Activer le chiffrement des clés secrètes

Ce document explique comment activer le chiffrement des codes secrets client (identifiants client) de l'application de développeur stockés dans la base de données Cassandra.

Présentation

Traditionnellement, Apigee Edge pour Private Cloud proposait un chiffrement facultatif pour les données de mappage de clés-valeurs (KVM) et les jetons d'accès OAuth.

Le tableau suivant décrit les options de chiffrement des données au repos dans Apigee pour le cloud privé:

Entity Chiffrement activé par défaut Chiffrement disponible en option Documentation associée
KVM Non Oui Consultez la section À propos des KVM chiffrées.
Jetons d'accès OAuth Non Oui Consultez la section Hachage des jetons pour plus de sécurité.
Code secret client de l'application du développeur Non Oui Pour l'activer, suivez la procédure de configuration décrite dans ce document.

Pour activer le chiffrement des identifiants client, vous devez effectuer les tâches suivantes sur tous les nœuds de processeur de messages et de serveur de gestion:

  • créer un keystore pour y stocker une clé de chiffrement de clé (KEK, Key Encryption Key) ; Apigee utilise cette clé chiffrée pour chiffrer les clés secrètes nécessaires au chiffrement de vos données.
  • Modifier les propriétés de configuration sur tous les nœuds du serveur de gestion et du processeur de messages
  • Créez une application de développement pour déclencher la création de clés.
  • Redémarrez les nœuds.

Ces tâches sont expliquées dans ce document.

Ce qu'il faut savoir sur la fonctionnalité de chiffrement de clé

Les étapes de ce document expliquent comment activer la fonctionnalité KEK, qui permet à Apigee de chiffrer les clés secrètes utilisées pour chiffrer les codes secrets des utilisateurs d'applications de développement lorsqu'ils sont stockés au repos dans la base de données Cassandra.

Par défaut, toutes les valeurs existantes dans la base de données restent inchangées (en texte brut) et continuent de fonctionner comme avant.

Si vous effectuez une opération d'écriture sur une entité non chiffrée, elle sera chiffrée lors de l'enregistrement de l'opération. Par exemple, si vous révoquez un jeton non chiffré, puis que vous l'approuvez, le jeton nouvellement approuvé est chiffré.

Protection des clés

Veillez à conserver une copie du keystore dans lequel la KEK est stockée en lieu sûr. Nous vous recommandons d'utiliser votre propre mécanisme sécurisé pour enregistrer une copie du keystore. Comme l'expliquent les instructions de ce document, un keystore doit être placé sur chaque nœud de processeur de messages et de serveur de gestion où le fichier de configuration local peut le référencer. Toutefois, il est également important de stocker une copie du keystore ailleurs pour la conserver en lieu sûr et comme sauvegarde.

Activer le chiffrement par clé

Pour chiffrer une clé secrète client, procédez comme suit:

Conditions préalables

Vous devez répondre aux exigences suivantes avant de suivre les étapes décrites dans ce document:

  • Vous devez installer ou mettre à niveau Apigee Edge pour Private Cloud 4.50.00.10 ou une version ultérieure.
  • Vous devez être un administrateur Apigee Edge pour Private Cloud.

Étape 1: Générez un keystore

Pour créer un keystore qui contient la clé de chiffrement de clé (KEK), procédez comme suit :

  1. Exécutez la commande suivante pour générer un keystore afin de stocker une clé qui servira à chiffrer la KEK. Saisissez la commande exactement comme indiqué. (Vous pouvez indiquer le nom du keystore de votre choix):
    keytool -genseckey -alias KEYSTORE_NAME -keyalg AES -keysize 256 \
-keystore kekstore.p12 -storetype PKCS12

    Lorsque vous y êtes invité, saisissez un mot de passe. Vous utiliserez ce mot de passe dans les sections suivantes, lorsque vous configurerez le serveur de gestion et le processeur de messages.

    Cette commande génère un fichier keystore kekstore.p12 contenant une clé avec l'alias KEYSTORE_NAME.

