Trang này được dịch bởi Cloud Translation API.

Bật tính năng mã hóa khóa bí mật

Tài liệu này giải thích cách bật tính năng mã hoá thông tin mật của người tiêu dùng (thông tin đăng nhập của ứng dụng khách) được lưu trữ trong ứng dụng dành cho nhà phát triển trong cơ sở dữ liệu Cassandra.

Tổng quan

Thông thường, Apigee Edge cho Private Cloud đã cung cấp phương thức mã hoá không bắt buộc cho bản đồ khoá-giá trị (KVM) và mã truy cập OAuth.

Bảng sau đây mô tả các phương thức mã hoá cho dữ liệu tĩnh trong Apigee cho Cloud riêng:

Thực thể	Bật tính năng mã hoá theo mặc định	Có thể tuỳ ý mã hoá	Tài liệu liên quan
KVM	Không	Có	Xem bài viết Giới thiệu về KVM được mã hoá.
Mã truy cập OAuth	Không	Có	Xem bài viết Mã thông báo băm để tăng cường khả năng bảo mật.
Thông tin bí mật của người tiêu dùng về ứng dụng của nhà phát triển	Không	Có	Để bật, hãy thực hiện các bước thiết lập trong tài liệu này.

Để bật tính năng mã hoá thông tin đăng nhập của ứng dụng, bạn cần thực hiện các việc sau trên tất cả các nút máy chủ quản lý và trình xử lý thông báo:

Tạo kho khoá để lưu trữ Khoá mã hoá khoá (Hàm KEK). Apigee sử dụng khoá mã hoá này để mã hoá những khoá bí mật cần thiết để mã hoá dữ liệu của bạn.
Chỉnh sửa thuộc tính cấu hình trên tất cả các nút máy chủ quản lý và nút trình xử lý thư.
Tạo ứng dụng của nhà phát triển để kích hoạt quá trình tạo khoá.
Khởi động lại các nút.

Những việc cần làm này được giải thích trong tài liệu này.

Những điều bạn cần biết về khoá này tính năng mã hoá

Các bước trong tài liệu này sẽ giải thích cách bật tính năng KEK, cho phép Apigee mã hoá khoá bí mật dùng để mã hoá ứng dụng của nhà phát triển bí mật của người tiêu dùng khi những thông tin đó được lưu trữ tĩnh trong cơ sở dữ liệu Cassandra.

Theo mặc định, mọi giá trị hiện có trong cơ sở dữ liệu sẽ không thay đổi (ở dạng văn bản thuần tuý) và tiếp tục hoạt động như trước đây.

Lưu ý: Apigee cung cấp tính năng "dự phòng" bị tắt bởi mặc định. Điều này có nghĩa là theo mặc định, thông tin bí mật của người tiêu dùng chưa được mã hoá sẽ không được mã hoá. Nếu Cờ allowFallback được đặt thành true, như giải thích trong các bước tiếp theo, thì các thực thể chưa mã hoá sẽ thành công. Ví dụ: nếu allowFallback là false, thì thông tin mật của người dùng chưa được mã hoá trong ứng dụng của nhà phát triển sẽ không hoạt động lâu hơn, khiến việc xác minh khoá API không thành công.

Nếu bạn thực hiện bất kỳ thao tác ghi nào trên một thực thể chưa mã hoá, thực thể này sẽ được mã hoá khi đã được lưu. Ví dụ: nếu bạn thu hồi một mã thông báo chưa mã hoá rồi sau đó phê duyệt thì mã thông báo mới được phê duyệt sẽ được mã hoá.

Giữ an toàn cho chìa khoá

Hãy nhớ lưu trữ một bản sao của kho khoá, trong đó KEK được lưu trữ ở một vị trí an toàn. Bạn nên dùng mật khẩu cơ chế bảo mật để lưu bản sao của kho khoá. Như hướng dẫn trong tài liệu này giải thích, kho khoá phải được đặt trên mỗi nút xử lý thông báo và nút máy chủ quản lý nơi có thể tham chiếu tệp cấu hình đó. Nhưng điều quan trọng là phải lưu trữ một bản sao của kho khoá ở nơi khác để lưu giữ và dự phòng.

Bật tính năng mã hoá khoá

Hãy làm theo các bước sau để mã hoá khoá bí mật của người dùng:

Điều kiện tiên quyết

Bạn phải đáp ứng các yêu cầu này trước khi thực hiện các bước trong tài liệu này:

Bạn phải cài đặt hoặc nâng cấp lên Apigee Edge cho Private Cloud 4.50.00.10 trở lên.
Bạn phải là một ứng dụng Apigee Edge dành cho quản trị viên Đám mây riêng tư.

