پیکربندی TLS/SSL، پیکربندی TLS/SSL

TLS (Transport Layer Security، که سلف آن SSL است) فناوری امنیتی استاندارد برای اطمینان از پیام‌های رمزگذاری شده و ایمن در محیط API شما، از برنامه‌ها گرفته تا Apigee Edge تا سرویس‌های پشتیبان شما است.

صرف نظر از پیکربندی محیطی برای API مدیریت خود - برای مثال، اینکه آیا از یک پروکسی، یک روتر، و/یا یک متعادل کننده بار در مقابل API مدیریت خود استفاده می کنید (یا نه). Edge به شما امکان می دهد TLS را فعال و پیکربندی کنید و به شما امکان کنترل رمزگذاری پیام در محیط مدیریت API داخلی خود را می دهد.

برای نصب Edge Private Cloud در محل، مکان‌های مختلفی وجود دارد که می‌توانید TLS را پیکربندی کنید:

  1. بین روتر و پردازشگر پیام
  2. برای دسترسی به API مدیریت Edge
  3. برای دسترسی به رابط کاربری Edge management
  4. برای دسترسی به رابط کاربری جدید Edge
  5. برای دسترسی از یک برنامه به API های شما
  6. برای دسترسی از Edge به خدمات باطن شما

برای یک نمای کلی از پیکربندی TLS در Edge، به TLS/SSL مراجعه کنید.

ساخت فایل JKS

برای بسیاری از پیکربندی‌های TLS، ذخیره‌سازی کلید را به‌عنوان یک فایل JKS نشان می‌دهید، جایی که فروشگاه کلید حاوی گواهی TLS و کلید خصوصی شما است. راه های مختلفی برای ایجاد فایل JKS وجود دارد، اما یکی از راه ها استفاده از ابزارهای openssl و keytool است.

به عنوان مثال، شما یک فایل PEM به نام server.pem دارید که حاوی گواهی TLS شما است و یک فایل PEM به نام private_key.pem حاوی کلید خصوصی شما است. برای ایجاد فایل PKCS12 از دستورات زیر استفاده کنید:

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12

شما باید رمز عبور کلید را، در صورتی که دارای یکی باشد، و رمز عبور صادراتی وارد کنید. این دستور یک فایل PKCS12 با نام keystore.pkcs12 ایجاد می کند.

برای تبدیل آن به فایل JKS با نام keystore.jks از دستور زیر استفاده کنید:

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

از شما خواسته می شود که رمز عبور جدید را برای فایل JKS و رمز عبور موجود را برای فایل PKCS12 وارد کنید. مطمئن شوید که از همان رمز عبوری که برای فایل PKCS12 استفاده کرده اید، برای فایل JKS استفاده می کنید.

اگر باید نام مستعار کلیدی را مشخص کنید، مانند هنگام پیکربندی TLS بین روتر و پردازشگر پیام، گزینه -name را در دستور openssl قرار دهید:

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest

سپس گزینه -alias را در دستور keytool قرار دهید:

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest

ایجاد یک رمز عبور مبهم

برخی از بخش‌های رویه پیکربندی Edge TLS از شما می‌خواهد که یک رمز عبور مبهم در یک فایل پیکربندی وارد کنید. رمز عبور مبهم جایگزین امن تری برای وارد کردن رمز عبور به صورت متن ساده است.

با استفاده از دستور زیر در سرور مدیریت Edge می توانید یک رمز عبور مبهم ایجاد کنید:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password

رمز عبور جدید را وارد کنید و سپس آن را تأیید کنید. به دلایل امنیتی، متن رمز عبور نمایش داده نمی شود. این دستور رمز عبور را به شکل زیر برمی گرداند:

OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

هنگام پیکربندی TLS از رمز عبور مبهم مشخص شده توسط OBF استفاده کنید.

برای اطلاعات بیشتر، این مقاله را ببینید.