หน้านี้ได้รับการแปลโดย Cloud Translation API

การใช้ TLS ในพอร์ทัล

คุณกำลังดูเอกสารประกอบของ Apigee Edge
ไปที่เอกสารประกอบของ Apigee X ข้อมูล

การรองรับโมดูล Apigee สำหรับพอร์ทัลนักพัฒนาซอฟต์แวร์ที่ใช้ Drupal 7 จะสิ้นสุดลงในวันที่ 2 มกราคม 2023 แม้ว่าพอร์ทัลที่ใช้ Drupal 7 จะยังใช้งานได้ต่อไป แต่ Apigee จะไม่ออกแพตช์ด้านความปลอดภัยสำหรับโมดูล Drupal 7 หรือส่งการอัปเดต PHP หรือ Drupal 7 ให้แก่ลูกค้าหลังจากวันที่ 2 มกราคม 2023

เนื่องจากโมดูล Apigee Drupal 7 ที่ใช้ PHP 7.4 คุณจึงอาจได้รับผลกระทบจากการสิ้นสุดแพตช์ความปลอดภัยสำหรับ PHP 7.4 ที่กำลังจะเกิดขึ้นในช่วงปลายเดือนพฤศจิกายน 2022 ด้วย Drupal 7 จะถึงวันที่สิ้นสุดอายุการใช้งานในวันที่ 23 พฤศจิกายน 2023

เราขอแนะนําให้อัปเกรดเป็น Drupal 9 โปรดตรวจสอบกับทีมและประเมินตัวเลือกการอัปเกรดเพื่อหลีกเลี่ยงความเสี่ยงด้านความปลอดภัยที่อาจเกิดขึ้น ดูข้อมูลเพิ่มเติมเกี่ยวกับการเปลี่ยนไปใช้ Drupal 9 ได้ที่สร้างพอร์ทัลโดยใช้ Drupal 9

คุณกำหนดค่าพอร์ทัลเพื่อใช้ TLS ได้ ขั้นตอนการกำหนดค่า TLS สำหรับพอร์ทัลจะขึ้นอยู่กับวิธีที่คุณทำให้พอร์ทัลใช้งานได้ ดังนี้

ระบบคลาวด์: กำหนดค่า TLS จาก Pantheon หรือ Acquia ซึ่งเป็นบริการโฮสติ้งในระบบคลาวด์สำหรับพอร์ทัล
Apigee Edge สำหรับ Private Cloud: กำหนดค่า TLS ภายในองค์กรในเซิร์ฟเวอร์ที่โฮสต์พอร์ทัล

TLS และพอร์ทัล

รูปภาพต่อไปนี้แสดง 2 ตำแหน่งที่พอร์ทัลใช้ TLS

สำหรับการสื่อสารระหว่างพอร์ทัลกับ Edge Management API

พอร์ทัลจะไม่ทำงานเป็นระบบแบบสแตนด์อโลน แต่ข้อมูลส่วนใหญ่ที่พอร์ทัลใช้จะจัดเก็บไว้ใน Edge จริงๆ โดยที่ Edge จะนำไปใช้ได้ในระบบคลาวด์หรือภายในองค์กรเป็นการติดตั้ง Private Cloud ในกรณีที่จำเป็น พอร์ทัลจะส่งคำขอ HTTP หรือ HTTPS ไปยัง Edge Management API เพื่อดึงข้อมูลหรือส่งข้อมูล

เมื่อสร้างพอร์ทัล ขั้นตอนแรกที่คุณต้องทำคือการระบุ URL ของ Edge Management API URL นั้นสามารถใช้ TLS ได้ ทั้งนี้ขึ้นอยู่กับวิธีการกำหนดค่า Edge Management API โปรดดูข้อมูลเพิ่มเติมในเริ่มสร้างพอร์ทัลนักพัฒนาซอฟต์แวร์
สำหรับการสื่อสารระหว่างนักพัฒนาซอฟต์แวร์กับพอร์ทัล