Bước 1: Tạo một kho khoá

Làm theo các bước sau để tạo kho khoá lưu giữ khoá mã hoá khoá (KEK):

Thực thi lệnh sau để tạo kho khoá nhằm lưu trữ khoá sẽ dùng để mã hoá KEK. Nhập lệnh đúng như hướng dẫn. (Bạn có thể cung cấp bất kỳ tên kho khoá nào bạn muốn):
```
keytool -genseckey -alias KEYSTORE_NAME -keyalg AES -keysize 256 \
-keystore kekstore.p12 -storetype PKCS12
```
Khi được nhắc, hãy nhập mật khẩu. Bạn sẽ sử dụng mật khẩu này trong các phần sau khi bạn định cấu hình máy chủ quản lý và trình xử lý thư.

Lệnh này tạo một tệp kho khoá kekstore.p12 chứa khoá có bí danh KEYSTORE_NAME.
(Không bắt buộc) Xác minh rằng tệp đã được tạo đúng cách bằng lệnh sau. Nếu tệp là chính xác, lệnh này sẽ trả về khoá có bí danh KEYSTORE_NAME:
```
keytool -list -keystore kekstore.p12
```

Bước 2: Định cấu hình máy chủ quản lý

Tiếp theo, hãy định cấu hình máy chủ quản lý. Nếu bạn đã cài đặt máy chủ quản lý trên nhiều nút, bạn phải lặp lại các bước này trên mỗi nút.

Sao chép tệp kho khoá bạn đã tạo ở Bước 1 vào một thư mục trên nút máy chủ quản lý, chẳng hạn như /opt/apigee/customer/application. Ví dụ:
```
cp certs/kekstore.p12 /opt/apigee/customer/application
```

Đảm bảo người dùng apigee có thể đọc được tệp:

chown apigee:apigee /opt/apigee/customer/application/kekstore.p12

chmod 400 /opt/apigee/customer/application/kekstore.p12

Thêm các thuộc tính sau vào /opt/apigee/customer/application/management-server.properties. Nếu tệp không tồn tại, hãy tạo tệp đó. Xem thêm Tài liệu tham khảo về tệp tài sản.

conf_keymanagement_kmscred.encryption.enabled=true

# Fallback is true to ensure your existing plaintext credentials continue to work
conf_keymanagement_kmscred.encryption.allowFallback=true

conf_keymanagement_kmscred.encryption.keystore.path=PATH_TO_KEYSTORE_FILE
conf_keymanagement_kmscred.encryption.kek.alias=KEYSTORE_NAME

# These could alternately be set as environment variables. These variables should be
# accessible to Apigee user during bootup of the Java process. If environment
# variables are specified, you can skip the password configs below.
# KMSCRED_ENCRYPTION_KEYSTORE_PASS=
# KMSCRED_ENCRYPTION_KEK_PASS=
See also Using environment variables for configuration properties.

conf_keymanagement_kmscred.encryption.keystore.pass=KEYSTORE_PASSWORD
conf_keymanagement_kmscred.encryption.kek.pass=KEK_PASSWORD

Lưu ý rằng KEK_PASSWORD có thể giống với KEYSTORE_PASSWORD, tuỳ thuộc vào công cụ dùng để tạo kho khoá.

Khởi động lại máy chủ quản lý bằng cách sử dụng các lệnh sau:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

/opt/apigee/apigee-service/bin/apigee-service edge-management-server wait_for_ready

Lệnh wait_for_ready trả về thông báo sau đây khi máy chủ quản lý đã sẵn sàng:

Checking if management-server is up: management-server is up.

Nếu bạn đã cài đặt máy chủ quản lý trên nhiều nút, hãy lặp lại các bước từ 1 đến 4 ở trên cho mỗi nút quản lý nút máy chủ.

Bước 3: Tạo ứng dụng của nhà phát triển

Giờ đây, sau khi cập nhật các máy chủ quản lý, bạn phải tạo một ứng dụng dành cho nhà phát triển để kích hoạt quá trình tạo về khoá dùng để mã hoá dữ liệu thông tin xác thực ứng dụng:

Tạo một Ứng dụng dành cho nhà phát triển để kích hoạt việc tạo khoá mã hoá dữ liệu (KEK). Để biết các bước, hãy xem phần Đăng ký ứng dụng.
Xoá ứng dụng của nhà phát triển nếu muốn. Bạn không cần phải giữ lại mật khẩu sau khi mã hoá khoá được tạo.

Bước 4: Định cấu hình trình xử lý thông báo

Cho đến khi tính năng mã hoá được bật trong trình xử lý thư, các yêu cầu trong thời gian chạy sẽ không thể xử lý bất kỳ thông tin xác thực đã mã hoá nào.

