Como configurar TLS/SSL

TLS (Transport Layer Security), cujo predecessor é o SSL, é a tecnologia de segurança padrão para garantir mensagens seguras e criptografadas em todo o ambiente da API, de apps à Apigee Borda para seus serviços de back-end.

Independentemente da configuração do ambiente da API de gerenciamento, por exemplo, se se você usa um proxy, um roteador e/ou um balanceador de carga na frente da API de gerenciamento (ou não); O Edge permite ativar e configurar o TLS, oferecendo controle sobre a criptografia de mensagens na seu ambiente de gerenciamento de APIs no local.

Para uma instalação local da Edge Private Cloud, há vários lugares em que você pode configure o TLS:

  1. Entre um roteador e uma mensagem Processador
  2. Para acessar a API Edge Management
  3. Para acessar a interface de gerenciamento de borda
  4. Para acessar a nova interface do Edge
  5. Para acessar a partir de um app às APIs
  6. Para acesso do Edge aos seus serviços de back-end

Para ter uma visão geral completa da configuração do TLS no Edge, consulte TLS/SSL.

Como criar um arquivo JKS

Em muitas configurações TLS, você representa o keystore como um arquivo JKS, em que o keystore contém seu certificado TLS e chave privada. Há várias maneiras de criar um arquivo JKS, mas uma delas é usar as funções openssl e utilitários de keytool.

Por exemplo, você tem um arquivo PEM chamado server.pem contendo o certificado TLS e um arquivo PEM chamado private_key.pem contendo sua chave privada. Use os seguintes comandos para crie o arquivo PKCS12:

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12

Você precisa digitar a senha longa da chave, se houver uma, e uma senha de exportação. Isso cria um arquivo PKCS12 chamado keystore.pkcs12.

Use o seguinte comando para convertê-lo em um arquivo JKS chamado keystore.jks:

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

Você será solicitado a inserir a nova senha para o arquivo JKS e a senha existente para o PKCS12. Use a mesma senha para o arquivo JKS e para o arquivo PKCS12.

Se você tiver que especificar um alias de chave, como ao configurar o TLS entre um roteador e uma mensagem Processador, inclua a opção -name ao comando openssl:

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest

Em seguida, inclua a opção -alias no comando keytool:

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest

Como gerar uma senha ofuscada

Algumas partes do procedimento de configuração do Edge TLS exigem que você insira uma senha ofuscada em um arquivo de configuração. Uma senha ofuscada é uma alternativa mais segura para inserir sua senha senha em texto simples.

É possível gerar uma senha ofuscada usando o seguinte comando no Edge Management Servidor:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password

Digite a nova senha e confirme quando for solicitado. Por motivos de segurança, o texto a senha não será exibida. Este comando retorna a senha no formato:

OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

Use a senha ofuscada especificada pelo OBF ao configurar o TLS.

Para mais informações, acesse este artigo.