Ta strona została przetłumaczona przez Cloud Translation API.

Włączam szyfrowanie tajnego klucza

Z tego dokumentu dowiesz się, jak włączyć szyfrowanie zapisane tajnych kluczy klienta aplikacji dewelopera (danych logowania klienta); w bazie danych Cassandra.

Omówienie

Tradycyjnie Apigee Edge dla chmury prywatnej udostępniała opcjonalne szyfrowanie mapy wartości klucza (KVM) i tokeny dostępu OAuth.

W tabeli poniżej znajdziesz opcje szyfrowania danych w spoczynku w Apigee dla Private Cloud:

Encja	Szyfrowanie włączone domyślnie	Szyfrowanie dostępne opcjonalnie	Powiązana dokumentacja
Kamery KVM	Nie	Tak	Więcej informacji znajdziesz w artykule Informacje o zaszyfrowanych maszynach wirtualnych.
Tokeny dostępu OAuth	Nie	Tak	Zobacz Haszowanie tokenów w celu zwiększenia bezpieczeństwa.
Tajne klucze klienta aplikacji dewelopera	Nie	Tak	Aby włączyć tę funkcję, wykonaj czynności konfiguracyjne opisane w tym dokumencie.

Aby włączyć szyfrowanie danych logowania klienta, wykonaj te czynności na wszystkie węzły procesora wiadomości i serwera zarządzania:

Utwórz magazyn kluczy do przechowywania Klucz szyfrowania klucza (KEK). Apigee używa tego zaszyfrowanego klucza do szyfrowania tajnych kluczy niezbędnych do szyfrowania danych.
Edytowanie właściwości konfiguracji we wszystkich węzłach serwera zarządzania i procesora wiadomości.
Aby aktywować tworzenie klucza, utwórz aplikację dewelopera.
Ponownie uruchom węzły.

Zadania te zostały opisane w tym dokumencie.

Co musisz wiedzieć o kluczu funkcja szyfrowania

Kroki w tym dokumencie wyjaśniają, jak włączyć funkcję KEK, która umożliwia Apigee szyfrowanie klucze tajne używane do szyfrowania aplikacji dewelopera tajnych kluczy klienta, gdy są one przechowywane w spoczynku w bazie danych Cassandra.

Domyślnie wszystkie istniejące wartości w bazie danych pozostaną niezmienione (jako zwykły tekst) i będą będzie działać tak jak wcześniej.

Uwaga: Apigee udostępnia funkcję zastępczą wyłączona przez wartość domyślną. Oznacza to, że domyślnie niezaszyfrowane obiekty tajne klienta zakończą się niepowodzeniem. Jeśli Flaga allowFallback jest ustawiona na true, jak wyjaśniliśmy w następujących krokach, niezaszyfrowane encje będą skuteczne. Przykład: Jeśli allowFallback ma wartość false, niezaszyfrowane tajny klucz klienta aplikacji dewelopera nie będzie przez dłuższy czas, przez co weryfikacja klucza interfejsu API kończy się niepowodzeniem.

Jeśli wykonasz dowolną operację zapisu na niezaszyfrowanej jednostce, zostanie ona zaszyfrowana, gdy operacja została zapisana. Jeśli na przykład unieważnisz niezaszyfrowany token, a następnie zatwierdzisz , nowy zatwierdzony token zostanie zaszyfrowany.

Zabezpieczanie kluczy

Pamiętaj, aby zapisać w bezpiecznej lokalizacji kopię magazynu kluczy, w którym klucz KEK jest przechowywany. Zalecamy użycie własnych do zapisywania kopii magazynu kluczy. Jak wyjaśniamy w instrukcjach w tym dokumencie, magazyn kluczy musi być umieszczony w każdym procesorze wiadomości i węźle serwera zarządzania, w którym może się do niego odwoływać. Ważne jest jednak również przechowywanie do przechowywania kluczy w innym miejscu i jako kopię zapasową.

Włączam szyfrowanie klucza

Aby zaszyfrować klucz tajnego klucza klienta, wykonaj te czynności:

Wymagania wstępne

Przed wykonaniem kroków opisanych w tym dokumencie musisz spełnić te wymagania:

Musisz zainstalować lub uaktualnić Apigee Edge dla Private Cloud w wersji 4.50.00.10 lub nowszej.
Musisz być administratorem Apigee Edge dla Private Cloud.

