您正在查看的是 Apigee Edge 文档。
转到 Apigee X 文档。 信息
您可以将门户配置为使用 TLS。门户的 TLS 配置过程取决于您部署门户的方式:
- 云:从 Pantheon 或 Acquia(门户的云端托管服务)配置 TLS。
- 适用于私有云的 Apigee Edge:在托管门户的服务器上在本地配置 TLS。
TLS 和门户
下图显示了该门户使用 TLS 的两个位置:
- 用于门户与 Edge Management API 之间的通信。
此门户并非独立系统运行。相反,门户使用的大部分信息实际上存储在 Edge 上,Edge 可以作为 Private Cloud 安装部署在云端或本地。必要时,门户会向 Edge Management API 发出 HTTP 或 HTTPS 请求以检索信息或发送信息。
创建门户时,必须执行的首要步骤之一是指定 Edge Management API 的网址。该网址可以使用 TLS,具体取决于 Edge Management API 的配置方式。如需了解详情,请参阅创建开发者门户。 - 开发者与门户之间的通信。
当您使用开发者服务门户部署 API 时,您的开发者会登录该门户注册应用并接收 API 密钥。登录凭据和 API 密钥是您希望通过 HTTPS 发送以确保安全性的专有信息。此类专有信息应通过 HTTPS 发送。
为此场景配置 TLS 的方式取决于您部署门户的方式:云端或适用于私有云的 Apigee Edge。以下部分介绍了这两种场景。
在门户和 Edge Management API 之间配置 TLS
Edge Management API 的配置决定了通信是否可以使用 TLS。如果 Edge Management API 配置为使用 TLS,则门户可以使用 HTTPS。 否则,门户会通过 HTTP 与 Edge 通信。因此,作为门户开发者,您只需了解 Edge 如何配置为设置门户与 Edge 之间的连接。
如需了解配置与 Edge Management API 的连接的过程,请参阅创建开发者门户。
云端版 Edge
如果您的门户连接到云端版本的 Edge,则 Apigee 会将 Edge Management API 的网址预先配置为使用 TLS。配置门户时,您可以通过网址 https://api.enterprise.apigee.com/v1 访问 Edge Management API。
Edge 的 Private Cloud 安装
对于 Edge 的 Private Cloud 安装,Edge Management API 的网址采用以下格式:
http://EdgePrivateCloudIp:8080/v1
或:
https://EdgePrivateCloudIp:TLSport/v1
其中 EdgePrivateCloudIp 是边缘管理服务器服务器的 IP 地址,TLSport 是 Edge Management API 的 TLS 端口。例如,根据 Edge 配置,端口号可以是 8443,甚至是 8080。
配置开发者和门户之间的 TLS
在开发者和门户之间配置 TLS 的方式取决于您部署门户的方式:云端或适用于私有云的 Apigee Edge。
云端门户
万神殿
Pantheon 通过 Pantheon Global CDN 和 Let's Encrypt 为其平台上的所有网站提供免费的自动 HTTPS 服务。另请参阅 Pantheon 全球 CDN 上的 HTTPS。
Acquia
如需使用 Acquia 启用 TLS/SSL,请参阅启用 SSL。适用于私有云门户的 Edge
Apigee 建议的所有 Private Cloud 安装都要求门户在负载平衡器后面安装,如下所示:
因此,对于本地安装,您可以通过以下两种方式配置 TLS:
- 在负载平衡器上配置 TLS:在负载平衡器本身(而不是在门户上)配置 TLS。因此,用于配置 TLS 的过程取决于负载平衡器。如需了解详情,请参阅有关负载平衡器的文档。
- 在门户本身上配置 TLS:如有必要,您可以在托管门户的网络服务器上配置 TLS。如需了解详情,请参阅将门户配置为使用 HTTPS。
您必须先获取自己的 TLS 证书,然后才能将该门户部署到生产环境。
配置其他 TLS 设置
您可以修改 sites/default/settings.local.php(云端)或 sites/default/settings.php(私有云)文件,以更改门户的 TLS 配置。
修改文件时,添加 ini_set() 函数的实例以设置属性。如需详细了解此函数,请参阅:http://php.net/manual/en/function.ini-set.php。
您可以在 sites/default/settings.local.php(云端)或 sites/default/settings.php (Private Cloud) 文件中设置以下属性:
- cookie_httponly:(推荐)将该 Cookie 指定为只能通过 HTTP 协议访问。请将此属性设为:
ini_set('session.cookie_httponly', true); - session.cookie_secure -(可选)指定只能通过安全连接发送 Cookie。不过,这意味着所有内容都必须通过 HTTPS 提供。如果启用此设置,网站将无法通过 HTTP 运行。将此属性设为:
ini_set('session.cookie_secure', true); - gc_maxlifetime 和 cookie_lifetime:(可选)gc_lifeteime 指定可以在多少秒后清理数据,cookie_lifetime 指定 Cookie 的生命周期(以秒为单位)。将这些属性设置为:
ini_set('session.gc_maxlifetime', 3600);
ini_set('session.cookie_lifetime', 3600);
如需详细了解如何在开发者门户和客户端之间设置 TLS,请参阅 Pantheon 文档网站上的 为安全 HTTPS 通信启用 SSL。
使用负载平衡器配置 TLS
为了提高性能,系统有时会将负载平衡器配置为执行 TLS 终止。使用 TLS 终止时,负载平衡器会对通过 https:// 发送的消息进行解密,并通过 http:// 将消息转发到后端服务器。这样可以节省后端服务器解密 https:// 消息本身的开销。
如果负载平衡器将未加密的 HTTP 消息转发到同一数据中心内的服务器,则不存在安全问题。但是,如果负载平衡器通过 http:// 将消息转发到数据中心外的服务器(例如 Apigee 开发者门户),则消息不会被加密,从而产生一个安全漏洞。
如果您的开发者门户位于使用 TLS 终止的负载平衡器后面,并且您希望所有流量都通过 https:// 传送,则网页需要仅包含 https:// 链接,并且您需要将以下代码添加到开发者门户 sites/default/settings.local.php(云)或 sites/default/settings.php(私有云)文件中。由于负载平衡器不会自动转换 HTML 页面的内容,因此代码会确保传递给客户端的所有链接都以 https:// 开头。
如需使用负载平衡器配置 TLS,请将以下行添加到 sites/default/settings.local.php(云端)或 sites/default/settings.php(私有云)文件:
// Only check for SSL if we are not using PHP from the command line. if (PHP_SAPI != 'cli') { // Assume we can't detect SSL unless proven otherwise. $can_detect_ssl = FALSE; // Set HTTPS URL of portal $base_url = 'https://developers.myCo.com'; if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) || (isset($_SERVER['HTTPS']) && $_SERVER['HTTPS'] == 'on')) { $can_detect_ssl = TRUE; } if (isset($_SERVER['HTTP_X_ FORWARDED_PROTO']) && strtolower($_SERVER['HTTP_X_ FORWARDED_PROTO']) == 'https') { $_SERVER['HTTPS'] = 'on'; } if ($can_detect_ssl && $_SERVER['HTTPS'] != 'on') { header('HTTP/1.0 301 Moved Permanently'); // You could optionally substitute a canonical server name for $_SERVER['HTTP_HOST'] here. header('Location: https://' . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI']); exit; } }
如需了解详情,请参阅以下主题:
- https://drupal.org/node/425990
- https://drupal.org/node/313145
- http://drupal.stackexchange.com/questions/102091/drupal-behind-a-ssl-offloading-reverse-proxy-is-this-config-correct
将门户流量重定向到 HTTPS
您可以通过更新您的 sites/default/settings.local.php(云端)或 sites/default/settings.php(私有云)文件,将所有门户流量重定向到 HTTPS。所需的更新取决于您是使用同一主机名重定向到 HTTPS 还是多个主机名。
在同一主机名上重定向到 HTTPS
将以下代码添加到您的 sites/default/settings.local.php (cloud) 或 sites/default/settings.php (Private Cloud) 文件中,以重定向到同一主机名(例如 *.devportal.apigee.io)上指向 HTTPS 的所有门户流量。
在这种情况下,如果开发者通过 live-example.devportal.apigee.io 访问您的门户,但需要访问为 devportal.example.com 上传的证书,请求将失败。
// Only check for SSL if we are not using PHP from the command line. if (PHP_SAPI != 'cli') { // Assume we can't detect SSL unless proven otherwise. $can_detect_ssl = FALSE; if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) || (isset($_SERVER['HTTPS']) && $_SERVER['HTTPS'] == 'on')) { $can_detect_ssl = TRUE; } if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strtolower($_SERVER['HTTP_X_FORWARDED_PROTO']) == 'https') { $_SERVER['HTTPS'] = 'on'; } if ($can_detect_ssl && $_SERVER['HTTPS'] != 'on') { header('HTTP/1.0 301 Moved Permanently'); header('Location: https://' . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI']); exit; } }
在多个主机名上重定向到 HTTPS
将以下代码添加到您的 sites/default/settings.local.php 文件(云端)或 sites/default/settings.php 文件 (Private Cloud),以重定向到多个主机名上指向 HTTPS 的所有门户流量。
// Only check for SSL if we are not using PHP from the command line. if (PHP_SAPI != 'cli') { // Assume we can't detect SSL unless proven otherwise. $can_detect_ssl = FALSE; // Assume we are not forcing a redirect until proven otherwise. $force_redirect = FALSE; if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) || (isset($_SERVER['HTTPS']) && $_SERVER['HTTPS'] == 'on')) { $can_detect_ssl = TRUE; } if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strtolower($_SERVER['HTTP_X_FORWARDED_PROTO']) == 'https') { $_SERVER['HTTPS'] = 'on'; } if ($can_detect_ssl && $_SERVER['HTTPS'] != 'on') { // We will force a redirect because HTTPS is required. $force_redirect = TRUE; } // This works on Pantheon only; the constant is undefined elsewhere. switch (PANTHEON_ENVIRONMENT) { case 'dev': $canonical_hostname = 'dev.devportal.example.com'; break; case 'test': $canonical_hostname = 'test.devportal.example.com'; break; case 'live': $canonical_hostname = 'devportal.example.com'; break; default: $canonical_hostname = strtolower($_SERVER['HTTP_HOST']); break; } if ($canonical_hostname != strtolower($_SERVER['HTTP_HOST'])) { // We will force a redirect because hostname is not canonical. $force_redirect = TRUE; } if ($force_redirect) { header('HTTP/1.0 301 Moved Permanently'); header('Location: https://' . $canonical_hostname . $_SERVER['REQUEST_URI']); exit; } }