Esta página foi traduzida pela API Cloud Translation.

Como ativar a criptografia de chaves secretas

Este documento explica como ativar a criptografia segredos do consumidor do app de desenvolvedor (credenciais do cliente) armazenados no banco de dados do Cassandra.

Visão geral

Tradicionalmente, o Apigee Edge para nuvem privada oferece criptografia opcional para o mapa de chave-valor (KVM) e tokens de acesso OAuth.

A tabela a seguir descreve as opções de criptografia para dados em repouso na Apigee para nuvem privada:

Entidade	Criptografia ativada por padrão	Criptografia disponível como opção	Documentação relacionada
KVMs	Não	Sim	Consulte Sobre KVMs criptografadas.
Tokens de acesso OAuth	Não	Sim	Consulte Tokens de hash para segurança extra.
Segredos do consumidor do app do desenvolvedor	Não	Sim	Para ativar, siga as etapas de configuração neste documento.

Para ativar a criptografia das credenciais do cliente, você precisa executar as seguintes tarefas na todos os nós do processador de mensagens e do servidor de gerenciamento:

Criar um keystore para armazenar um Chave de criptografia de chaves (KEK). A Apigee usa essa chave criptografada para criptografar as chaves secretas necessárias para criptografar seus dados.
Editar propriedades da configuração em todos os nós do servidor de gerenciamento e do processador de mensagens.
Crie um app de desenvolvedor para acionar a criação de chaves.
Reinicie os nós.

Essas tarefas são explicadas neste documento.

O que você precisa saber sobre a chave recurso de criptografia

Nas etapas deste documento, explicamos como ativar o recurso KEK, que permite que a Apigee criptografe as chaves secretas usadas para criptografar o app do desenvolvedor segredos do cliente quando são armazenados em repouso no banco de dados do Cassandra.

Por padrão, os valores existentes no banco de dados permanecerão inalterados (em texto simples) e serão continuam funcionando como antes.

Observação: a Apigee oferece um "substituto" desativada pelo padrão. Isso significa que, por padrão, os secrets não criptografados do cliente vão falhar. Se o A flag allowFallback é definida como true, conforme explicado nas etapas a seguir. As entidades não criptografadas terão êxito. Por exemplo: se allowFallback for false, as chaves secretas não criptografadas do consumidor do app do desenvolvedor não serão por mais tempo, fazendo com que a verificação da chave de API falhe.

Se você executar qualquer operação de gravação em uma entidade não criptografada, ela será criptografada quando o operação é salva. Por exemplo, se você revogar um token não criptografado e depois aprovar o token recém-aprovado será criptografado.

Como proteger as chaves

Guarde uma cópia do keystore em que a KEK está armazenada em um local seguro. Recomendamos usar seu próprio mecanismo seguro para salvar uma cópia do keystore. Conforme explicado nas instruções deste documento, um keystore deve ser colocado em cada nó de processador de mensagens e de servidor de gerenciamento do arquivo de configuração do Terraform. Mas também é importante armazenar uma cópia do keystore em outro lugar para proteção e como backup.

Como ativar a criptografia de chaves

Siga estas etapas para realizar a criptografia de chaves secretas do cliente:

Pré-requisitos

Você precisa atender a estes requisitos antes de executar as etapas deste documento:

É necessário instalar ou fazer upgrade para o Apigee Edge para nuvem privada 4.50.00.10 ou posterior.
Você precisa ser um administrador do Apigee Edge para nuvem privada.

Etapa 1: gerar um keystore

Siga estas etapas para criar um keystore que armazenará a chave de criptografia de chaves (KEK, na sigla em inglês):

Execute o comando a seguir para gerar um keystore e armazenar uma chave que será usada para criptografar a KEK. Digite o comando exatamente como mostrado. (Você pode fornecer o nome de qualquer keystore que quiser):
```
keytool -genseckey -alias KEYSTORE_NAME -keyalg AES -keysize 256 \
-keystore kekstore.p12 -storetype PKCS12
```
Quando solicitado, digite uma senha. Você vai usar essa senha em outras seções, quando precisar configura o servidor de gerenciamento e o processador de mensagens.

