Questo argomento spiega come abilitare TLS e mTLS unidirezionali sul gateway in entrata.
Configurazione di TLS unidirezionale
Utilizza TLS unidirezionale per proteggere gli endpoint del proxy API sul gateway in entrata. Per abilitare il protocollo TLS unidirezionale, devi configurare il traffico in entrata con coppie di certificati/chiavi TLS o con un secret Kubernetes, come spiegato nelle opzioni seguenti.
Opzione 1: coppia chiave/certificata
Fornisci il certificato SSL e i file della chiave nella proprietà virtualhosts nel file degli override:
virtualhosts:
- name: $ENVIRONMENT_GROUP_NAME
sslCertPath: "$CERT_FILE"
sslKeyPath: "$KEY_FILE"
Dove $ENVIRONMENT_GROUP_NAME è il nome di un gruppo di ambiente con alias host corrispondenti, mentre $CERT_FILE e $KEY_FILE sono file di certificati e chiave TLS. Vedi Creare certificati TLS.
Opzione 2: secret di Kubernetes
Crea un Secret Kubernetes e aggiungilo al file degli override.
- Crea il secret nello spazio dei nomi
apigee:kubectl create -n apigee secret generic $SECRET_NAME \ --from-file=key=$KEY_FILE \ --from-file=cert=$CERT_FILE
- Configura la proprietà
virtualhostsnel file degli override:virtualhosts: - name: $ENVIRONMENT_GROUP_NAME tlsMode: SIMPLE # Note: SIMPLE is the default, so it is optional. sslSecret: $SECRET_NAME
Configurazione di mTLS
Invece di TLS unidirezionale, puoi configurare mTLS sul gateway in entrata. Esistono due opzioni per la configurazione di mTLS, come spiegato di seguito.
Opzione 1: coppia chiave/certificata e file CA
Fornisci i dati del certificato TLS contenenti i certificati dell'autorità di certificazione:
virtualhosts:
- name: $ENVIRONMENT_GROUP_NAME
tlsMode: MUTUAL
caCertPath: "$CA_FILE"
sslCertPath: "$CERT_FILE"
sslKeyPath: "$KEY_FILE"
Dove $ENVIRONMENT_GROUP_NAME è il nome di un gruppo di ambiente con alias host corrispondenti, $CA_FILE specifica i dati del certificato TLS (file del bundle CA) contenenti i certificati dell'autorità di certificazione, mentre $CERT_FILE e $KEY_FILE sono file di chiavi e certificati TLS. Vedi Creare certificati TLS.
Opzione 2: secret di Kubernetes
Creare due Secret di Kubernetes. Il primo secret è per la coppia certificato/chiave SSL e il secondo per la CA. e aggiungili al file degli override.
- Crea due secret Kubernetes per lo spazio dei nomi
apigee:kubectl create -n apigee secret generic $SECRET_NAME \ --from-file=key=$KEY_FILE \ --from-file=cert=$CERT_FILE
- Crea un secret per la CA:
kubectl create -n apigee secret generic $SECRET_NAME-cacert \ --from-file=cacert=$CA_FILE
- Configura la proprietà
virtualhostsnel file degli override:virtualhosts: - name: $ENVIRONMENT_GROUP_NAME tlsMode: MUTUAL # Note: Be sure to specify MUTUAL sslSecret: $SECRET_NAME