TLS (Transport Layer Security, предшественником которого является SSL) — это стандартная технология безопасности, обеспечивающая безопасный зашифрованный обмен сообщениями в вашей среде API, от приложений до Apigee Edge и ваших серверных служб.
Независимо от конфигурации среды для вашего API управления — например, используете ли вы прокси-сервер, маршрутизатор и/или балансировщик нагрузки перед вашим API управления (или нет); Edge позволяет включать и настраивать TLS, предоставляя вам контроль над шифрованием сообщений в локальной среде управления API.
Для локальной установки Edge Private Cloud существует несколько мест, где можно настроить TLS:
- Между маршрутизатором и процессором сообщений
- Для доступа к API управления Edge
- Для доступа к пользовательскому интерфейсу управления Edge
- Для доступа к новому пользовательскому интерфейсу Edge
- Для доступа из приложения к вашим API
- Для доступа из Edge к вашим серверным службам
Полный обзор настройки TLS на Edge см. в разделе TLS/SSL .
Создание файла JKS
Для многих конфигураций TLS вы представляете хранилище ключей в виде файла JKS, где хранилище ключей содержит ваш сертификат TLS и закрытый ключ. Существует несколько способов создать файл JKS, но один из них — использовать утилиты openssl и keytool.
Например, у вас есть файл PEM с именем server.pem , содержащий ваш сертификат TLS, и файл PEM с именем Private_key.pem, содержащий ваш закрытый ключ. Используйте следующие команды для создания файла PKCS12:
openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12
Вам необходимо ввести парольную фразу для ключа, если он есть, и пароль экспорта. Эта команда создает файл PKCS12 с именем keystore.pkcs12 .
Используйте следующую команду, чтобы преобразовать его в файл JKS с именем keystore.jks:
keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks
Вам будет предложено ввести новый пароль для файла JKS и существующий пароль для файла PKCS12. Убедитесь, что вы используете тот же пароль для файла JKS, что и для файла PKCS12.
Если вам необходимо указать псевдоним ключа, например, при настройке TLS между маршрутизатором и процессором сообщений, включите параметр -name в команду openssl :
openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest
Затем включите опцию -alias в команду keytool :
keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest
Генерация запутанного пароля
Некоторые части процедуры настройки Edge TLS требуют ввода запутанного пароля в файле конфигурации. Запутанный пароль — более безопасная альтернатива вводу пароля в виде обычного текста.
Вы можете создать запутанный пароль, используя следующую команду на Edge Management Server:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password
Введите новый пароль, а затем подтвердите его при появлении запроса. В целях безопасности текст пароля не отображается. Эта команда возвращает пароль в виде:
OBF:58fh40h61svy156789gk1saj MD5:902fobg9d80e6043b394cb2314e9c6
Используйте запутанный пароль, указанный OBF, при настройке TLS.
Для получения дополнительной информации см. эту статью .