問題タブ [secure-gateway]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
ibm-cloud - Bluemix Secure Gateway - HTTPS を使用した内部サービスと外部の TLS 相互認証?
Bluemix Secure Gateway の基本には慣れていますが、一般的なシナリオに違いないセットアップの良い方法がわかりません。
私の要件は次のとおりです。
- 既存の内部サービスは TLS 経由で提供されており、そのまま維持する必要があります。クライアント証明書はチェックしません。従来の https://ReST API にすぎません。
- Secure Gateway パイプの外部側では、クライアント証明書をチェックして、特定の既知のクライアントのみが接続できるようにする必要があります。
2 番目のポイントは、Secure Gateway UI で宛先を設定するときに TLS Mutual Auth オプションを選択することによって達成されます。ただし、これにより、クライアント アプリ (この時点では実際には単なるブラウザー) から Secure Gateway パイプの内部エンドへの TLS 接続が作成されます。そのパイプの終わりから内部サービスに向かって出てくるのは、平文の HTTP です。内部サービスは、HTTPS を予期しているため、これを正しく拒否します。
Secure Gateway を TLS なしで構成することにより、有効な接続を確立できます。その後、クライアント ブラウザーから内部サーバーまでずっと TLS 接続を取得します。 「信頼できる内部ネットワーク」は神話であることは誰もが知っていますが、実際には、これはインターネットに接続するように設定されたことはありません. Bluemix パイプの外側の端にいる既知のクライアント以外をブロックしたいと考えています。
私が必要としているのは、docker イメージで実行されているパイプの内部エンドが、内部サーバーとの 2 番目の TLS セッションを開始する方法だと思います。明らかに必要な機能のようですが、ドキュメントでそれへの参照が見つかりません。それとも、私が見逃した他の方法がありますか?
ibm-cloud - Bluemix Secure Gateway サービス、/v1/sgconfig GET 呼び出しの実行方法
Secure Gateway の REST API には、 にある GET 操作があり/v1/sgconfigます。単一の必須パラメータがあります: Authorization.
このパラメータの値は何であるべきで、その値はどこにありますか?
VCAP_SERVICESSecure Gatewayの環境変数には、 と のみが含まorg_idれますspace_id。
Bluemix Secure Gateway 構成 APIの資料はかなり少ないです!
security - Secure Gateway - TLS バージョン
Secure Gateway によって実装されている TLS のバージョンに関する詳細が見つかりません。ドキュメントには TLS の実装方法が非常に詳細に記載されていますが、使用されているバージョンが見つかりません。 https://www.ng.bluemix.net/docs/services/SecureGateway/index-gentopic3.html#sg_007
この情報はどこで入手できますか?
ibm-cloud - Secure Gateway クライアントの acl に設定する必要がある Bluemix アプリのホスト名:ポート
Bluemix アプリのみが Secure Gateway クライアントにアクセスできるようにしたいと考えています。次のコマンドのような「アクセス制御リスト」を使用しました。
acl allow sampleapp.mybluemix.net
- sampleapp.mybluemix.net は、Bluemix アプリの FQDN です。
しかし、trx を実行するとエラー HTTP503 が発生しました。Secure Gateway クライアントのログは、「接続 #X から宛先 XXXX:XXX への接続は、アクセス制御リストにより拒否されました」でした。
Secure Gateway Client の acl に設定する Bluemix アプリの hostname:port はどれですか?
Secure Gateway クライアントの対話型コマンド行インターフェース https://www.ng.bluemix.net/docs/services/SecureGateway/sg_022.html#sg_009
ssl - keytool を使用して秘密鍵をキー ストアにインポートする方法
Bluemix Secure Gateway の宛先を TLS Mutual Auth で接続する Liberty アプリケーションを作成したいと考えています。キーストアを作成し、keytool で証明書と秘密鍵をキーストアにインポートしようとしましたが、秘密鍵のキーエイリアスがわかりません。秘密鍵をキー ストアにインポートするコマンドを実行できません。(証明書と秘密鍵は、Bluemix Secure Gateway の宛先から TLS Mutual Auth(*) で提供されたものです)
*Bluemix セキュア ゲートウェイ
https://www.ng.bluemix.net/docs/services/SecureGateway/index.html
秘密鍵のキーエイリアスを知る方法を教えていただけませんか? または、キーストアを作成して秘密鍵と証明書をインポートするためのキーツール(Javaコードではない)による他の方法を教えてもらえますか?
