Este artigo contém detalhes e instruções para clientes do Edge para nuvem privada que usam a versão 4.53.00 ou mais recente, operando em RHEL 8.X com a ativação do FIPS.
Pré-instalar
Verifique se o FIPS está ativado nos seus nós, além dos outros pré-requisitos de configuração padrão listados na documentação do Edge para nuvem privada.
fips-mode-setup --check FIPS mode is enabled.
Se o modo FIPS estiver desativado, consulte a documentação oficial do Red Hat para saber como ativá-lo:
Requisitos do Java
O Java que você usa precisa ser baixado do repositório do Red Hat para garantir que os módulos de segurança do Java sejam compatíveis com o FIPS e possam implementar restrições específicas do FIPS pela segurança do Java.
Instalação
Na referência do arquivo de configuração da instalação silenciosa, defina FIPS_OS=true em todos os nós. Siga as etapas gerais de instalação do Edge para nuvem privada normalmente.
Formato da chave privada
Somente o formato PKCS12/PFX pode ser usado para fazer upload de chaves privadas para chaveiros do Apigee para uso em proxies de API ou hosts virtuais. Consulte Converter certificados para o formato aceito para receber ajuda na criação do arquivo.
Operações TLS gerais
Ao usar o Edge para nuvem privada 4.53.00 ou versões mais recentes no RHEL 8.X com a FIPS ativada, a maioria das configurações de componentes relacionados ao TLS do Edge precisa ser feita usando chaveiros no formato PKCS12 ou BCFKS. Consulte a documentação específica do FIPS ou as notas em artigos relevantes sobre a configuração do TLS para saber mais detalhes. O apêndice lista alguns comandos úteis que podem ser usados para gerar esses keystores.
Keystore/truststore Java padrão
Quando o Edge for Private Cloud 4.53.00 ou mais recente é operado no RHEL 8.X com a FIPS ativada, o processador de mensagens, o servidor de gerenciamento e outros componentes "edge-*" dependem de um repositório de chaves e de confiança padrão enviados com o produto. Eles contêm certificados de AC em que o aplicativo vai confiar por padrão. Se você quiser mudar para sua própria loja com certificados de AC, siga o procedimento abaixo:
- Crie um arquivo cacerts no formato BCFKS que contenha todos os certificados de AC em que você quer confiar. Verifique se a senha do keystore e a senha da chave são iguais. Consulte o apêndice para mais detalhes.
-
Coloque o arquivo em um caminho adequado e verifique se ele pode ser lido pelo usuário da Apigee:
cp my-cacerts.bcfks /opt/apigee/customer/application/my-cacerts.bcfks chown apigee:apigee /opt/apigee/customer/application/my-cacerts.bcfks
-
Crie (ou edite) o arquivo de configuração apropriado com base no componente com que você está trabalhando:
Componente Arquivo edge-management-server $/opt/apigee/customer/application/management-server.properties edge-message-processor $/opt/apigee/customer/application/message-processor.properties roteador de borda $/opt/apigee/customer/application/router.properties edge-postgres-server $/opt/apigee/customer/application/postgres-server.properties edge-qpid-server $/opt/apigee/customer/application/qpid-server.properties -
Adicione as seguintes linhas ao arquivo:
conf_system_javax.net.ssl.trustStore=<PATH to bcfks cacerts> conf_system_javax.net.ssl.trustStorePassword=changeme conf_system_javax.net.ssl.keyStore=<PATH to bcfks cacerts> conf_system_javax.net.ssl.keyStoreType=BCFKS conf_system_javax.net.ssl.keyStorePassword=changeme -
Verifique se o arquivo de configuração pertence ao usuário da Apigee e se ele pode ser lido:
chown apigee:apigee $opt/apigee/customer/application/<file>.properties
-
Reinicie o componente:
/opt/apigee/apigee-service/bin/apigee-service
restart
Apêndice
Exemplos de comandos de operação do keystore do BCFKS
O comando abaixo gera um keystore BCFKS com um par de chaves e certificado autoassinado:
keytool -genkeypair -keyalg RSA -alias node0 -validity 365 -keystore keystore.node0 \ -storepass keypass -keypass keypass -v \ -dname "EMAILADDRESS=youremail@domain.com, CN=yourcn, OU=yourou, O=youro, L=yourl, C=yourc" \ -storetype BCFKS -providerpath /opt/apigee/edge-gateway/lib/thirdparty/bc-fips-1.0.2.4.jar \ -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providername BCFIPS
Os comandos do Keytool permanecem os mesmos que geralmente são executados, mas as seguintes opções precisam ser adicionadas ao comando do keytool:
--storetype BCFKS -providerpath /opt/apigee/edge-gateway/lib/thirdparty/bc-fips-1.0.2.4.jar -providerclass org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider -providername BCFIPS
Argumentos do Keytool
| Argumento Keytool | Descrição |
|---|---|
| -storetype | O tipo de armazenamento é BCFKS. |
| -providerpath | Caminho para bc-fips-XXXX.jar. A versão desse jar pode mudar em versões futuras do OPDK. Use a versão enviada pela Apigee. Também é possível fazer o download do jar nos repositórios do Bouncycastle. A partir do lançamento do OPDK 4.53, ele precisa ser /opt/apigee/edge-gateway/lib/thirdparty/bc-fips-1.0.2.4.jar. |
| -providerclass | Precisa ser definido como org.bouncycastle.jcajce.provider.BouncyCastleFipsProvider. |
| -providername | Precisa ser definido como BCFIPS. |
Comandos semelhantes do keytool podem ser usados para importar ou exportar certificados e/ou chaves de ou para um keystore no formato BCFKS. Para mais informações sobre como trabalhar com o BCFKS, consulte a documentação do BouncyCastle.
Armazenamento PKCS12
Para gerar um repositório PKCS12, é possível usar os comandos openssl:
# Generate a self-signed private key and certificate openssl req -x509 -newkey rsa:2048 -keyout private.key -out certificate.pem -sha256 -days 36500 -nodes -subj "/C=yourc/ST=yourst/L=yourl/O=youro/OU=yourou/CN=cn/emailAddress=email" # Package the above generated key and cert into a PKCS12 openssl pkcs12 -export -clcerts -in certificate.pem -inkey private.key -out keystore.pfx -name myalias
Se você tiver sua própria chave privada e um certificado e quiser empacotá-los em um PKCS12, consulte Converter certificados para o formato aceito.