Krok 1. Wygeneruj magazyn kluczy

Aby utworzyć magazyn kluczy do przechowywania klucza szyfrowania klucza (KEK), wykonaj te czynności:

Wykonaj to polecenie, aby wygenerować magazyn kluczy do przechowywania klucza, który posłuży do: zaszyfrować KEK. Wpisz polecenie dokładnie w takiej formie. (Możesz podać dowolną nazwę magazynu kluczy):
```
keytool -genseckey -alias KEYSTORE_NAME -keyalg AES -keysize 256 \
-keystore kekstore.p12 -storetype PKCS12
```
Gdy pojawi się prośba, wpisz hasło. Użyjesz tego hasła w późniejszych sekcjach podczas skonfigurować serwer zarządzania i procesor wiadomości.

Polecenie to generuje plik magazynu kluczy kekstore.p12 zawierający klucz z alias KEYSTORE_NAME.
(Opcjonalnie) Sprawdź, czy plik został poprawnie wygenerowany, używając tego polecenia. Jeśli plik jest prawidłowe, polecenie zwraca klucz z aliasem KEYSTORE_NAME:
```
keytool -list -keystore kekstore.p12
```

Krok 2. Skonfiguruj serwer zarządzania

Następnie skonfiguruj serwer zarządzania. Jeśli serwery zarządzania są zainstalowane w wielu węzłach, musisz powtórzyć te kroki w każdym węźle.

Skopiuj plik magazynu kluczy wygenerowany w kroku 1 do katalogu w węźle serwera zarządzania, np. /opt/apigee/customer/application. Na przykład:
```
cp certs/kekstore.p12 /opt/apigee/customer/application
```

Sprawdź, czy użytkownik apigee może odczytać plik:

chown apigee:apigee /opt/apigee/customer/application/kekstore.p12

chmod 400 /opt/apigee/customer/application/kekstore.p12

Dodaj do obiektu /opt/apigee/customer/application/management-server.properties poniższe właściwości. Jeśli plik nie istnieje, utwórz go. Patrz też dokumentacja pliku usługi.

conf_keymanagement_kmscred.encryption.enabled=true

# Fallback is true to ensure your existing plaintext credentials continue to work
conf_keymanagement_kmscred.encryption.allowFallback=true

conf_keymanagement_kmscred.encryption.keystore.path=PATH_TO_KEYSTORE_FILE
conf_keymanagement_kmscred.encryption.kek.alias=KEYSTORE_NAME

# These could alternately be set as environment variables. These variables should be
# accessible to Apigee user during bootup of the Java process. If environment
# variables are specified, you can skip the password configs below.
# KMSCRED_ENCRYPTION_KEYSTORE_PASS=
# KMSCRED_ENCRYPTION_KEK_PASS=
See also Using environment variables for configuration properties.

conf_keymanagement_kmscred.encryption.keystore.pass=KEYSTORE_PASSWORD
conf_keymanagement_kmscred.encryption.kek.pass=KEK_PASSWORD

Pamiętaj, że pole KEK_PASSWORD może być takie samo jak KEYSTORE_PASSWORD w zależności od narzędzia użytego do wygenerowania magazynu kluczy.

Ponownie uruchom serwer zarządzania za pomocą tych poleceń:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

/opt/apigee/apigee-service/bin/apigee-service edge-management-server wait_for_ready

Gdy serwer zarządzania będzie gotowy, polecenie wait_for_ready zwraca następujący komunikat:

Checking if management-server is up: management-server is up.

Jeśli serwery zarządzania są zainstalowane w wielu węzłach, powtórz kroki 1–4 powyżej w przypadku każdego zarządzania i węzeł serwera.

Krok 3. Utwórz aplikację dewelopera

Po zaktualizowaniu serwerów zarządzania musisz utworzyć aplikację dewelopera, aby aktywować generowanie klucza używanego do szyfrowania danych logowania klienta:

Utwórz aplikację deweloperską, aby aktywować tworzenie klucza szyfrowania danych (KEK). Instrukcje: Więcej informacji: Rejestrowanie aplikacji.
Jeśli chcesz, możesz ją usunąć. Po zakończeniu szyfrowania nie musisz go przechowywać .

Krok 4. Skonfiguruj procesory wiadomości

Dopóki nie włączysz szyfrowania w jednostkach przetwarzających wiadomości, żądania w czasie działania nie będą mogły przetwarzać żadnych zaszyfrowanych danych logowania.