เมื่อคุณใช้พอร์ทัลบริการสำหรับนักพัฒนาแอปเพื่อทำให้ API ใช้งานได้ นักพัฒนาซอฟต์แวร์จะเข้าสู่ระบบพอร์ทัลเพื่อลงทะเบียนแอปและรับคีย์ API ข้อมูลเข้าสู่ระบบและคีย์ API เป็นข้อมูลที่เป็นกรรมสิทธิ์ที่คุณต้องการส่งผ่าน HTTPS เพื่อรับรองความปลอดภัย ข้อมูลที่เป็นกรรมสิทธิ์ประเภทนี้ควรส่งผ่าน HTTPS

วิธีกำหนดค่า TLS สำหรับสถานการณ์นี้จะขึ้นอยู่กับวิธีทำให้พอร์ทัลใช้งานได้ เช่น ระบบคลาวด์หรือ Apigee Edge สำหรับ Private Cloud ส่วนต่อไปนี้จะอธิบายสถานการณ์ทั้งสอง

การกำหนดค่า TLS ระหว่างพอร์ทัลและ Edge Management API

การกำหนดค่าของ Edge Management API จะกำหนดว่าการสื่อสารจะใช้ TLS ได้หรือไม่ หากมีการกำหนดค่า Edge Management API ให้ใช้ TLS พอร์ทัลจะใช้ HTTPS ได้ ไม่เช่นนั้น พอร์ทัลจะสื่อสารกับ Edge ผ่าน HTTP ดังนั้น ในฐานะนักพัฒนาพอร์ทัล คุณแค่ต้องทราบเพียงว่า Edge ได้รับการกำหนดค่าอย่างไรเพื่อตั้งค่าการเชื่อมต่อระหว่างพอร์ทัลกับ Edge

โปรดดูขั้นตอนที่คุณใช้เพื่อกำหนดค่าการเชื่อมต่อกับ Edge Management API ที่หัวข้อเริ่มสร้างพอร์ทัลนักพัฒนาซอฟต์แวร์

Edge เวอร์ชันในระบบคลาวด์

หากพอร์ทัลเชื่อมต่อกับ Edge เวอร์ชันในระบบคลาวด์ Apigee จะกำหนดค่า URL ของ Edge Management API ไว้ล่วงหน้าเพื่อใช้ TLS เมื่อกำหนดค่าพอร์ทัล คุณจะเข้าถึง Edge Management API ได้โดยใช้ URL https://api.enterprise.apigee.com/v1

การติดตั้ง Private Cloud ของ Edge

สำหรับการติดตั้ง Edge Cloud ของ Private Cloud จะมี URL ของ Edge Management API ในรูปแบบ
http://EdgePrivateCloudIp:8080/v1?
หรือ
https://EdgePrivateCloudIp:TLSport/v1

โดยที่ EdgePrivateCloudIp คือที่อยู่ IP ของเซิร์ฟเวอร์ Edge Management Server และ TLSport เป็นพอร์ต TLS สำหรับ Edge Management API เช่น หมายเลขพอร์ตอาจเป็น 8443 หรือแม้แต่ 8080 โดยขึ้นอยู่กับการกำหนดค่า Edge

การกำหนดค่า TLS ระหว่างนักพัฒนาแอปกับพอร์ทัล

วิธีการกำหนดค่า TLS ระหว่างนักพัฒนาซอฟต์แวร์และพอร์ทัลจะขึ้นอยู่กับวิธีที่คุณทำให้พอร์ทัลใช้งานได้ เช่น ระบบคลาวด์หรือ Apigee Edge สำหรับ Private Cloud

พอร์ทัลในระบบคลาวด์

แพนธีอัน

Pantheon ให้บริการ HTTPS อัตโนมัติฟรีสําหรับเว็บไซต์ทั้งหมดบนแพลตฟอร์มผ่าน Pantheon Global CDN และใช้ Let's Encrypt โปรดดู HTTPS บน Global CDN ของ Pantheon ด้วย

