TLS (Transport Layer Security, שקודמו הוא SSL) היא טכנולוגיית האבטחה הסטנדרטית כדי להבטיח מסרים מאובטחים ומוצפנים בכל סביבת ה-API, מאפליקציות ל-Apigee מעבר לשירותים לקצה העורפי.
ללא קשר להגדרת הסביבה עבור ממשק ה-API לניהול - לדוגמה, משתמשים בשרת proxy, בנתב או במאזן עומסים מול ה-Management API (או not); Edge מאפשר להפעיל ולהגדיר TLS, כך שתוכלו לשלוט בהצפנת ההודעות בסביבת ניהול ה-API בארגון.
בהתקנה מקומית של Edge Private Cloud, יש כמה מקומות שבהם אפשר הגדרת TLS:
- בין נתב והודעה מעבד
- לגישה ל-Edge management API
- לגישה לממשק המשתמש של ניהול Edge
- גישה לממשק המשתמש החדש של Edge
- לגישה מאפליקציה לממשקי ה-API שלכם
- עבור גישה מ-Edge לשירותים לקצה העורפי
לסקירה כללית מלאה של הגדרת TLS ב-Edge, ראו TLS/SSL.
יצירת קובץ JKS
בתצורות TLS רבות, אתם מייצגים את מאגר המפתחות כקובץ JKS, שבו מאגר המפתחות מכיל את אישור ה-TLS, מפתח פרטי. יש כמה דרכים ליצור קובץ JKS, אבל דרך אחת היא להשתמש ב-Opensl וב של כלי המקשים.
לדוגמה, יש לכם קובץ PEM בשם server.pem
שמכיל את אישור ה-TLS (אבטחת שכבת התעבורה)
וקובץ PEM בשם private_key.pem שמכיל את המפתח הפרטי שלך. משתמשים בפקודות הבאות כדי
יוצרים את קובץ ה-PKCS12:
openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12
עליך להזין את ביטוי הסיסמה של המפתח, אם יש לו, ואת סיסמת הייצוא. הזה
הפקודה יוצרת קובץ PKCS12 בשם keystore.pkcs12
.
משתמשים בפקודה הבאה כדי להמיר אותו לקובץ JKS בשם keystore.jks:
keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks
תתבקשו להזין את הסיסמה החדשה של קובץ ה-JKS ואת הסיסמה הקיימת של קובץ PKCS12. חשוב לוודא שאתם משתמשים באותה סיסמה שבה השתמשתם בקובץ ה-JKS שבו השתמשתם את קובץ ה-PKCS12.
אם צריך לציין כינוי מפתח, למשל כשמגדירים TLS בין נתב להודעה
מעבד, כוללים את האפשרות -name
לפקודה openssl
:
openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest
לאחר מכן כוללים את האפשרות -alias
בפקודה keytool
:
keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest
יצירת סיסמה מעורפלת
בחלקים מסוימים בהליך ההגדרה של TLS (אבטחת שכבת התעבורה) יש להזין סיסמה מעורפלת בקובץ תצורה. סיסמה מעורפלת היא חלופה מאובטחת יותר להזנה של בפורמט של טקסט פשוט.
אפשר ליצור סיסמה מעורפלת באמצעות הפקודה הבאה ב-Edge Management שרת:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password
מזינים את הסיסמה החדשה ומאשרים אותה כשמוצגת הבקשה. מטעמי אבטחה, הטקסט של הסיסמה לא מוצגת. הפקודה תחזיר את הסיסמה:
OBF:58fh40h61svy156789gk1saj MD5:902fobg9d80e6043b394cb2314e9c6
שימוש בסיסמה המעורפלת שצוינה על ידי OBF כשמגדירים TLS.
למידע נוסף במאמר הזה.