  2. (Facultatif) Vérifiez que le fichier a bien été généré à l'aide de la commande suivante. Si le fichier est correct, la commande renvoie une clé avec l'alias KEYSTORE_NAME : 
    keytool -list -keystore kekstore.p12

Étape 2: Configurer le serveur de gestion

Configurez ensuite le serveur de gestion. Si des serveurs de gestion sont installés sur plusieurs nœuds, vous devez répéter ces étapes sur chaque nœud.

  1. Copiez le fichier keystore que vous avez généré à l'étape 1 dans un répertoire du nœud du serveur de gestion, par exemple /opt/apigee/customer/application. Exemple : 
    cp certs/kekstore.p12 /opt/apigee/customer/application
  2. Assurez-vous que le fichier est lisible par l'utilisateur apigee : 
    chown apigee:apigee /opt/apigee/customer/application/kekstore.p12
    chmod 400 /opt/apigee/customer/application/kekstore.p12
  3. Ajoutez les propriétés suivantes à /opt/apigee/customer/application/management-server.properties. Si le fichier n'existe pas, créez-le. Consultez également la Documentation de référence sur les fichiers de propriétés.
    conf_keymanagement_kmscred.encryption.enabled=true

# Fallback is true to ensure your existing plaintext credentials continue to work
conf_keymanagement_kmscred.encryption.allowFallback=true

conf_keymanagement_kmscred.encryption.keystore.path=PATH_TO_KEYSTORE_FILE
conf_keymanagement_kmscred.encryption.kek.alias=KEYSTORE_NAME

# These could alternately be set as environment variables. These variables should be
# accessible to Apigee user during bootup of the Java process. If environment
# variables are specified, you can skip the password configs below.
# KMSCRED_ENCRYPTION_KEYSTORE_PASS=
# KMSCRED_ENCRYPTION_KEK_PASS=
See also Using environment variables for configuration properties.

conf_keymanagement_kmscred.encryption.keystore.pass=KEYSTORE_PASSWORD
conf_keymanagement_kmscred.encryption.kek.pass=KEK_PASSWORD

    Notez que KEK_PASSWORD peut être identique à KEYSTORE_PASSWORD, selon l'outil utilisé pour générer le keystore.

  4. Redémarrez le serveur de gestion à l'aide des commandes suivantes : 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server wait_for_ready

    La commande wait_for_ready renvoie le message suivant lorsque le serveur de gestion est prêt:

    Checking if management-server is up: management-server is up.
  5. Si vous avez des serveurs de gestion installés sur plusieurs nœuds, répétez les étapes 1 à 4 ci-dessus sur chaque nœud de serveur de gestion.

Étape 3: Créez une application pour les développeurs

Maintenant que les serveurs de gestion sont mis à jour, vous devez créer une application de développement pour déclencher la génération de la clé utilisée pour chiffrer les données d'identifiants client:

  1. Créez une application de développement pour déclencher la création d'une clé de chiffrement des données (KEK). Pour connaître la procédure à suivre, consultez la section Enregistrer une application.
  2. Supprimez l'application du développeur si vous le souhaitez. Vous n'avez pas besoin de la conserver une fois la clé de chiffrement générée.

Étape 4: Configurez les processeurs de messages

Tant que le chiffrement n'est pas activé dans les processeurs de messages, les requêtes d'exécution ne peuvent pas traiter les identifiants chiffrés.

  1. Copiez le fichier keystore que vous avez généré à l'étape 1 dans un répertoire du nœud du processeur de messages, tel que /opt/apigee/customer/application. Exemple : 
    cp certs/kekstore.p12 /opt/apigee/customer/application
  2. Assurez-vous que le fichier est lisible par l'utilisateur apigee : 
    chown apigee:apigee /opt/apigee/customer/application/kekstore.p12
  3. Ajoutez les propriétés suivantes à /opt/apigee/customer/application/message-processor.properties. Si le fichier n'existe pas, créez-le. Consultez également la Documentation de référence sur les fichiers de propriétés. 
    conf_keymanagement_kmscred.encryption.enabled=true