อักเคีย

หากต้องการเปิดใช้ TLS/SSL โดยใช้ Acquia โปรดดูการเปิดใช้ SSL

Edge สำหรับพอร์ทัล Private Cloud

การติดตั้ง Private Cloud ทั้งหมดของ Apigee สำหรับพอร์ทัลนี้กำหนดให้พอร์ทัลต้องอยู่หลังตัวจัดสรรภาระงาน ดังที่แสดงด้านล่าง

ดังนั้นสำหรับการติดตั้งภายในองค์กร คุณมี 2 ตัวเลือกในการกำหนดค่า TLS ดังนี้

กำหนดค่า TLS ในตัวจัดสรรภาระงาน: กำหนดค่า TLS บนตัวจัดสรรภาระงาน ไม่ใช่ในพอร์ทัล ดังนั้นกระบวนการที่คุณใช้เพื่อกำหนดค่า TLS จะขึ้นอยู่กับตัวจัดสรรภาระงาน ดูเอกสารประกอบเกี่ยวกับตัวจัดสรรภาระงานสำหรับข้อมูลเพิ่มเติม
กำหนดค่า TLS บนพอร์ทัลเอง: หากจำเป็น คุณสามารถกำหนดค่า TLS บนเว็บเซิร์ฟเวอร์ที่โฮสต์พอร์ทัลนั้น โดยค่าเริ่มต้น Apigee จะติดตั้งเว็บเซิร์ฟเวอร์ Apache ดูข้อมูลเกี่ยวกับการกำหนดค่า TLS สำหรับ Apache ได้ที่การเปิดใช้ HTTP Secure (HTTPS)

คุณต้องได้รับใบรับรอง TLS ของตนเองก่อนจึงจะทำให้พอร์ทัลใช้งานได้กับสภาพแวดล้อมที่ใช้งานจริงได้

การกำหนดการตั้งค่า TLS เพิ่มเติม

คุณสามารถแก้ไขไฟล์ sites/default/settings.local.php (cloud) หรือ sites/default/settings.php (Private Cloud) เพื่อเปลี่ยนแปลงการกำหนดค่า TLS สำหรับพอร์ทัล

เมื่อแก้ไขไฟล์ ให้เพิ่มอินสแตนซ์ของฟังก์ชัน ini_set() เพื่อตั้งค่าพร็อพเพอร์ตี้ ดูข้อมูลเพิ่มเติมเกี่ยวกับฟังก์ชันนี้ได้ที่ ini_set

คุณสามารถตั้งค่าพร็อพเพอร์ตี้ต่อไปนี้ในไฟล์ sites/default/settings.local.php (cloud) หรือ sites/default/settings.php (Private Cloud)

cookie_httponly: (แนะนำ) ระบุว่าคุกกี้นั้นเข้าถึงได้ผ่านทางโปรโตคอล HTTP เท่านั้น ตั้งค่าพร็อพเพอร์ตี้นี้เป็น

ini_set('session.cookie_httponly', true);
session.cookie_secure - (ไม่บังคับ) ระบุว่าคุกกี้จะส่งผ่านการเชื่อมต่อที่ปลอดภัยเท่านั้น อย่างไรก็ตาม นี่หมายความว่าเนื้อหาทั้งหมดต้องแสดงผ่าน HTTPS หากเปิดใช้การตั้งค่านี้ เว็บไซต์จะไม่ทำงานผ่าน HTTP ตั้งค่าพร็อพเพอร์ตี้นี้เป็น

ini_set('session.cookie_secure', true);
gc_maslifetime และ cookie_lifetime: (ไม่บังคับ) gc_lifeteime จะระบุจำนวนวินาทีหลังจากที่สามารถล้างข้อมูลได้ และ cookie_lifetime จะระบุอายุการใช้งานของคุกกี้เป็นวินาที ตั้งค่าพร็อพเพอร์ตี้เหล่านี้เป็น

ini_set('session.gc_maxlifetime', 3600);
ini_set('session.cookie_lifetime', 3600);

โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับการตั้งค่า TLS ระหว่างพอร์ทัลนักพัฒนาซอฟต์แวร์และไคลเอ็นต์ได้ที่หัวข้อเปิดใช้ SSL สำหรับการสื่อสาร HTTPS ที่ปลอดภัยในเว็บไซต์เอกสาร Pantheon