[Bluemix Secure Gateway の宛先が提供するファイル]
destination_id _key.pem
destination_id _cert.pem
【手順】
1. キーストアを作成し、証明書をキーストアに一括
# keytool -import -file *destination_id*_cert.pem -keystore myKeyStore.jks -storepass password -alias mutual_cert
インポート 2. 秘密鍵をキーストアにインポート
# keytool -importseckey -keyalias XXXXX -keystore myKeyStore.jks -storepass password -storetype jks -importfile *destination_id*_cert.pem
ibm-cloud - リモート REST API が HTTPS の場合、HTTPS オプションは必要ですか?
Bluemix アプリケーション (Liberty) を作成して、SSL で提供されるリモート REST API にアクセスしたいと考えています。ゲートウェイの「TLS 相互認証オプション」を使用する必要があります。ただし、SSLでリモートREST APIが提供されている場合に「HTTPSオプション」を使用する必要があるかどうかを判断するために、HTTPSとTLSサーバー認証の2つのケースをテストしました。HTTPS ケースは成功し、TLS サーバー認証は失敗しました。
SecureGatewayClient で HTTP ヘッダーを書き換えるために、リモート REST API が HTTPS の場合、HTTPS オプションは必要ですか? これが collect の場合、TLS Mutual Auth でゲートウェイを保護することはできませんか?
1. HTTPS オプション: 成功
このケースは成功しました。
2. TLS サーバー認証オプション: 失敗
このケースは失敗に終わりました。ゲートウェイのオプションを「HTTPS」から「TLS Server Auth」に変更しただけなので、原因は設定ミスではありません。
[Bluemix Liberty アプリのログ]
2015-07-01T04:17:58.64+0900 [RTR] OUT sampleapp.mybluemix.net
[30/06/2015:19:17:49 +0000] "GET /XXX HTTP/1.1" 200
2015-07-01T04:17:58.66+0900 [App/0] OUT res:404 Not Found: 要求されたルート ( 「cloudhost:cloudport」 ) が存在しません。[SG クライアントのログ]
[2015-06-30 02:37:38.144] [情報]リモート REST API のホストへの接続 #32 が確立されています:443 [2015-06-30 02:37:38.227] [情報] 接続 # 32 がリモート REST API のホストに確立されました:443 [2015-06-30 02:37:52.535] [INFO] リモート REST API のホストへの接続 #32:443 が閉じられました
ibm-cloud - 送信先の作成後にクライアント TLS オプションの証明書をアップロードする方法
宛先の作成後に有効になっている Bluemix Secure Gateway 宛先のクライアント TLS オプションを変更したいと考えています。
宛先を編集し、証明書をアップロードしました。しかし、証明書はアップロードされていないようです。アップロード フィールドは何も変更しませんでした。クライアント TLS オプションをオンにすると、アップロード フィールドが消え、証明書をアップロードできません。
クライアント TLS オプションを有効にし、証明書をアップロードして新しい証明書を作成する唯一の方法はありますか?
[証明書をアップロードしますが、何も変わりません]
[オプションをチェックすると、アップロード フィールドが消えます]
ibm-cloud - IBM API Management Service - SSL プロファイルをプロキシー API にバインドする方法は?
ラップトップにいくつかの API があります。それらは、セキュア ゲートウェイ サービスを介してインターネット上で表示されます。
セキュア ゲートウェイの宛先は、TLS 相互認証オプションを使用して構成されます。そのため、API には TLS 相互認証が必要です。
それらの API を API Management に追加したいと考えています。
[プロキシ] タブで SSL プロファイルをバインドできませんでしたが、[実装] タブで SSL プロファイルを HTTP GET 操作にバインドできました。
これは、SSL プロファイルをバインドするためにアセンブリ操作を実装する必要があるということですか?