问题标签 [secure-gateway]

我对 Bluemix Secure Gateway 的基础知识很满意，但我看不出有什么好的方法来设置肯定是常见的场景。

我的要求是：

• 现有的内部服务是通过 TLS 提供的，并且必须保持这种状态。它不检查客户端证书，它只是一个传统的 https:// ReST API。
• Secure Gateway 管道的外部端必须检查客户端证书，以仅允许某些已知客户端连接。

第二点是通过在 Secure Gateway UI 中设置目标时选择 TLS Mutual Auth 选项来实现的。但是，这会创建从客户端应用程序（此时实际上只是一个浏览器）到 Secure Gateway 管道内部端的 TLS 连接。从该管道的末端向内部服务输出的是明文的 HTTP。内部服务正确地拒绝了这一点，因为它期待 HTTPS。

我可以通过配置不带 TLS 的安全网关来建立有效连接，然后我从客户端浏览器一直到内部服务器获得 TLS 连接，但这里的问题是 Bluemix 管道对任何人都开放Internet 向内部服务器扔东西，虽然我们都知道“受信任的内部网络”应该是一个神话，但事实是这个东西从未设置为面向 Internet。我想在 Bluemix 管道的外端阻止除我的已知客户之外的任何人。

我认为我需要的是一种在 docker 映像中运行的管道内部端与内部服务器启动第二个 TLS 会话的方法。似乎是一个明显必要的功能，但我在文档中找不到任何参考。还是我错过了其他方式？

Secure Gateway 的 REST API 具有位于 的 GET 操作/v1/sgconfig。它有一个单一的强制性参数：Authorization.

该参数的值应该是什么，该值位于何处？

Secure Gateway的VCAP_SERVICES环境变量仅包含org_id和space_id。

Bluemix安全网关配置 API文档非常少！

我找不到有关 Secure Gateway 实施的 TLS 版本的详细信息。该文档非常详细地介绍了如何实现 TLS，但我找不到使用的版本。 https://www.ng.bluemix.net/docs/services/SecureGateway/index-gentopic3.html#sg_007

这些信息在哪里可用？

我已设置 IBM bluemix 安全网关服务来调用托管在公司 Intranet 上的 REST 服务。安全网关服务在公司 Intranet 上运行。但是当我尝试在互联网上使用它时，它会计时很长时间，然后一直拒绝连接。

这难道不是安全网关服务的全部目的，能够从互联网访问公司防火墙后面的本地服务吗？我只是使用 HTTP 来访问安全网关和 Intranet REST 服务。这是我做错了吗？我应该设置并使用 HTTPS 或 TLS 从 Internet 访问吗？

我只想让我的 Bluemix 应用程序访问我的 Secure Gateway 客户端。我使用了“访问控制列表”，例如以下命令。

acl 允许 sampleapp.mybluemix.net

• sampleapp.mybluemix.net 是我的 Bluemix 应用程序的 FQDN

但是当我执行 trx 时出现错误 HTTP503。安全网关客户端的日志是“连接 #X 到目标 XXXX:XXX 由于访问控制列表而被拒绝”

应该在 Secure Gateway Client 的 acl 中设置 Bluemix 应用程序的哪个主机名：端口？

Secure Gateway 客户端交互式命令行界面 https://www.ng.bluemix.net/docs/services/SecureGateway/sg_022.html#sg_009

我想让我的 Liberty 应用程序将 Bluemix Secure Gateway 的目的地与 TLS Mutual Auth 连接起来。我尝试创建一个密钥库并通过 keytool 将证书和密钥导入密钥库，但我不知道密钥的密钥别名。我无法执行将密钥导入密钥库的命令。（证书和密钥由 Bluemix Secure Gateway 的目的地通过 TLS Mutual Auth(*) 提供）

*Bluemix 安全网关
https://www.ng.bluemix.net/docs/services/SecureGateway/index.html

你能教我如何知道密钥的密钥别名吗？或者你能通过keytool（不是java代码）教我任何其他方式来创建密钥库并导入密钥和证书，但是下面的过程？

[Bluemix Secure Gateway 的目的地提供的文件]
destination_id _key.pem
destination_id _cert.pem

[过程]
1. 创建一个密钥库，并立即将证书导入密钥库
# keytool -import -file *destination_id*_cert.pem -keystore myKeyStore.jks -storepass password -alias mutual_cert

2. 将密钥 n 导入密钥库
# keytool -importseckey -keyalias XXXXX -keystore myKeyStore.jks -storepass password -storetype jks -importfile *destination_id*_cert.pem

我想让我的 Bluemix 应用程序 (Liberty) 访问 SSL 中提供的远程 REST API。我需要使用网关的“TLS Mutual Auth option”。但是现在为了弄清楚在 SSL 中提供远程 REST API 时是否必须使用“HTTPS 选项”，我测试了两种情况，HTTPS 和 TLS Server Auth。HTTPS 案例导致成功，TLS Server Auth 导致失败。

当远程 REST API 为 HTTPS 时，是否需要 HTTPS 选项才能在 SecureGatewayClient 重写 HTTP 标头？如果这是 collect ，我们不能用 TLS Mutual Auth 保护网关吗？

1. HTTPS选项：成功
本案例成功。

2. TLS Server Auth option: failure
这种情况导致失败。我只是将网关的选项从“HTTPS”更改为“TLS Server Auth”，所以原因不是配置错误。

[Bluemix Liberty 应用程序的日志]
2015-07-01T04:17:58.64+0900 [RTR] OUT sampleapp.mybluemix.net
[30/06/2015:19:17:49 +0000] "GET /XXX HTTP/1.1" 200
2015-07-01T04:17:58.66+0900 [App/0] OUT res:404 Not Found: 请求的路由 ( 'cloudhost:cloudport' ) 不存在。

[SG Client's log]
[2015-06-30 02:37:38.144] [INFO] Connection #32 正在建立到远程 REST API 的主机：443 [2015-06-30 02:37:38.227] [INFO] Connection # 32 建立到远程 REST API 的主机：443 [2015-06-30 02:37:52.535] [INFO] 到远程 REST API 的主机的连接 #32：443 已关闭

我想更改在创建目标后启用的 Bluemix Secure Gateway 目标的客户端 TLS 选项。

我编辑了目的地并上传了证书。但是证书似乎没有上传。上传字段没有改变任何东西。如果我检查客户端 TLS 选项，上传字段会消失，我无法上传证书。

是启用客户端 TLS 选项并上传证书创建新证书的唯一方法吗？

[上传证书，但没有任何改变]
[勾选选项，上传字段消失]

我的笔记本电脑上有一些 API。它们通过安全网关服务在互联网上可见。

安全网关目标配置了 TLS 相互身份验证选项。所以 API 需要 TLS 相互认证。

我想将这些 API 添加到 API 管理。

我无法在代理选项卡上绑定 SSL 配置文件，但我可以将 SSL 配置文件绑定到实施选项卡上的 HTTP GET 操作。

这是否意味着我必须实施组装操作来绑定 SSL 配置文件？

I set up Secure Gateway's destination host as hostname which is ssldemo, not an IP address. I started SG Client with '--net="host"' option in order to resolve the hostname. Of course, the host operating system can resolve the hostname. Please see the logs of ping the hostname. But, SG Client couldn't resolve the hostname and got "ENOTFOUND" error when the trx was executed. I tried to add '--net="host" --add-host "ssldemo:192.168.56.1"' options, but I got the same error.

Could you please teach me how to resolve "ENOTFOUND" error?