツールによっては、KEK_PASSWORDKEYSTORE_PASSWORD と同じになる場合があります。

  4. 次のコマンドを使用して、管理サーバーを再起動します。
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server wait_for_ready

    管理サーバーの準備が整うと、wait_for_ready コマンドは次のメッセージを返します。

    Checking if management-server is up: management-server is up.
    
  5. 管理サーバーが複数のノードにインストールされている場合は、管理ごとに上記の手順 1 ~ 4 を繰り返します。 構成する必要があります

ステップ 3: デベロッパー アプリを作成する

管理サーバーが更新されたので、生成をトリガーするデベロッパー アプリを作成する必要があります 新しい証明書を作成します。

  1. データ暗号鍵(KEK)の作成をトリガーするデベロッパー アプリを作成します。手順: アプリの登録をご覧ください。
  2. 必要に応じて、デベロッパー アプリを削除します。暗号化が完了したら、保管しておく必要はない 鍵が生成されます。

ステップ 4: Message Processor を構成する

Message Processor で暗号化が有効になるまで、ランタイム リクエストは暗号化された認証情報を処理できません。

  1. ステップ 1 で生成したキーストア ファイルを Message Processor ノードのディレクトリにコピーします。 /opt/apigee/customer/application など。例:
    cp certs/kekstore.p12 /opt/apigee/customer/application
  2. apigee ユーザーがファイルを読み取れるようにします。
    chown apigee:apigee /opt/apigee/customer/application/kekstore.p12
  3. /opt/apigee/customer/application/message-processor.properties に次のプロパティを追加します。 ファイルが存在しない場合は作成します。プロパティ ファイルのリファレンスもご覧ください。
    conf_keymanagement_kmscred.encryption.enabled=true
    
    # Fallback is true to ensure your existing plaintext credentials continue to work
    conf_keymanagement_kmscred.encryption.allowFallback=true
    
    conf_keymanagement_kmscred.encryption.keystore.path=PATH_TO_KEYSTORE_FILE
    conf_keymanagement_kmscred.encryption.kek.alias=KEYSTORE_NAME
    
    # These could alternately be set as environment variables. These variables should be
    # accessible to Apigee user during bootup of the Java process. If environment
    # variables are specified, you can skip the password configs below.
    # KMSCRED_ENCRYPTION_KEYSTORE_PASS=
    # KMSCRED_ENCRYPTION_KEK_PASS=
    See also Using environment variables for configuration properties.
    
    
    conf_keymanagement_kmscred.encryption.keystore.pass=KEYSTORE_PASSWORD
    conf_keymanagement_kmscred.encryption.kek.pass=KEK_PASSWORD

    なお、KEK_PASSWORDKEYSTORE_PASSWORD と同じでもかまいません。 (キーストアの生成に使用したツールによって異なります)。

  4. 次のコマンドを使用して Message Processor を再起動します。
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor wait_for_ready

    Message Processor で次のメッセージが返される場合、wait_for_ready コマンドは メッセージを処理する準備ができています:

    Checking if message-processor is up: message-processor is up.
  5. Message Processor を複数のノードにインストールする場合は、各ノードでステップ 1 ~ 4 を繰り返します。 Message Processor ノードです。

概要

今後作成するすべてのデベロッパー アプリの認証情報シークレットは、 Cassandra データベースに保存されます。

環境変数の使用 構成プロパティ

または、次の Message Processor と管理サーバーの構成を設定することもできます。 プロパティを定義することもできます。設定すると、環境変数によってプロパティがオーバーライドされる Message Processor または Management Server の構成ファイルで設定されます。

conf_keymanagement_kmscred.encryption.keystore.pass=
conf_keymanagement_kmscred.encryption.kek.pass=

対応する環境変数は次のとおりです。

export KMSCRED_ENCRYPTION_KEYSTORE_PASS=KEYSTORE_PASSWORD
export KMSCRED_ENCRYPTION_KEK_PASS=KEK_PASSWORD

これらの環境変数を設定する場合、これらの構成プロパティを 構成ファイルは、Message Processor ノードと Management Server ノードに置いておけます。これらは無視され、

conf_keymanagement_kmscred.encryption.keystore.pass
conf_keymanagement_kmscred.encryption.kek.pass

プロパティ ファイルのリファレンス

このセクションでは、すべての Message Processor で設定する必要がある構成プロパティについて説明します。 管理サーバーノードを指定します。

プロパティ デフォルト 説明
conf_keymanagement_kmscred.encryption.enabled false 鍵の暗号化を有効にするには、true にする必要があります。
conf_keymanagement_kmscred.encryption.allowFallback false allowFallback を true に設定して、既存の平文の認証情報が引き続き機能するようにします。
conf_keymanagement_kmscred.encryption.keystore.path なし Message Processor ノードまたは管理サーバーノード上の KEK キーストアへのパスを指定します。 ステップ 2: 管理を構成する ステップ 3: Message Processor を構成します
conf_keymanagement_kmscred.encryption.kek.alias なし KEK がキーストアに保存されるエイリアス。
conf_keymanagement_kmscred.encryption.keystore.pass なし 環境変数を使用してこれらのプロパティを設定する場合は省略できます。関連項目 環境の使用 構成プロパティ用の変数をご覧ください。
conf_keymanagement_kmscred.encryption.kek.pass なし 環境変数を使用してこれらのプロパティを設定する場合は省略できます。関連項目 環境の使用 構成プロパティ用の変数をご覧ください。