Skopiuj plik magazynu kluczy wygenerowany w kroku 1 do katalogu w węźle procesora wiadomości. na przykład /opt/apigee/customer/application. Na przykład:
```
cp certs/kekstore.p12 /opt/apigee/customer/application
```

Sprawdź, czy użytkownik apigee może odczytać plik:

chown apigee:apigee /opt/apigee/customer/application/kekstore.p12

Dodaj do obiektu /opt/apigee/customer/application/message-processor.properties poniższe właściwości. Jeśli plik nie istnieje, utwórz go. Patrz też dokumentacja pliku usługi.

conf_keymanagement_kmscred.encryption.enabled=true

# Fallback is true to ensure your existing plaintext credentials continue to work
conf_keymanagement_kmscred.encryption.allowFallback=true

conf_keymanagement_kmscred.encryption.keystore.path=PATH_TO_KEYSTORE_FILE
conf_keymanagement_kmscred.encryption.kek.alias=KEYSTORE_NAME

# These could alternately be set as environment variables. These variables should be
# accessible to Apigee user during bootup of the Java process. If environment
# variables are specified, you can skip the password configs below.
# KMSCRED_ENCRYPTION_KEYSTORE_PASS=
# KMSCRED_ENCRYPTION_KEK_PASS=
See also Using environment variables for configuration properties.


conf_keymanagement_kmscred.encryption.keystore.pass=KEYSTORE_PASSWORD
conf_keymanagement_kmscred.encryption.kek.pass=KEK_PASSWORD

Pamiętaj, że pole KEK_PASSWORD może być takie samo jak KEYSTORE_PASSWORD. w zależności od narzędzia użytego do wygenerowania magazynu kluczy.

Ponownie uruchom procesor wiadomości za pomocą tych poleceń:

/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart

/opt/apigee/apigee-service/bin/apigee-service edge-message-processor wait_for_ready

Polecenie wait_for_ready zwraca następujący komunikat, gdy procesor wiadomości jest gotowy do przetwarzania wiadomości:

Checking if message-processor is up: message-processor is up.

Jeśli procesory wiadomości są zainstalowane w wielu węzłach, powtórz kroki 1–4 w każdym z nich węzła przetwarzającego wiadomości.

Podsumowanie

Obiekt tajny danych logowania, które utworzysz od tej chwili w przypadku wszystkich aplikacji dla deweloperów, będzie zaszyfrowany na stronie w bazie danych Cassandra.

Używanie zmiennych środowiskowych do właściwości konfiguracji

Możesz też ustawić następującą konfigurację procesora wiadomości i serwera zarządzania za pomocą zmiennych środowiskowych. Jeśli są ustawione, zmienne środowiskowe zastępują właściwości. w pliku konfiguracji procesora wiadomości lub serwera zarządzania.

conf_keymanagement_kmscred.encryption.keystore.pass=
conf_keymanagement_kmscred.encryption.kek.pass=

Odpowiednie zmienne środowiskowe to:

export KMSCRED_ENCRYPTION_KEYSTORE_PASS=KEYSTORE_PASSWORD

export KMSCRED_ENCRYPTION_KEK_PASS=KEK_PASSWORD

Jeśli ustawisz te zmienne środowiskowe, możesz pominąć te właściwości konfiguracji w w węzłach procesora komunikatów i węzłów serwera zarządzania, ponieważ będą one ignorowane:

conf_keymanagement_kmscred.encryption.keystore.pass
conf_keymanagement_kmscred.encryption.kek.pass

Dokumentacja pliku właściwości

W tej sekcji opisano właściwości konfiguracji, które musisz ustawić na wszystkich procesorach wiadomości i węzłami serwera zarządzania, jak wyjaśniono to wcześniej w tym dokumencie.

Właściwość	Domyślny	Opis
`conf_keymanagement_kmscred.encryption.enabled`	`false`	Aby można było włączyć szyfrowanie klucza, musi to być `true`.
`conf_keymanagement_kmscred.encryption.allowFallback`	`false`	Ustaw allowFallback na `true`, aby mieć pewność, że dotychczasowe dane logowania w postaci zwykłego tekstu będą nadal działać.
`conf_keymanagement_kmscred.encryption.keystore.path`	Nie dotyczy	Podaj ścieżkę do magazynu kluczy KEK w węźle procesora wiadomości lub węźle serwera zarządzania. Zobacz Krok 2. Skonfiguruj zarządzanie serwera i Krok 3. Skonfiguruj procesory wiadomości.
`conf_keymanagement_kmscred.encryption.kek.alias`	Nie dotyczy	Alias, dla którego jest przechowywany klucz KEK w magazynie kluczy.
`conf_keymanagement_kmscred.encryption.keystore.pass`	Nie dotyczy	Opcjonalne, jeśli do ustawiania tych właściwości używasz zmiennych środowiskowych. Zobacz też Korzystanie ze środowiska dla właściwości konfiguracji.
`conf_keymanagement_kmscred.encryption.kek.pass`	Nie dotyczy	Opcjonalne, jeśli do ustawiania tych właściwości używasz zmiennych środowiskowych. Zobacz też Korzystanie ze środowiska dla właściwości konfiguracji.