Edge untuk Private Cloud pada RHEL 8.X berkemampuan FIPS

Bagian ini memberikan panduan tentang cara mengaktifkan mode FIPS di RHEL 8, yang memastikan lingkungan yang aman dan mematuhi kebijakan untuk Edge for Private Cloud versi 4.53.00 atau yang lebih tinggi.

Pra-instal

Pastikan FIPS diaktifkan di node Anda bersama dengan prasyarat konfigurasi standar lainnya yang tercantum dalam dokumentasi Ringkasan Penginstalan Edge.

fips-mode-setup --check  
FIPS mode is enabled.  # Command output

Jika mode FIPS saat ini dinonaktifkan, lihat dokumentasi Red Hat resmi untuk mendapatkan petunjuk tentang cara mengaktifkannya: Mengubah RHEL 8 ke mode FIPS.

Persyaratan Java

Java yang Anda gunakan harus didownload dari repositori Red Hat untuk memastikan bahwa modul keamanannya mematuhi FIPS, sehingga memungkinkan pembatasan khusus FIPS melalui keamanan Java.

Penginstalan

Di Referensi File Konfigurasi Edge, tetapkan FIPS_OS=true di setiap node. Anda dapat mengikuti langkah-langkah penginstalan umum untuk Edge untuk Private Cloud seperti biasa.

Format kunci pribadi

Hanya format PKCS12/PFX yang dapat digunakan untuk mengupload kunci pribadi ke keystore Apigee untuk digunakan di proxy API atau host virtual Anda. Untuk panduan membuat file, lihat Mengonversi sertifikat ke format yang didukung.

Operasi TLS umum

Saat menggunakan Edge for Private Cloud 4.53.00 atau yang lebih baru di RHEL 8.X yang mengaktifkan FIPS, sebagian besar konfigurasi komponen terkait TLS di Edge harus dilakukan melalui keystore berformat PKCS12 atau BCFKS.

Lihat dokumentasi atau catatan khusus FIPS dalam artikel yang relevan untuk konfigurasi TLS guna mendapatkan detail selengkapnya. Lampiran mencantumkan beberapa perintah bermanfaat yang dapat digunakan untuk membuat keystore ini.

Keystore/truststore Java default

Jika Edge for Private Cloud 4.53.00 atau yang lebih baru digunakan di RHEL 8.X yang mengaktifkan FIPS, pemroses pesan, server pengelolaan, dan komponen edge-* lainnya mengandalkan truststore dan keystore default yang disediakan dengan produk.

File ini berisi sertifikat CA yang dipercaya aplikasi Anda secara default. Jika Anda ingin menggunakan penyimpanan Anda sendiri yang berisi sertifikat CA, ikuti prosedur di bawah:

  1. Buat file cacerts format BCFKS yang berisi semua sertifikat CA yang ingin Anda percayai. Pastikan sandi keystore dan sandi kunci sama. Lihat lampiran untuk mengetahui detail selengkapnya.
  2. Tempatkan file di jalur yang sesuai dan pastikan file tersebut dapat dibaca oleh pengguna apigee:
    cp my-cacerts.bcfks /opt/apigee/customer/application/my-cacerts.bcfks
    chown apigee:apigee /opt/apigee/customer/application/my-cacerts.bcfks
  3. Buat (atau edit) file konfigurasi yang sesuai berdasarkan komponen yang Anda gunakan:
    Komponen File
    edge-management-server $/opt/apigee/customer/application/management-server.properties
    edge-message-processor $/opt/apigee/customer/application/message-processor.properties
    edge-router $/opt/apigee/customer/application/router.properties
    edge-postgres-server $/opt/apigee/customer/application/postgres-server.properties
    edge-qpid-server $/opt/apigee/customer/application/qpid-server.properties
  4. Tambahkan baris berikut ke file:
    conf_system_javax.net.ssl.trustStore=<PATH to bcfks cacerts>
    conf_system_javax.net.ssl.trustStorePassword=changeme
    conf_system_javax.net.ssl.keyStore=<PATH to bcfks cacerts>
    conf_system_javax.net.ssl.keyStoreType=BCFKS
    conf_system_javax.net.ssl.keyStorePassword=changeme
  5. Pastikan file konfigurasi dimiliki dan dapat dibaca oleh pengguna apigee:
    chown apigee:apigee $opt/apigee/customer/application/<file>.properties
  6. Mulai ulang komponen:
    /opt/apigee/apigee-service/bin/apigee-service <component> restart

Lampiran

Contoh perintah operasi keystore BCFKS

Perintah di bawah akan menghasilkan keystore BCFKS dengan pasangan kunci dan sertifikat yang ditandatangani sendiri:

keytool -genkeypair -keyalg RSA -alias node0 -validity 365 -keystore keystore.node0 \
-storepass keypass -keypass keypass -v \
-dname "EMAILADDRESS=youremail@domain.com, CN=yourcn, OU=yourou, O=youro, L=yourl, C=yourc" \
-storetype BCFKS -providerpath /opt/apigee/edge-gateway/lib/thirdparty/bc-fips-1.0.2.4.jar \
-providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providername BCFIPS

Perintah keytool tetap konsisten dengan perintah yang biasanya digunakan, tetapi opsi berikut harus disertakan dalam perintah keytool:

--storetype BCFKS -providerpath /opt/apigee/edge-gateway/lib/thirdparty/bc-fips-1.0.2.4.jar
-providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider 
-providername BCFIPS

Argumen Keytool

Argumen Keytool Deskripsi
-storetype Tetapkan jenis toko ke BCFKS.
-providerpath Tentukan jalur ke bc-fips-XXXX.jar. Versi ini dapat berubah dalam rilis OPDK mendatang. Gunakan versi yang dikirimkan oleh Apigee atau download dari repositori Bouncycastle. Untuk OPDK 4.53, jalurnya harus /opt/apigee/edge-gateway/lib/thirdparty/bc-fips-1.0.2.4.jar.
-providerclass Tetapkan ini ke org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider.
-providername Tetapkan ini ke BCFIPS.

Perintah keytool serupa dapat digunakan untuk mengimpor atau mengekspor sertifikat dan/atau kunci dari atau ke keystore format BCFKS. Untuk informasi selengkapnya tentang cara menggunakan BCFKS, lihat dokumentasi BouncyCastle.

Penyimpanan PKCS12

Untuk membuat penyimpanan PKCS12, perintah openssl dapat digunakan:

# Generate a self-signed private key and certificate
openssl req -x509 -newkey rsa:2048 -keyout private.key -out certificate.pem -sha256 -days 36500 -nodes -subj "/C=yourc/ST=yourst/L=yourl/O=youro/OU=yourou/CN=cn/emailAddress=email"
# Package the above generated key and cert into a PKCS12
openssl pkcs12 -export -clcerts -in certificate.pem -inkey private.key -out keystore.pfx -name myalias

Jika Anda memiliki kunci pribadi dan sertifikat sendiri dan perlu mengonversinya ke format PKCS12, lihat Mengonversi sertifikat ke format yang didukung.