Definieren von Verschlüsselungsschemata für elliptische Kurven für ein TLS-Clientprofil

Online bearbeiten

Sie definieren die kryptografischen Verfahren auf Basis elliptischer Kurven für ein „ TLS “-Client-Profil mithilfe der CLI des Entwickler-Toolkits.

Informationen zu dieser Task

Zum Definieren von Verschlüsselungsschemata für elliptische Kurven für ein TLS-Clientprofil fügen Sie die Eigenschaften elliptic_curve_auto_negotiation und elliptic_curve in eine YAML-Dateidefinition für das TLS-Clientprofil ein. Die Eigenschaft elliptic_curve listet die erforderlichen Verschlüsselungsschemata für elliptische Kurven auf. Zum Beispiel:

elliptic_curve_auto_negotiation: false
elliptic_curve:
  - secp521r1
  - secp384r1
  - prime256v1

Anschließend erstellen Sie mithilfe der CLI des Entwickler-Toolkits das Client-Profil „ TLS “ in API Connect.

Wenn elliptic_curve_auto_negotiation auf truegesetzt ist, verhandelt das System automatisch die Diffie-Hellman-Schlüsselvereinbarung (ECDH) für die elliptische Kurve (ECDH) automatisch mit seinem Peer und alle elliptic_curve-Eigenschaftseinstellungen werden ignoriert.

Das folgende Beispiel zeigt eine vollständige YAML-Datei für ein TLS-Clientprofil:

type: tls_client_profile
name: my-tls-client-profile
version: 1.0.0
title: My TLS client profile
protocols:
  - tls_v1.2
ciphers:
  - ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
elliptic_curve_auto_negotiation: false
elliptic_curve:
  - sect163k1
insecure_server_connections: false
server_name_indication: true

Hinweis:

Die Option elliptic_curve_auto_negotiation wird von keinem der API Connect -Gateway-Typen unterstützt. Wenn das Clientprofil „ TLS “ für ein API Connect Gateway vorgesehen ist, wird diese Einstellung vom Gateway ignoriert.
Die Verschlüsselungsschemas der elliptischen Kurven, die in den einzelnen Zeilen der folgenden Tabelle angezeigt werden, sind äquivalent. Je nachdem, wie das „ TLS “-Profil verwendet wird, API Connect erkennt es jedoch nur das eine oder das andere, wie in der Tabelle angegeben.

Tabelle 1. Gateway-Unterstützung

API-Erzwingung auf dem Gateway Zugriffssicherheit für API Connect -Server

secp192r1 prime192v1

secp256r1 prime256v1

Wenn Sie also eines dieser Schemata verwenden möchten und sich nicht sicher sind, ob Sie das Clientprofil „ TLS “ für die API-Durchsetzung am API Connect Gateway einsetzen, ob Sie es zur Sicherung des Benutzerzugriffs auf die API Connect Server verwenden oder ob es für beide Zwecke genutzt wird, geben Sie beide gleichwertigen Schemata an; das nicht relevante API Connect Schema wird einfach ignoriert. Zum Beispiel:
```
elliptic_curve:
       .
       .
       .
  - secp256r1
  - prime256v1
       .
       .
       .
```

Tabelle 1. Gateway-Unterstützung
API-Erzwingung auf dem Gateway	Zugriffssicherheit für API Connect -Server
secp192r1	prime192v1
secp256r1	prime256v1

Vorgehensweise

Führen Sie die folgenden Schritte aus, um ein Client-Profil für „ TLS “ mit definierten kryptografischen Schemata auf Basis elliptischer Kurven zu erstellen:

Erstellen Sie eine YAML-Datei für Ihr „ TLS “-Client-Profil mit der erforderlichen elliptic_curve Eigenschaft.
Melden Sie sich über die Befehlszeilenschnittstelle des Developer Toolkit beim Management-Server an. Melden Sie sich entweder als Mitglied der Cloudadministrationsorganisation oder als Mitglied einer Providerorganisation an, je nachdem, wo Sie das TLS-Clientprofil erstellen möchten. Weitere Informationen hierzu finden Sie unter Bei einem Management-Server anmelden.
Erstellen Sie das TLS-Clientprofil mit dem folgenden Befehl:
```
apic tls-client-profiles:create --server mgmt_endpoint_url --org organization_name tls_client_profile_yaml_file
```
Dabei gilt:
- mgmt_endpoint_url ist der Plattform-API-Endpunkt URL und ist derselbe, der bei der Anmeldung in Schritt 2 verwendet wurde.
- Organisationsname ist entweder adminfür die Cloudadministrationsorganisation oder der Name Ihrer Provider-Organisation und entspricht dem Namen, der bei der Anmeldung in Schritt 2verwendet wurde.
- tls_client_profile_yaml_file ist der Name der YAML-Datei, die die Definition für Ihr TLS-Clientprofil enthält.
Hinweis: Bei der Installation verfügt das API Connect Gateway über ein vorinstalliertes Standard-Clientprofil für „ TLSIBM® API Connect“, das zur Durchsetzung der API-Vorgaben verwendet wird, sofern Sie kein Clientprofil für „ TLS “ konfigurieren; dieses Standard-Clientprofil für „ TLS “ kann auf dem Gateway nicht konfiguriert werden.
Ausführliche Informationen zu allen apic tls-client-profiles Befehlen finden Sie in der Referenzdokumentation zur Toolkit-Befehlszeilenschnittstelle.
Sie können die in diesem Thema beschriebenen Vorgänge auch mithilfe der API Connect REST-APIs ausführen; siehe dazu die API Connect REST-API-Dokumentation.