TLS/SSL 구성

표준 보안 기술인 TLS (전송 계층 보안, 이전 버전 SSL) 앱에서 Apigee에 이르기까지 API 환경 전반에서 안전하고 암호화된 메시지 보장 에지에서 백엔드 서비스까지

관리 API의 환경 구성에 관계없이(예: 관리 API 앞에 프록시, 라우터 및/또는 부하 분산기를 사용하거나 not); Edge를 사용하면 TLS를 사용 설정하고 구성하여 API 관리 환경을 제공합니다

Edge Private Cloud의 온프레미스 설치의 경우 여러 위치에서 TLS를 구성합니다.

  1. 라우터와 메시지 간 프로세서
  2. Edge 관리 API 액세스의 경우
  3. 에지 관리 UI 액세스
  4. 새 Edge UI에 액세스하는 경우
  5. 앱에서 액세스하기 API에
  6. 대상: 에지에서 백엔드 서비스로의 액세스

Edge에서 TLS를 구성하는 방법에 관한 전체 개요는 TLS/SSL을 참고하세요.

JKS 파일 만들기

많은 TLS 구성의 경우 키 저장소를 JKS 파일로 표현합니다. 이 파일의 키 저장소에는 TLS 인증서가 포함되어 있고 비공개 키를 생성합니다. JKS 파일을 만드는 방법에는 여러 가지가 있지만 한 가지 방법은 openssl 및 keytool 유틸리티입니다.

예를 들어 TLS 인증서가 포함된 server.pem이라는 PEM 파일이 있습니다. 그리고 비공개 키를 포함하는 private_key.pem이라는 이름의 PEM 파일을 생성합니다. 다음 명령어를 사용하여 PKCS12 파일을 만듭니다.

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12

키의 암호(있는 경우)와 내보내기 비밀번호를 입력해야 합니다. 이 명령어는 keystore.pkcs12라는 PKCS12 파일을 만듭니다.

다음 명령어를 사용하여 keystore.jks라는 JKS 파일로 변환합니다.

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

JKS 파일의 새 비밀번호와 PKCS12 파일로 변환할 수 있습니다. JKS 파일에 대해 사용한 것과 동일한 비밀번호를 사용해야 합니다. PKCS12 파일을 생성합니다

키 별칭을 지정해야 하는 경우(예: 라우터와 메시지 간에 TLS를 구성하는 경우) 프로세서: openssl 명령어에 -name 옵션을 포함합니다.

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest

그런 다음 keytool 명령어에 -alias 옵션을 포함합니다.

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest

난독화된 비밀번호 생성

Edge TLS 구성 절차의 일부에서는 난독화된 비밀번호를 입력해야 합니다. 구성 파일에 포함되어야 합니다 난독화된 비밀번호는 비밀번호를 입력하는 것보다 더 안전한 대안입니다. 일반 텍스트로 된 비밀번호입니다.

에지 관리에서 다음 명령어를 사용하여 난독화된 비밀번호를 생성할 수 있습니다. 서버:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password

새 비밀번호를 입력한 후 메시지가 표시되면 확인합니다. 보안상의 이유로 비밀번호가 표시되지 않습니다. 이 명령어는 다음 형식으로 비밀번호를 반환합니다.

OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

TLS를 구성할 때 OBF에서 지정한 난독화된 비밀번호를 사용합니다.

자세한 내용은 이 도움말을 참조하세요.