# Fallback is true to ensure your existing plaintext credentials continue to work
conf_keymanagement_kmscred.encryption.allowFallback=true

conf_keymanagement_kmscred.encryption.keystore.path=PATH_TO_KEYSTORE_FILE
conf_keymanagement_kmscred.encryption.kek.alias=KEYSTORE_NAME

# These could alternately be set as environment variables. These variables should be
# accessible to Apigee user during bootup of the Java process. If environment
# variables are specified, you can skip the password configs below.
# KMSCRED_ENCRYPTION_KEYSTORE_PASS=
# KMSCRED_ENCRYPTION_KEK_PASS=
See also Using environment variables for configuration properties.


conf_keymanagement_kmscred.encryption.keystore.pass=KEYSTORE_PASSWORD
conf_keymanagement_kmscred.encryption.kek.pass=KEK_PASSWORD

    Notez que KEK_PASSWORD peut être identique à KEYSTORE_PASSWORD en fonction de l'outil utilisé pour générer le keystore.

  4. Redémarrez le processeur de messages à l'aide des commandes suivantes : 
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor wait_for_ready

    La commande wait_for_ready renvoie le message suivant lorsque le processeur de messages est prêt à traiter les messages:

    Checking if message-processor is up: message-processor is up.
  5. Si des processeurs de messages sont installés sur plusieurs nœuds, répétez les étapes 1 à 4 sur chaque nœud de processeur de messages.

Résumé

Le secret des identifiants sera chiffré au repos dans la base de données Cassandra pour toutes les applications de développement que vous créerez à partir de maintenant.

Utiliser des variables d'environnement pour les propriétés de configuration

Vous pouvez également définir les propriétés de configuration du processeur de messages et du serveur de gestion suivantes à l'aide de variables d'environnement. Si elles sont définies, les variables d'environnement remplacent les propriétés définies dans le fichier de configuration du processeur de messages ou du serveur de gestion. 

conf_keymanagement_kmscred.encryption.keystore.pass=
conf_keymanagement_kmscred.encryption.kek.pass=

Les variables d'environnement correspondantes sont les suivantes: 

export KMSCRED_ENCRYPTION_KEYSTORE_PASS=KEYSTORE_PASSWORD
export KMSCRED_ENCRYPTION_KEK_PASS=KEK_PASSWORD

Si vous définissez ces variables d'environnement, vous pouvez omettre ces propriétés de configuration dans les fichiers de configuration sur les nœuds du processeur de messages et du serveur de gestion, car elles seront ignorées: 

conf_keymanagement_kmscred.encryption.keystore.pass
conf_keymanagement_kmscred.encryption.kek.pass

Référence du fichier de propriétés

Cette section décrit les propriétés de configuration que vous devez définir sur tous les nœuds de traitement des messages et de serveur de gestion, comme expliqué précédemment dans ce document.

Propriété Par défaut Description
conf_keymanagement_kmscred.encryption.enabled false Doit être true pour activer le chiffrement de clé.
conf_keymanagement_kmscred.encryption.allowFallback false Définissez allowFallback sur true pour vous assurer que vos identifiants en texte brut existants continuent de fonctionner.
conf_keymanagement_kmscred.encryption.keystore.path N/A Indiquez le chemin d'accès au keystore KEK sur le nœud du processeur de messages ou du serveur de gestion. Consultez les sections Étape 2: Configurer le serveur de gestion et Étape 3: Configurer les processeurs de messages.
conf_keymanagement_kmscred.encryption.kek.alias N/A Alias par rapport auquel la KEK est stockée dans le keystore.
conf_keymanagement_kmscred.encryption.keystore.pass N/A Cette option est facultative si vous définissez ces propriétés à l'aide de variables d'environnement. Consultez également la section Utiliser des variables d'environnement pour les propriétés de configuration.
conf_keymanagement_kmscred.encryption.kek.pass N/A Cette option est facultative si vous définissez ces propriétés à l'aide de variables d'environnement. Consultez également la section Utiliser des variables d'environnement pour les propriétés de configuration.