Sao chép tệp kho khoá mà bạn đã tạo ở Bước 1 vào một thư mục trên nút trình xử lý thông báo, chẳng hạn như /opt/apigee/customer/application. Ví dụ:
```
cp certs/kekstore.p12 /opt/apigee/customer/application
```

Đảm bảo người dùng apigee có thể đọc được tệp:

chown apigee:apigee /opt/apigee/customer/application/kekstore.p12

Thêm các thuộc tính sau vào /opt/apigee/customer/application/message-processor.properties. Nếu tệp không tồn tại, hãy tạo tệp đó. Xem thêm Tài liệu tham khảo về tệp tài sản.

conf_keymanagement_kmscred.encryption.enabled=true

# Fallback is true to ensure your existing plaintext credentials continue to work
conf_keymanagement_kmscred.encryption.allowFallback=true

conf_keymanagement_kmscred.encryption.keystore.path=PATH_TO_KEYSTORE_FILE
conf_keymanagement_kmscred.encryption.kek.alias=KEYSTORE_NAME

# These could alternately be set as environment variables. These variables should be
# accessible to Apigee user during bootup of the Java process. If environment
# variables are specified, you can skip the password configs below.
# KMSCRED_ENCRYPTION_KEYSTORE_PASS=
# KMSCRED_ENCRYPTION_KEK_PASS=
See also Using environment variables for configuration properties.


conf_keymanagement_kmscred.encryption.keystore.pass=KEYSTORE_PASSWORD
conf_keymanagement_kmscred.encryption.kek.pass=KEK_PASSWORD

Xin lưu ý rằng KEK_PASSWORD có thể giống với KEYSTORE_PASSWORD tuỳ thuộc vào công cụ dùng để tạo kho khoá.

Khởi động lại trình xử lý thông báo bằng các lệnh sau:

/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart

/opt/apigee/apigee-service/bin/apigee-service edge-message-processor wait_for_ready

Lệnh wait_for_ready trả về thông báo sau đây khi trình xử lý thông báo sẵn sàng xử lý thông báo:

Checking if message-processor is up: message-processor is up.

Nếu bạn đã cài đặt trình xử lý thông báo trên nhiều nút, hãy lặp lại các bước từ 1 đến 4 trên mỗi nút nút trình xử lý thông báo.

Tóm tắt

Từ giờ trở đi, mọi ứng dụng của nhà phát triển mà bạn tạo ra sẽ được mã hoá thông tin đăng nhập bí mật tại phần còn lại trong cơ sở dữ liệu Cassandra.

Sử dụng các biến môi trường cho các thuộc tính cấu hình

Ngoài ra, bạn có thể đặt cấu hình máy chủ quản lý và trình xử lý thông báo sau đây thuộc tính bằng cách sử dụng các biến môi trường. Nếu bạn đặt chính sách này, các biến môi trường sẽ ghi đè các thuộc tính được thiết lập trong tệp cấu hình máy chủ quản lý hoặc trình xử lý thông báo.

conf_keymanagement_kmscred.encryption.keystore.pass=
conf_keymanagement_kmscred.encryption.kek.pass=

Các biến môi trường tương ứng là:

export KMSCRED_ENCRYPTION_KEYSTORE_PASS=KEYSTORE_PASSWORD

export KMSCRED_ENCRYPTION_KEK_PASS=KEK_PASSWORD

Nếu đặt các biến môi trường này, bạn có thể bỏ các thuộc tính cấu hình này khỏi các tệp cấu hình trên nút xử lý thông báo và nút máy chủ quản lý, vì các tệp này sẽ bị bỏ qua:

conf_keymanagement_kmscred.encryption.keystore.pass
conf_keymanagement_kmscred.encryption.kek.pass

Tài liệu tham khảo về tệp thuộc tính

Phần này mô tả các thuộc tính cấu hình mà bạn phải đặt cho tất cả trình xử lý thư và nút máy chủ quản lý, như được giải thích trước đó trong tài liệu này.

Thuộc tính	Mặc định	Mô tả
`conf_keymanagement_kmscred.encryption.enabled`	`false`	Bạn phải đặt giá trị `true` để bật tính năng mã hoá khoá.
`conf_keymanagement_kmscred.encryption.allowFallback`	`false`	Đặt cho phép dự phòng thành `true` để đảm bảo thông tin xác thực văn bản thuần tuý hiện có của bạn tiếp tục hoạt động.
`conf_keymanagement_kmscred.encryption.keystore.path`	Không áp dụng	Cung cấp đường dẫn đến kho khoá KEK trên nút xử lý thông báo hoặc nút máy chủ quản lý. Xem Bước 2: Thiết lập chế độ quản lý máy chủ và Bước 3: Định cấu hình trình xử lý thông báo.
`conf_keymanagement_kmscred.encryption.kek.alias`	Không áp dụng	Bí danh mà KEK được lưu trữ trong kho khoá.
`conf_keymanagement_kmscred.encryption.keystore.pass`	Không áp dụng	Không bắt buộc nếu bạn sử dụng các biến môi trường để đặt những thuộc tính này. Xem thêm Sử dụng môi trường cho các thuộc tính cấu hình.
`conf_keymanagement_kmscred.encryption.kek.pass`	Không áp dụng	Không bắt buộc nếu bạn sử dụng các biến môi trường để đặt những thuộc tính này. Xem thêm Sử dụng môi trường cho các thuộc tính cấu hình.