Cette page a été traduite par l'API Cloud Translation.

Configurer TLS/SSL

TLS (Transport Layer Security, dont le prédécesseur est SSL) est la technologie de sécurité standard pour assurer une messagerie sécurisée et chiffrée dans votre environnement d'API, des applications à Apigee Périphérie de vos services backend

REMARQUE:Comme Edge prenait en charge SSL à l'origine, vous verrez instances dans les propriétés Edge UI, Edge XML et Edge qui utilisent le terme "SSL". Par exemple, l'entrée de menu de l'interface utilisateur Edge que vous utilisez pour afficher les certificats est appelée SSL Certificates, la balise XML servant à configurer un hôte virtuel afin qu'il utilise TLS est nommée <SSLInfo>, et la propriété permettant de définir le port SSL pour l'API de gestion est conf_webserver_ssl.port.

Quelle que soit la configuration de l'environnement pour votre API de gestion (par exemple, si vous utilisez un proxy, un routeur et/ou un équilibreur de charge devant votre API de gestion (ou non) ; Edge vous permet d'activer et de configurer TLS, ce qui vous donne le contrôle sur le cryptage des messages dans votre environnement de gestion des API sur site.

Pour une installation sur site du cloud privé Edge, vous pouvez configurer TLS:

Pour obtenir une présentation complète de la configuration de TLS on Edge, consultez TLS/SSL.

Créer un fichier JKS

Pour de nombreuses configurations TLS, vous représentez le keystore sous la forme d'un fichier JKS, dans lequel le keystore contient votre certificat TLS et clé privée. Il existe plusieurs façons de créer un fichier JKS, mais l'une d'elles consiste à utiliser les fichiers OpenSSL et keytool.

Par exemple, vous disposez d'un fichier PEM nommé server.pem contenant votre certificat TLS. et un fichier PEM nommé private_key.pem contenant votre clé privée. Utilisez les commandes suivantes pour créez le fichier PKCS12:

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12

Vous devez saisir la phrase secrète de la clé, si elle en possède une, et un mot de passe d'exportation. Ce crée un fichier PKCS12 nommé keystore.pkcs12.

Utilisez la commande suivante pour le convertir en un fichier JKS nommé keystore.jks:

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

Vous êtes invité à saisir le nouveau mot de passe pour le fichier JKS et le mot de passe existant pour le fichier PKCS12. Veillez à utiliser le même mot de passe pour le fichier JKS que celui utilisé pour le fichier PKCS12.

Si vous devez spécifier un alias de clé, par exemple lors de la configuration de TLS entre un routeur et un message Pour le processeur, incluez l'option -name dans la commande openssl:

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest

Incluez ensuite l'option -alias dans la commande keytool:

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest

Générer un mot de passe obscurci

Certaines parties de la procédure de configuration Edge TLS nécessitent que vous saisissiez un mot de passe obscurci dans un fichier de configuration. Un mot de passe obscurci offre une alternative plus sécurisée à la saisie de votre mot de passe en texte brut.

Vous pouvez générer un mot de passe obscurci à l'aide de la commande suivante dans la gestion des périphériques Serveur:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password

Saisissez le nouveau mot de passe, puis confirmez-le lorsque vous y êtes invité. Pour des raisons de sécurité, le texte le mot de passe ne s'affiche pas. Cette commande renvoie le mot de passe au format suivant:

OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

Utilisez le mot de passe obscurci spécifié par OBF lors de la configuration de TLS.

Pour en savoir plus, consultez cette pour en savoir plus.