Włączam szyfrowanie tajnego klucza

Z tego dokumentu dowiesz się, jak włączyć szyfrowanie zapisane tajnych kluczy klienta aplikacji dewelopera (danych logowania klienta); w bazie danych Cassandra.

Omówienie

Tradycyjnie Apigee Edge dla chmury prywatnej udostępniała opcjonalne szyfrowanie mapy wartości klucza (KVM) i tokeny dostępu OAuth.

W tabeli poniżej znajdziesz opcje szyfrowania danych w spoczynku w Apigee dla Private Cloud:

Encja Szyfrowanie włączone domyślnie Szyfrowanie dostępne opcjonalnie Powiązana dokumentacja
Kamery KVM Nie Tak Więcej informacji znajdziesz w artykule Informacje o zaszyfrowanych maszynach wirtualnych.
Tokeny dostępu OAuth Nie Tak Zobacz Haszowanie tokenów w celu zwiększenia bezpieczeństwa.
Tajne klucze klienta aplikacji dewelopera Nie Tak Aby włączyć tę funkcję, wykonaj czynności konfiguracyjne opisane w tym dokumencie.

Aby włączyć szyfrowanie danych logowania klienta, wykonaj te czynności na wszystkie węzły procesora wiadomości i serwera zarządzania:

  • Utwórz magazyn kluczy do przechowywania Klucz szyfrowania klucza (KEK). Apigee używa tego zaszyfrowanego klucza do szyfrowania tajnych kluczy niezbędnych do szyfrowania danych.
  • Edytowanie właściwości konfiguracji we wszystkich węzłach serwera zarządzania i procesora wiadomości.
  • Aby aktywować tworzenie klucza, utwórz aplikację dewelopera.
  • Ponownie uruchom węzły.

Zadania te zostały opisane w tym dokumencie.

Co musisz wiedzieć o kluczu funkcja szyfrowania

Kroki w tym dokumencie wyjaśniają, jak włączyć funkcję KEK, która umożliwia Apigee szyfrowanie klucze tajne używane do szyfrowania aplikacji dewelopera tajnych kluczy klienta, gdy są one przechowywane w spoczynku w bazie danych Cassandra.

Domyślnie wszystkie istniejące wartości w bazie danych pozostaną niezmienione (jako zwykły tekst) i będą będzie działać tak jak wcześniej.

Jeśli wykonasz dowolną operację zapisu na niezaszyfrowanej jednostce, zostanie ona zaszyfrowana, gdy operacja została zapisana. Jeśli na przykład unieważnisz niezaszyfrowany token, a następnie zatwierdzisz , nowy zatwierdzony token zostanie zaszyfrowany.

Zabezpieczanie kluczy

Pamiętaj, aby zapisać w bezpiecznej lokalizacji kopię magazynu kluczy, w którym klucz KEK jest przechowywany. Zalecamy użycie własnych do zapisywania kopii magazynu kluczy. Jak wyjaśniamy w instrukcjach w tym dokumencie, magazyn kluczy musi być umieszczony w każdym procesorze wiadomości i węźle serwera zarządzania, w którym może się do niego odwoływać. Ważne jest jednak również przechowywanie do przechowywania kluczy w innym miejscu i jako kopię zapasową.

Włączam szyfrowanie klucza

Aby zaszyfrować klucz tajnego klucza klienta, wykonaj te czynności:

Wymagania wstępne

Przed wykonaniem kroków opisanych w tym dokumencie musisz spełnić te wymagania:

  • Musisz zainstalować lub uaktualnić Apigee Edge dla Private Cloud w wersji 4.50.00.10 lub nowszej.
  • Musisz być administratorem Apigee Edge dla Private Cloud.

Krok 1. Wygeneruj magazyn kluczy

Aby utworzyć magazyn kluczy do przechowywania klucza szyfrowania klucza (KEK), wykonaj te czynności:

  1. Wykonaj to polecenie, aby wygenerować magazyn kluczy do przechowywania klucza, który posłuży do: zaszyfrować KEK. Wpisz polecenie dokładnie w takiej formie. (Możesz podać dowolną nazwę magazynu kluczy):
    keytool -genseckey -alias KEYSTORE_NAME -keyalg AES -keysize 256 \
    -keystore kekstore.p12 -storetype PKCS12

    Gdy pojawi się prośba, wpisz hasło. Użyjesz tego hasła w późniejszych sekcjach podczas skonfigurować serwer zarządzania i procesor wiadomości.