การกำหนดค่า TLS ด้วยตัวจัดสรรภาระงาน

บางครั้งตัวจัดสรรภาระงานจะได้รับการกำหนดค่าให้สิ้นสุด TLS เพื่อประสิทธิภาพที่ดีขึ้น เมื่อมีการสิ้นสุดการใช้งาน TLS ตัวจัดสรรภาระงานจะถอดรหัสข้อความที่ส่งผ่าน https:// และส่งต่อข้อความไปยังเซิร์ฟเวอร์แบ็กเอนด์ผ่าน http:// ซึ่งเป็นการบันทึกค่าใช้จ่ายของเซิร์ฟเวอร์แบ็กเอนด์ในการถอดรหัสข้อความ https:// ด้วยตนเอง

หากตัวจัดสรรภาระงานส่งต่อข้อความ http ที่ไม่เข้ารหัสไปยังเซิร์ฟเวอร์ในศูนย์ข้อมูลเดียวกัน ความปลอดภัยก็ไม่เป็นปัญหา อย่างไรก็ตาม หากตัวจัดสรรภาระงานส่งต่อข้อความผ่าน http:// ไปยังเซิร์ฟเวอร์นอกศูนย์ข้อมูล เช่น พอร์ทัลนักพัฒนาซอฟต์แวร์ Apigee ข้อความนั้นจะไม่มีการเข้ารหัส ซึ่งจะเปิดช่องโหว่ด้านความปลอดภัย

หากพอร์ทัลนักพัฒนาซอฟต์แวร์อยู่หลังตัวจัดสรรภาระงานที่ใช้การสิ้นสุด TLS และคุณต้องการให้การรับส่งข้อมูลทั้งหมดแสดงผ่าน https:// หน้าเว็บไซต์จะต้องมีลิงก์ https:// เท่านั้น และคุณจะต้องเพิ่มโค้ดต่อไปนี้ลงในไฟล์ sites/default/settings.local.php (ระบบคลาวด์) หรือ sites/default/settings.php (Private Cloud) ในพอร์ทัลนักพัฒนาซอฟต์แวร์ เนื่องจากตัวจัดสรรภาระงานไม่ได้เปลี่ยนรูปแบบเนื้อหาของหน้า HTML โดยอัตโนมัติ โค้ดจึงช่วยให้ลิงก์ทั้งหมดที่ส่งไปยังไคลเอ็นต์ขึ้นต้นด้วย https://

หากต้องการกำหนดค่า TLS ด้วยตัวจัดสรรภาระงาน ให้เพิ่มบรรทัดต่อไปนี้ลงในไฟล์ sites/default/settings.local.php (cloud) หรือ sites/default/settings.php (Private Cloud)

// Only check for SSL if we are not using PHP from the command line.
if (PHP_SAPI != 'cli') {
  // Assume we can't detect SSL unless proven otherwise.
  $can_detect_ssl = FALSE;

  // Set HTTPS URL of portal
  $base_url = 'https://developers.myCo.com';

  if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) || (isset($_SERVER['HTTPS']) && $_SERVER['HTTPS'] == 'on')) {
    $can_detect_ssl = TRUE;
  }

  if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strtolower($_SERVER['HTTP_X_FORWARDED_PROTO']) == 'https') {
    $_SERVER['HTTPS'] = 'on';
  }

  if ($can_detect_ssl && $_SERVER['HTTPS'] != 'on') {
    header('HTTP/1.0 301 Moved Permanently');
    // You could optionally substitute a canonical server name for $_SERVER['HTTP_HOST'] here.
    header('Location: https://' . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI']);
    exit;
  }
}

ดูข้อมูลเพิ่มเติมได้ที่

กำลังเปลี่ยนเส้นทางการรับส่งข้อมูลของพอร์ทัลไปยัง HTTPS

คุณเปลี่ยนเส้นทางการรับส่งข้อมูลของพอร์ทัลทั้งหมดไปยัง HTTPS ได้โดยอัปเดตไฟล์ sites/default/settings.local.php (ระบบคลาวด์) หรือ sites/default/settings.php (Private Cloud) การอัปเดตที่จำเป็นจะแตกต่างกันไป โดยขึ้นอยู่กับว่าคุณกำลังเปลี่ยนเส้นทางไปยัง HTTPS โดยใช้ชื่อโฮสต์เดียวกันหรือหลายชื่อโฮสต์

