Configure Apigee mTLS

Después de instalar Apigee mTLS en todos los nodos de tu clúster, debes configurar e inicializar el componente apigee-mtls. Para ello, genera un par certificado/clave y actualiza el archivo de configuración en tu máquina de administración. Luego, implementarás los mismos archivos generados y archivo de configuración en todos los nodos del clúster y, luego, inicializarás el componente apigee-mtls local.

Configura apigee-mtls (después de la instalación inicial)

En esta sección, se describe cómo configurar Apigee mTLS directamente después de la instalación inicial. Para obtener información sobre la actualización de una instalación existente de Apigee mTLS, consulta Cambia una configuración existente de apigee-mtls.

Esta sección se aplica a las instalaciones en un único centro de datos. Si deseas obtener información sobre cómo configurar Apigee mTLS en la configuración de varios centros de datos, consulta Configura varios centros de datos para Apigee mTLS.

El proceso general para configurar apigee-mtls es el siguiente:

  1. Actualiza tu archivo de configuración: En la máquina de administración, actualiza el archivo de configuración para incluir la configuración de apigee-mtls.
  2. Instala Consul y genera credenciales: Instala Consul y, de manera opcional, úsalo para generar credenciales TLS (una sola vez).

    Además, edita tu archivo de configuración de mTLS de Apigee para que haga lo siguiente:

    1. Agrega la información de las credenciales
    2. Define la topología del clúster

    Ten en cuenta que puedes usar tus credenciales existentes o generarlas con Consul.

  3. Distribuye las credenciales y el archivo de configuración: Distribuye el mismo par de certificados/claves y el archivo de configuración actualizado a todos los nodos de tu clúster.
  4. Inicializa apigee-mtls: Inicializa el componente apigee-mtls en cada nodo.

Cada uno de estos pasos se describe en las siguientes secciones.

Paso 1: Actualiza tu archivo de configuración

En esta sección, se describe cómo modificar el archivo de configuración para incluir propiedades de configuración de mTLS. Para obtener más información general sobre el archivo de configuración, consulta Crea un archivo de configuración.

Después de actualizar el archivo de configuración con las propiedades relacionadas con mTLS, cópialo en todos los nodos del clúster antes de inicializar el componente apigee-mtls en esos nodos.

Para actualizar el archivo de configuración, haz lo siguiente:

  1. En tu máquina de administración, abre el archivo de configuración para editarlo.
  2. Copia el siguiente conjunto de propiedades de configuración de mTLS y pégalo en el archivo de configuración:
    ALL_IP="ALL_PRIVATE_IPS_IN_CLUSTER"
    ZK_MTLS_HOSTS="ZOOKEEPER_PRIVATE_IPS"
    CASS_MTLS_HOSTS="CASSANDRA_PRIVATE_IPS"
    PG_MTLS_HOSTS="POSTGRES_PRIVATE_IPS"
    RT_MTLS_HOSTS="ROUTER_PRIVATE_IPS"
    MS_MTLS_HOSTS="MGMT_SERVER_PRIVATE_IPS"
    MP_MTLS_HOSTS="MESSAGE_PROCESSOR_PRIVATE_IPS"
    QP_MTLS_HOSTS="QPID_PRIVATE_IPS"
    LDAP_MTLS_HOSTS="OPENLDAP_PRIVATE_IPS"
    MTLS_ENCAPSULATE_LDAP="y"
    
    ENABLE_SIDECAR_PROXY="y"
    ENCRYPT_DATA="BASE64_GOSSIP_MESSAGE"
    PATH_TO_CA_CERT="PATH/TO/consul-agent-ca.pem"
    PATH_TO_CA_KEY="PATH/TO/consul-agent-ca-key.pem"
    APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR="NUMBER_OF_DAYS"

    Establece el valor de cada propiedad para que se alinee con tu configuración.

    En la siguiente tabla, se describen estas propiedades de configuración:

    Propiedad Descripción
    ALL_IP Una lista separada por espacios de las direcciones IP del host privado de todos los nodos del clúster.

    El orden de las direcciones IP no importa, excepto que debe ser el mismo en todos los archivos de configuración del clúster.

    Si configuras Apigee mTLS para varios centros de datos, enumera todas las direcciones IP de todos los hosts en todas las regiones.

    LDAP_MTLS_HOSTS La dirección IP del host privado del nodo de OpenLDAP en el clúster.
    ZK_MTLS_HOSTS

    Una lista separada por espacios de direcciones IP de host privados en las que se alojan los nodos de ZooKeeper en el clúster.