Esse comando gera um arquivo de keystore kekstore.p12 que contém uma chave com alias KEYSTORE_NAME.
(Opcional) Verifique se o arquivo foi gerado corretamente com o comando a seguir. Se o arquivo estiver correta, o comando retornará uma chave com o alias KEYSTORE_NAME:
```
keytool -list -keystore kekstore.p12
```

Etapa 2: configurar o servidor de gerenciamento

Em seguida, configure o servidor de gerenciamento. Se você tiver servidores de gerenciamento instalados em vários nós, repita essas etapas em cada nó.

Copie o arquivo do keystore gerado na Etapa 1 em um diretório no nó do servidor de gerenciamento, como /opt/apigee/customer/application. Exemplo:
```
cp certs/kekstore.p12 /opt/apigee/customer/application
```

Verifique se o arquivo pode ser lido pelo usuário apigee:

chown apigee:apigee /opt/apigee/customer/application/kekstore.p12

chmod 400 /opt/apigee/customer/application/kekstore.p12

Adicione as propriedades abaixo a /opt/apigee/customer/application/management-server.properties. Crie o arquivo se ele não existir. Consulte também Referência do arquivo de propriedade.

conf_keymanagement_kmscred.encryption.enabled=true

# Fallback is true to ensure your existing plaintext credentials continue to work
conf_keymanagement_kmscred.encryption.allowFallback=true

conf_keymanagement_kmscred.encryption.keystore.path=PATH_TO_KEYSTORE_FILE
conf_keymanagement_kmscred.encryption.kek.alias=KEYSTORE_NAME

# These could alternately be set as environment variables. These variables should be
# accessible to Apigee user during bootup of the Java process. If environment
# variables are specified, you can skip the password configs below.
# KMSCRED_ENCRYPTION_KEYSTORE_PASS=
# KMSCRED_ENCRYPTION_KEK_PASS=
See also Using environment variables for configuration properties.

conf_keymanagement_kmscred.encryption.keystore.pass=KEYSTORE_PASSWORD
conf_keymanagement_kmscred.encryption.kek.pass=KEK_PASSWORD

O KEK_PASSWORD pode ser igual ao KEYSTORE_PASSWORD, dependendo da ferramenta usada para gerar o keystore.

Reinicie o servidor de gerenciamento usando os seguintes comandos:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

/opt/apigee/apigee-service/bin/apigee-service edge-management-server wait_for_ready

O comando wait_for_ready retorna a seguinte mensagem quando o servidor de gerenciamento está pronto:

Checking if management-server is up: management-server is up.

Se você tiver servidores de gerenciamento instalados em vários nós, repita as etapas 1 a 4 acima em cada gerenciamento. nó de servidor.

Etapa 3: criar um app de desenvolvedor

Agora que os servidores de gerenciamento estão atualizados, você precisa criar um app de desenvolvedor para acionar a geração da chave usada para criptografar os dados das credenciais do cliente:

Crie um app de desenvolvedor para acionar a criação de uma chave de criptografia de dados (KEK). Para passos, consulte Como registrar um app.
Exclua o app do desenvolvedor, se quiser. Você não precisa ficar com ele depois que a criptografia é gerada.

Etapa 4: configurar processadores de mensagens

Até que a criptografia seja ativada nos processadores de mensagens, as solicitações de ambiente de execução não poderão processar credenciais criptografadas.