เปลี่ยนเส้นทางไปยัง HTTPS ในชื่อโฮสต์เดียวกัน

เพิ่มโค้ดต่อไปนี้ลงในไฟล์ sites/default/settings.local.php (ระบบคลาวด์) หรือ sites/default/settings.php (Private Cloud) เพื่อเปลี่ยนเส้นทางการเข้าชมพอร์ทัลทั้งหมดไปยัง HTTPS ด้วยชื่อโฮสต์เดียวกัน (เช่น *.devportal.apigee.io)

ในสถานการณ์นี้ หากนักพัฒนาซอฟต์แวร์ไปที่พอร์ทัลของคุณที่ live-example.devportal.apigee.io แต่ต้องการเข้าถึงใบรับรองที่อัปโหลดสำหรับ devportal.example.com คําขอจะไม่สําเร็จ

// Only check for SSL if we are not using PHP from the command line.
if (PHP_SAPI != 'cli') {
  // Assume we can't detect SSL unless proven otherwise.
  $can_detect_ssl = FALSE;

  if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) || (isset($_SERVER['HTTPS']) && $_SERVER['HTTPS'] == 'on')) {
    $can_detect_ssl = TRUE;
  }

  if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strtolower($_SERVER['HTTP_X_FORWARDED_PROTO']) == 'https') {
    $_SERVER['HTTPS'] = 'on';
  }

  if ($can_detect_ssl && $_SERVER['HTTPS'] != 'on') {
    header('HTTP/1.0 301 Moved Permanently');
    header('Location: https://' . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI']);
    exit;
  }
}

การเปลี่ยนเส้นทางไปยัง HTTPS ในหลายชื่อโฮสต์

เพิ่มโค้ดต่อไปนี้ลงในไฟล์ sites/default/settings.local.php (ระบบคลาวด์) หรือไฟล์ sites/default/settings.php (Private Cloud) เพื่อเปลี่ยนเส้นทางการเข้าชมพอร์ทัลทั้งหมดไปยัง HTTPS ในชื่อโฮสต์หลายรายการ

  // Only check for SSL if we are not using PHP from the command line.
if (PHP_SAPI != 'cli') {
  // Assume we can't detect SSL unless proven otherwise.
  $can_detect_ssl = FALSE;
  // Assume we are not forcing a redirect until proven otherwise.
  $force_redirect = FALSE;

  if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) || (isset($_SERVER['HTTPS']) && $_SERVER['HTTPS'] == 'on')) {
    $can_detect_ssl = TRUE;
  }

  if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strtolower($_SERVER['HTTP_X_FORWARDED_PROTO']) == 'https') {
    $_SERVER['HTTPS'] = 'on';
  }

  if ($can_detect_ssl && $_SERVER['HTTPS'] != 'on') {
    // We will force a redirect because HTTPS is required.
    $force_redirect = TRUE;
  }

  // This works on Pantheon only; the constant is undefined elsewhere.
  switch (PANTHEON_ENVIRONMENT) {
    case 'dev':
      $canonical_hostname = 'dev.devportal.example.com';
      break;
    case 'test':
      $canonical_hostname = 'test.devportal.example.com';
      break;
    case 'live':
      $canonical_hostname = 'devportal.example.com';
      break;
    default:
      $canonical_hostname = strtolower($_SERVER['HTTP_HOST']);
      break;
  }
  if ($canonical_hostname != strtolower($_SERVER['HTTP_HOST'])) {
    // We will force a redirect because hostname is not canonical.
    $force_redirect = TRUE;
  }

  if ($force_redirect) {
    header('HTTP/1.0 301 Moved Permanently');
    header('Location: https://' . $canonical_hostname . $_SERVER['REQUEST_URI']);
    exit;
  }
}