    Ten en cuenta que, según los requisitos, debe haber al menos tres nodos de ZooKeeper.

    CASS_MTLS_HOSTS Una lista separada por espacios de direcciones IP de host privados en las que se alojan los servidores de Cassandra en el clúster.
    PG_MTLS_HOSTS Una lista separada por espacios de direcciones IP de host privados en las que se alojan los servidores de Postgres en el clúster.
    RT_MTLS_HOSTS Una lista separada por espacios de direcciones IP de host privados en las que se alojan los routers en el clúster.
    MTLS_ENCAPSULATE_LDAP Encripta el tráfico LDAP entre el Message Processor y el servidor LDAP. Se establece en y.
    MS_MTLS_HOSTS Una lista separada por espacios de direcciones IP de host privados en las que se alojan los nodos del servidor de administración en el clúster.
    MP_MTLS_HOSTS Una lista separada por espacios de direcciones IP de host privados en las que los procesadores de mensajes se alojan en el clúster.
    QP_MTLS_HOSTS Una lista separada por espacios de direcciones IP de host privados en las que se alojan los servidores Qpid en el clúster.
    ENABLE_SIDECAR_PROXY Determina si Cassandra y Postgres deben conocer la malla de servicios.

    Debes establecer este valor en "y".

    ENCRYPT_DATA La clave de encriptación codificada en base64 que usa Consul. Generaste esta clave con el comando consul keygen en el Paso 2: Instala Consul y genera credenciales.

    Este valor debe ser el mismo en todos los nodos del clúster.

    PATH_TO_CA_CERT La ubicación del archivo de certificado en el nodo. Generaste este archivo en el Paso 2: Instala Consul y genera credenciales.

    Esta ubicación debe ser la misma en todos los nodos del clúster para que los archivos de configuración sean iguales.

    El certificado debe estar codificado como X509v3.

    PATH_TO_CA_KEY La ubicación del archivo de claves en el nodo. Generaste este archivo en el Paso 2: Instala Consul y genera credenciales.

    Esta ubicación debe ser la misma en todos los nodos del clúster para que los archivos de configuración sean iguales.

    El archivo de claves debe estar codificado en X509v3.

    APIGEE_MTLS_NUM_DAYS_CERT_VALID_FOR

    La cantidad de días que es válido un certificado cuando generas un certificado personalizado.

    El valor predeterminado es 365. El valor máximo es 7,865 días (5 años).

    Además de las propiedades mencionadas anteriormente, Apigee mTLS usa varias propiedades adicionales cuando lo instalas en una configuración de varios centros de datos. Para obtener más información, consulta Configura varios centros de datos.

  3. Asegúrate de que ENABLE_SIDECAR_PROXY esté configurado como "y".
  4. Actualiza las direcciones IP en las propiedades relacionadas con el host. Asegúrate de usar las direcciones IP privadas cuando hagas referencia a cada nodo, no las direcciones IP públicas.

    En pasos posteriores, establecerás los valores de las otras propiedades, como ENCRYPT_DATA, PATH_TO_CA_CERT y PATH_TO_CA_KEY. Todavía no estableciste sus valores.

    Cuando edites las propiedades de configuración de apigee-mtls, ten en cuenta lo siguiente:

    • Todas las propiedades son strings; debes unir los valores de todas las propiedades entre comillas simples o dobles.
    • Si un valor relacionado con el host tiene más de una dirección IP privada, sepáralas con un espacio.
    • Usa direcciones IP privadas y no nombres de host ni direcciones IP públicas para todas las propiedades relacionadas con el host en el archivo de configuración.
    • El orden de las direcciones IP en un valor de propiedad debe estar en el mismo orden en todos los archivos de configuración del clúster.
  5. Guarda los cambios en el archivo .

Paso 2: Instala Consul y genera credenciales

En esta sección, se describe cómo instalar Consul y generar las credenciales que usan los componentes habilitados para mTLS.

Debes elegir uno de los siguientes métodos para generar tus credenciales:

  • (Recomendado) Crea tu propia autoridad certificadora (AC) con Consul, como se describe en esta sección
  • Usar las credenciales de una AC existente con Apigee mTLS (avanzado)

Acerca de las credenciales

Las credenciales constan de lo siguiente:

  • Certificado: Es el certificado TLS.
  • Clave: la clave pública TLS
  • Mensaje de chismes: Una clave de encriptación codificada en base 64

Generarás una sola versión de cada uno de estos archivos una sola vez. Luego, copia los archivos de clave y certificado en todos los nodos de tu clúster y agrega la clave de encriptación al archivo de configuración, que también copias en todos los nodos.

