Настройка TLS/SSL

TLS (Transport Layer Security, предшественником которого является SSL) — это стандартная технология безопасности, обеспечивающая безопасный зашифрованный обмен сообщениями в вашей среде API, от приложений до Apigee Edge и ваших серверных служб.

Независимо от конфигурации среды для вашего API управления — например, используете ли вы прокси-сервер, маршрутизатор и/или балансировщик нагрузки перед вашим API управления (или нет); Edge позволяет включать и настраивать TLS, предоставляя вам контроль над шифрованием сообщений в локальной среде управления API.

Для локальной установки Edge Private Cloud существует несколько мест, где можно настроить TLS:

  1. Между маршрутизатором и процессором сообщений
  2. Для доступа к API управления Edge
  3. Для доступа к пользовательскому интерфейсу управления Edge
  4. Для доступа к новому пользовательскому интерфейсу Edge
  5. Для доступа из приложения к вашим API
  6. Для доступа из Edge к вашим серверным службам

Полный обзор настройки TLS на Edge см. в разделе TLS/SSL .

Создание файла JKS

Для многих конфигураций TLS вы представляете хранилище ключей в виде файла JKS, где хранилище ключей содержит ваш сертификат TLS и закрытый ключ. Существует несколько способов создать файл JKS, но один из них — использовать утилиты openssl и keytool.

Например, у вас есть файл PEM с именем server.pem , содержащий ваш сертификат TLS, и файл PEM с именем Private_key.pem, содержащий ваш закрытый ключ. Используйте следующие команды для создания файла PKCS12:

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12

Вам необходимо ввести парольную фразу для ключа, если он есть, и пароль экспорта. Эта команда создает файл PKCS12 с именем keystore.pkcs12 .

Используйте следующую команду, чтобы преобразовать его в файл JKS с именем keystore.jks:

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

Вам будет предложено ввести новый пароль для файла JKS и существующий пароль для файла PKCS12. Убедитесь, что вы используете тот же пароль для файла JKS, что и для файла PKCS12.

Если вам необходимо указать псевдоним ключа, например, при настройке TLS между маршрутизатором и процессором сообщений, включите параметр -name в команду openssl :

openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest

Затем включите опцию -alias в команду keytool :

keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest

Генерация запутанного пароля

Некоторые части процедуры настройки Edge TLS требуют ввода запутанного пароля в файле конфигурации. Запутанный пароль — более безопасная альтернатива вводу пароля в виде обычного текста.

Вы можете создать запутанный пароль, используя следующую команду на Edge Management Server:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password

Введите новый пароль, а затем подтвердите его при появлении запроса. В целях безопасности текст пароля не отображается. Эта команда возвращает пароль в виде:

OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

Используйте запутанный пароль, указанный OBF, при настройке TLS.

Для получения дополнительной информации см. эту статью .