Copie o arquivo do keystore gerado na Etapa 1 em um diretório no nó do processador de mensagens. como /opt/apigee/customer/application. Exemplo:
```
cp certs/kekstore.p12 /opt/apigee/customer/application
```

Verifique se o arquivo pode ser lido pelo usuário apigee:

chown apigee:apigee /opt/apigee/customer/application/kekstore.p12

Adicione as propriedades abaixo a /opt/apigee/customer/application/message-processor.properties. Crie o arquivo se ele não existir. Consulte também Referência do arquivo de propriedade.

conf_keymanagement_kmscred.encryption.enabled=true

# Fallback is true to ensure your existing plaintext credentials continue to work
conf_keymanagement_kmscred.encryption.allowFallback=true

conf_keymanagement_kmscred.encryption.keystore.path=PATH_TO_KEYSTORE_FILE
conf_keymanagement_kmscred.encryption.kek.alias=KEYSTORE_NAME

# These could alternately be set as environment variables. These variables should be
# accessible to Apigee user during bootup of the Java process. If environment
# variables are specified, you can skip the password configs below.
# KMSCRED_ENCRYPTION_KEYSTORE_PASS=
# KMSCRED_ENCRYPTION_KEK_PASS=
See also Using environment variables for configuration properties.


conf_keymanagement_kmscred.encryption.keystore.pass=KEYSTORE_PASSWORD
conf_keymanagement_kmscred.encryption.kek.pass=KEK_PASSWORD

O KEK_PASSWORD pode ser igual ao KEYSTORE_PASSWORD. dependendo da ferramenta usada para gerar o keystore.

Reinicie o processador de mensagens usando os seguintes comandos:

/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart

/opt/apigee/apigee-service/bin/apigee-service edge-message-processor wait_for_ready

O comando wait_for_ready retorna a seguinte mensagem quando o processador de mensagens está pronto para processar mensagens:

Checking if message-processor is up: message-processor is up.

Se você tiver processadores de mensagens instalados em vários nós, repita as etapas 1 a 4 em cada um deles. processador de mensagens do nó.

Resumo

Todos os aplicativos de desenvolvedor que você criar a partir de agora terão as chaves secretas das credenciais criptografadas em no banco de dados do Cassandra.

Usar variáveis de ambiente para propriedades de configuração

Também é possível definir as seguintes configurações do processador de mensagens e do servidor de gerenciamento usando variáveis de ambiente. Se definido, as variáveis de ambiente substituem as propriedades definido no processador de mensagens ou no arquivo de configuração do servidor de gerenciamento.

conf_keymanagement_kmscred.encryption.keystore.pass=
conf_keymanagement_kmscred.encryption.kek.pass=

As variáveis de ambiente correspondentes são:

export KMSCRED_ENCRYPTION_KEYSTORE_PASS=KEYSTORE_PASSWORD

export KMSCRED_ENCRYPTION_KEK_PASS=KEK_PASSWORD

Se você definir essas variáveis de ambiente, poderá omitir essas propriedades de configuração do arquivos de configuração nos nós do processador de mensagens e do servidor de gerenciamento, já que eles serão ignorados:

conf_keymanagement_kmscred.encryption.keystore.pass
conf_keymanagement_kmscred.encryption.kek.pass

Referência do arquivo de propriedade

Esta seção descreve as propriedades de configuração que você precisa definir em todos os processadores de mensagens e nós do servidor de gerenciamento, conforme explicado anteriormente neste documento.

Propriedade	Padrão	Descrição
`conf_keymanagement_kmscred.encryption.enabled`	`false`	Precisa ser `true` para ativar a criptografia de chaves.
`conf_keymanagement_kmscred.encryption.allowFallback`	`false`	Defina allowFallback como `true` para garantir que suas credenciais de texto simples continuem funcionando.
`conf_keymanagement_kmscred.encryption.keystore.path`	N/A	Informe o caminho para o keystore KEK no nó do processador de mensagens ou do servidor de gerenciamento. Consulte a Etapa 2: configurar o gerenciamento de mensagens e Etapa 3: configurar processadores de mensagens.
`conf_keymanagement_kmscred.encryption.kek.alias`	N/A	Alias em que a KEK é armazenada no keystore.
`conf_keymanagement_kmscred.encryption.keystore.pass`	N/A	Opcional se você usar variáveis de ambiente para definir essas propriedades. Consulte também Como usar o ambiente variáveis para propriedades de configuração.
`conf_keymanagement_kmscred.encryption.kek.pass`	N/A	Opcional se você usar variáveis de ambiente para definir essas propriedades. Consulte também Como usar o ambiente variáveis para propriedades de configuração.