Para obtener más información sobre la implementación de la encriptación de Consul, consulta lo siguiente:

Instala Consul y genera credenciales

A fin de generar credenciales que Apigee mTLS usa para autenticar las comunicaciones seguras entre los nodos en tu clúster de la nube privada, usa un objeto binario local de Consul . Como resultado, debes instalar Consul en tu máquina de administración antes de poder generar credenciales.

Para instalar Consul y generar credenciales de mTLS, haz lo siguiente:

  1. En tu máquina de administración, descarga el objeto binario de Consul 1.8.0 desde el sitio web de HashiCorp.
  2. Extrae el contenido del archivo descargado. Por ejemplo, extrae el contenido en /opt/consul/.
  3. En tu máquina de administración, crea una nueva autoridad certificadora (AC) con el siguiente comando:
    /opt/consul/consul tls ca create

    Consul crea los siguientes archivos, que forman un par certificado/clave:

    • consul-agent-ca.pem (certificado)
    • consul-agent-ca-key.pem (clave)

    Los archivos de claves y certificados están codificados en X509v3 de forma predeterminada.

    Más adelante, copiarás estos archivos en todos los nodos del clúster. Sin embargo, en este momento, solo debes decidir en qué lugar de los nodos colocarás estos archivos. Deben estar en la misma ubicación en cada nodo. Por ejemplo, /opt/apigee/

  4. En el archivo de configuración, establece el valor de PATH_TO_CA_CERT en la ubicación en la que copiarás el archivo consul-agent-ca.pem en el nodo. Por ejemplo: 
    PATH_TO_CA_CERT="/opt/apigee/consul-agent-ca.pem"
  5. Establece el valor de PATH_TO_CA_KEY en la ubicación en la que copiarás el archivo consul-agent-ca-key.pem en el nodo. Por ejemplo: 
    PATH_TO_CA_KEY="/opt/apigee/consul-agent-ca-key.pem"
  6. Ejecuta el siguiente comando para crear una clave de encriptación para Consul:
    /opt/consul/consul keygen

    Consul genera una cadena aleatoria que se parece a la siguiente:

    QbhgD+EXAMPLE+Y9u0742X/IqX3X429/x1cIQ+JsQvY=
  7. Copia esta cadena generada y establécela como el valor de la propiedad ENCRYPT_DATA en tu archivo de configuración. Por ejemplo:
    ENCRYPT_DATA="QbhgD+EXAMPLE+Y9u0742X/IqX3X429/x1cIQ+JsQvY="
  8. Guarda el archivo de configuración.

En el siguiente ejemplo, se muestra la configuración relacionada con mTLS en un archivo de configuración (con valores de ejemplo):

...
IP1=10.126.0.121
IP2=10.126.0.124
IP3=10.126.0.125
IP4=10.126.0.127
IP5=10.126.0.130
ALL_IP="$IP1 $IP2 $IP3 $IP4 $IP5"
LDAP_MTLS_HOSTS="$IP3"
ZK_MTLS_HOSTS="$IP3 $IP4 $IP5"
CASS_MTLS_HOSTS="$IP3 $IP4 $IP5"
PG_MTLS_HOSTS="$IP2 $IP1"
RT_MTLS_HOSTS="$IP4 $IP5"
MS_MTLS_HOSTS="$IP3"
MP_MTLS_HOSTS="$IP4 $IP5"
QP_MTLS_HOSTS="$IP2 $IP1"
ENABLE_SIDECAR_PROXY="y"
ENCRYPT_DATA="QbhgD+EXAMPLE+Y9u0742X/IqX3X429/x1cIQ+JsQvY="
PATH_TO_CA_CERT="/opt/apigee/consul-agent-ca.pem"
PATH_TO_CA_KEY="/opt/apigee/consul-agent-ca-key.pem"
...

Paso 3: Distribuye las credenciales y el archivo de configuración

Copia los siguientes archivos en todos los nodos con una herramienta como scp:

  • Archivo de configuración: Copia la versión actualizada de este archivo y reemplaza la versión existente en todos los nodos (no solo en los nodos que ejecutan ZooKeeper).
  • consul-agent-ca.pem: Copia en la ubicación que especificaste como el valor de PATH_TO_CA_CERT en el archivo de configuración.
  • consul-agent-ca-key.pem: Copia en la ubicación que especificaste como el valor de PATH_TO_CA_KEY en el archivo de configuración.