    Polecenie to generuje plik magazynu kluczy kekstore.p12 zawierający klucz z alias KEYSTORE_NAME.

  2. (Opcjonalnie) Sprawdź, czy plik został poprawnie wygenerowany, używając tego polecenia. Jeśli plik jest prawidłowe, polecenie zwraca klucz z aliasem KEYSTORE_NAME:
    keytool -list -keystore kekstore.p12

Krok 2. Skonfiguruj serwer zarządzania

Następnie skonfiguruj serwer zarządzania. Jeśli serwery zarządzania są zainstalowane w wielu węzłach, musisz powtórzyć te kroki w każdym węźle.

  1. Skopiuj plik magazynu kluczy wygenerowany w kroku 1 do katalogu w węźle serwera zarządzania, np. /opt/apigee/customer/application. Na przykład:
    cp certs/kekstore.p12 /opt/apigee/customer/application
  2. Sprawdź, czy użytkownik apigee może odczytać plik:
    chown apigee:apigee /opt/apigee/customer/application/kekstore.p12
    chmod 400 /opt/apigee/customer/application/kekstore.p12
  3. Dodaj do obiektu /opt/apigee/customer/application/management-server.properties poniższe właściwości. Jeśli plik nie istnieje, utwórz go. Patrz też dokumentacja pliku usługi.
    conf_keymanagement_kmscred.encryption.enabled=true
    
    # Fallback is true to ensure your existing plaintext credentials continue to work
    conf_keymanagement_kmscred.encryption.allowFallback=true
    
    conf_keymanagement_kmscred.encryption.keystore.path=PATH_TO_KEYSTORE_FILE
    conf_keymanagement_kmscred.encryption.kek.alias=KEYSTORE_NAME
    
    # These could alternately be set as environment variables. These variables should be
    # accessible to Apigee user during bootup of the Java process. If environment
    # variables are specified, you can skip the password configs below.
    # KMSCRED_ENCRYPTION_KEYSTORE_PASS=
    # KMSCRED_ENCRYPTION_KEK_PASS=
    See also Using environment variables for configuration properties.
    
    conf_keymanagement_kmscred.encryption.keystore.pass=KEYSTORE_PASSWORD
    conf_keymanagement_kmscred.encryption.kek.pass=KEK_PASSWORD

    Pamiętaj, że pole KEK_PASSWORD może być takie samo jak KEYSTORE_PASSWORD w zależności od narzędzia użytego do wygenerowania magazynu kluczy.

  4. Ponownie uruchom serwer zarządzania za pomocą tych poleceń:
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server wait_for_ready

    Gdy serwer zarządzania będzie gotowy, polecenie wait_for_ready zwraca następujący komunikat:

    Checking if management-server is up: management-server is up.
  5. Jeśli serwery zarządzania są zainstalowane w wielu węzłach, powtórz kroki 1–4 powyżej w przypadku każdego zarządzania i węzeł serwera.

Krok 3. Utwórz aplikację dewelopera

Po zaktualizowaniu serwerów zarządzania musisz utworzyć aplikację dewelopera, aby aktywować generowanie klucza używanego do szyfrowania danych logowania klienta:

  1. Utwórz aplikację deweloperską, aby aktywować tworzenie klucza szyfrowania danych (KEK). Instrukcje: Więcej informacji: Rejestrowanie aplikacji.
  2. Jeśli chcesz, możesz ją usunąć. Po zakończeniu szyfrowania nie musisz go przechowywać .

Krok 4. Skonfiguruj procesory wiadomości

Dopóki nie włączysz szyfrowania w jednostkach przetwarzających wiadomości, żądania w czasie działania nie będą mogły przetwarzać żadnych zaszyfrowanych danych logowania.

  1. Skopiuj plik magazynu kluczy wygenerowany w kroku 1 do katalogu w węźle procesora wiadomości. na przykład /opt/apigee/customer/application. Na przykład:
    cp certs/kekstore.p12 /opt/apigee/customer/application
  2. Sprawdź, czy użytkownik apigee może odczytać plik:
    chown apigee:apigee /opt/apigee/customer/application/kekstore.p12
  3. Dodaj do obiektu /opt/apigee/customer/application/message-processor.properties poniższe właściwości. Jeśli plik nie istnieje, utwórz go. Patrz też dokumentacja pliku usługi.
    conf_keymanagement_kmscred.encryption.enabled=true
    