Asegúrate de que las ubicaciones en las que copias el certificado y los archivos de claves coincidan con los valores que estableciste en el archivo de configuración en el Paso 2: Instala Consul y genera credenciales.

Paso 4: Inicializa apigee-mtls

Después de instalar apigee-mtls en cada nodo, actualizar el archivo de configuración y copiar el archivo y las credenciales en todos los nodos del clúster, tendrás todo listo para inicializar el componente apigee-mtls en cada nodo.

Para inicializar apigee-mtls, haz lo siguiente:

  1. Accede a un nodo en el clúster como usuario raíz. Puedes realizar estos pasos en los nodos en el orden que desees.
  2. Haz que el usuario apigee:apigee sea propietario del archivo de configuración actualizado, como se muestra en el siguiente ejemplo:
    chown apigee:apigee config_file
  3. Para configurar el componente apigee-mtls, ejecuta el siguiente comando:
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f config_file
  4. Ejecuta el siguiente comando para verificar que la configuración se haya realizado correctamente (opcional):
    /opt/apigee/apigee-mtls/lib/actions/iptables.sh validate
  5. Ejecuta el siguiente comando para iniciar Apigee mTLS:
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls start

    Después de instalar Apigee mTLS, debes iniciar este componente antes que cualquier otro componente del nodo.

  6. Cassandra (solo nodos de Cassandra) requiere argumentos adicionales para funcionar dentro de la malla de seguridad. Como resultado, debes ejecutar los siguientes comandos en cada nodo de Cassandra:
    /opt/apigee/apigee-service/bin/apigee-service apigee-cassandra setup -f config_file
    /opt/apigee/apigee-service/bin/apigee-service apigee-cassandra configure
    /opt/apigee/apigee-service/bin/apigee-service apigee-cassandra restart
  7. (Solo nodos de Postgres) Postgres requiere argumentos adicionales para funcionar dentro de la malla de seguridad. Como resultado, debes hacer lo siguiente en los nodos de Postgres:

    (Solo principal)

    1. Ejecuta los siguientes comandos en el nodo principal de Postgres:
      /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql setup -f config_file
      /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql configure
      /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart

    (Solo en espera)

    1. Crea una copia de seguridad de tus datos de Postgres existentes. Para instalar Apigee mTLS, debes volver a inicializar los nodos principales o en espera, por lo que se perderán los datos. Si deseas obtener más información, consulta Configura la replicación principal/en espera para Postgres.
    2. Borrar todos los datos de Postgres:
      rm -rf /opt/apigee/data/apigee-postgresql/pgdata
    3. Configura Postgres y, luego, reinicia Postgres, como se muestra en el siguiente ejemplo:
      /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql setup -f config_file
      /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql configure
      /opt/apigee/apigee-service/bin/apigee-service apigee-postgresql restart

    Si realizas la instalación en una topología de varios centros de datos, usa una ruta de acceso absoluta para el archivo de configuración.

  8. Inicia los componentes restantes de Apigee en el nodo en el orden de inicio, como se muestra en el siguiente ejemplo:
    /opt/apigee/apigee-service/bin/apigee-service component_name start
  9. Repite este proceso para cada nodo del clúster.
  10. Verifica que la inicialización de apigee-mtls se haya realizado correctamente mediante uno o más de los siguientes métodos (opcional):
    1. Valida la configuración de iptables
    2. Verifica el estado del proxy remoto
    3. Verifica el estado del quórum

    Cada uno de estos métodos se describe en Cómo verificar la configuración.

Cambia una configuración existente de apigee-mtls

Para personalizar una configuración de apigee-mtls existente, debes desinstalar y reinstalar apigee-mtls. Además, debes asegurarte de aplicar la personalización en todos los nodos.

En resumen, cuando cambies una configuración existente de mTLS de Apigee, haz lo siguiente:

  • Si cambias un archivo de configuración, primero debes desinstalar apigee-mtls y volver a ejecutar setup o configure:
    # DO THIS:
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls uninstall
    
    # BEFORE YOU DO THIS:
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls setup -f file
    OR
    /opt/apigee/apigee-service/bin/apigee-service apigee-mtls configure
  • Debes desinstalar y volver a ejecutar setup o configure en todos los nodos del clúster, no solo en uno.