    # Fallback is true to ensure your existing plaintext credentials continue to work
    conf_keymanagement_kmscred.encryption.allowFallback=true
    
    conf_keymanagement_kmscred.encryption.keystore.path=PATH_TO_KEYSTORE_FILE
    conf_keymanagement_kmscred.encryption.kek.alias=KEYSTORE_NAME
    
    # These could alternately be set as environment variables. These variables should be
    # accessible to Apigee user during bootup of the Java process. If environment
    # variables are specified, you can skip the password configs below.
    # KMSCRED_ENCRYPTION_KEYSTORE_PASS=
    # KMSCRED_ENCRYPTION_KEK_PASS=
    See also Using environment variables for configuration properties.
    
    
    conf_keymanagement_kmscred.encryption.keystore.pass=KEYSTORE_PASSWORD
    conf_keymanagement_kmscred.encryption.kek.pass=KEK_PASSWORD

    Pamiętaj, że pole KEK_PASSWORD może być takie samo jak KEYSTORE_PASSWORD. w zależności od narzędzia użytego do wygenerowania magazynu kluczy.

  4. Ponownie uruchom procesor wiadomości za pomocą tych poleceń:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor wait_for_ready

    Polecenie wait_for_ready zwraca następujący komunikat, gdy procesor wiadomości jest gotowy do przetwarzania wiadomości:

    Checking if message-processor is up: message-processor is up.
  5. Jeśli procesory wiadomości są zainstalowane w wielu węzłach, powtórz kroki 1–4 w każdym z nich węzła przetwarzającego wiadomości.

Podsumowanie

Obiekt tajny danych logowania, które utworzysz od tej chwili w przypadku wszystkich aplikacji dla deweloperów, będzie zaszyfrowany na stronie w bazie danych Cassandra.

Używanie zmiennych środowiskowych do właściwości konfiguracji

Możesz też ustawić następującą konfigurację procesora wiadomości i serwera zarządzania za pomocą zmiennych środowiskowych. Jeśli są ustawione, zmienne środowiskowe zastępują właściwości. w pliku konfiguracji procesora wiadomości lub serwera zarządzania.

conf_keymanagement_kmscred.encryption.keystore.pass=
conf_keymanagement_kmscred.encryption.kek.pass=

Odpowiednie zmienne środowiskowe to:

export KMSCRED_ENCRYPTION_KEYSTORE_PASS=KEYSTORE_PASSWORD
export KMSCRED_ENCRYPTION_KEK_PASS=KEK_PASSWORD

Jeśli ustawisz te zmienne środowiskowe, możesz pominąć te właściwości konfiguracji w w węzłach procesora komunikatów i węzłów serwera zarządzania, ponieważ będą one ignorowane:

conf_keymanagement_kmscred.encryption.keystore.pass
conf_keymanagement_kmscred.encryption.kek.pass

Dokumentacja pliku właściwości

W tej sekcji opisano właściwości konfiguracji, które musisz ustawić na wszystkich procesorach wiadomości i węzłami serwera zarządzania, jak wyjaśniono to wcześniej w tym dokumencie.

Właściwość Domyślny Opis
conf_keymanagement_kmscred.encryption.enabled false Aby można było włączyć szyfrowanie klucza, musi to być true.
conf_keymanagement_kmscred.encryption.allowFallback false Ustaw allowFallback na true, aby mieć pewność, że dotychczasowe dane logowania w postaci zwykłego tekstu będą nadal działać.
conf_keymanagement_kmscred.encryption.keystore.path Nie dotyczy Podaj ścieżkę do magazynu kluczy KEK w węźle procesora wiadomości lub węźle serwera zarządzania. Zobacz Krok 2. Skonfiguruj zarządzanie serwera i Krok 3. Skonfiguruj procesory wiadomości.
conf_keymanagement_kmscred.encryption.kek.alias Nie dotyczy Alias, dla którego jest przechowywany klucz KEK w magazynie kluczy.
conf_keymanagement_kmscred.encryption.keystore.pass Nie dotyczy Opcjonalne, jeśli do ustawiania tych właściwości używasz zmiennych środowiskowych. Zobacz też Korzystanie ze środowiska dla właściwości konfiguracji.
conf_keymanagement_kmscred.encryption.kek.pass Nie dotyczy Opcjonalne, jeśli do ustawiania tych właściwości używasz zmiennych środowiskowych. Zobacz też Korzystanie ze środowiska dla właściwości konfiguracji.