在门户上使用 TLS

您正在查看的是 Apigee Edge 文档。
转到 Apigee X 文档
信息

您可以将门户配置为使用 TLS。门户的 TLS 配置过程取决于您部署门户的方式:

  • :从 Pantheon 或 Acquia(门户的云端托管服务)配置 TLS。
  • 适用于私有云的 Apigee Edge:在托管门户的服务器上在本地配置 TLS。

TLS 和门户

下图显示了该门户使用 TLS 的两个位置:

  1. 用于门户与 Edge Management API 之间的通信。

    此门户并非独立系统运行。相反,门户使用的大部分信息实际上存储在 Edge 上,Edge 可以作为 Private Cloud 安装部署在云端或本地。必要时,门户会向 Edge Management API 发出 HTTP 或 HTTPS 请求以检索信息或发送信息。

    创建门户时,必须执行的首要步骤之一是指定 Edge Management API 的网址。该网址可以使用 TLS,具体取决于 Edge Management API 的配置方式。如需了解详情,请参阅创建开发者门户
  2. 开发者与门户之间的通信。

    当您使用开发者服务门户部署 API 时,您的开发者会登录该门户注册应用并接收 API 密钥。登录凭据和 API 密钥是您希望通过 HTTPS 发送以确保安全性的专有信息。此类专有信息应通过 HTTPS 发送。

    为此场景配置 TLS 的方式取决于您部署门户的方式:云端或适用于私有云的 Apigee Edge。以下部分介绍了这两种场景。

在门户和 Edge Management API 之间配置 TLS

Edge Management API 的配置决定了通信是否可以使用 TLS。如果 Edge Management API 配置为使用 TLS,则门户可以使用 HTTPS。 否则,门户会通过 HTTP 与 Edge 通信。因此,作为门户开发者,您只需了解 Edge 如何配置为设置门户与 Edge 之间的连接。

如需了解配置与 Edge Management API 的连接的过程,请参阅创建开发者门户

云端版 Edge

如果您的门户连接到云端版本的 Edge,则 Apigee 会将 Edge Management API 的网址预先配置为使用 TLS。配置门户时,您可以通过网址 https://api.enterprise.apigee.com/v1 访问 Edge Management API。

Edge 的 Private Cloud 安装

对于 Edge 的 Private Cloud 安装,Edge Management API 的网址采用以下格式:
http://EdgePrivateCloudIp:8080/v1
或:
https://EdgePrivateCloudIp:TLSport/v1

其中 EdgePrivateCloudIp 是边缘管理服务器服务器的 IP 地址,TLSport 是 Edge Management API 的 TLS 端口。例如,根据 Edge 配置,端口号可以是 8443,甚至是 8080。

配置开发者和门户之间的 TLS

在开发者和门户之间配置 TLS 的方式取决于您部署门户的方式:云端或适用于私有云的 Apigee Edge。

云端门户

万神殿

Pantheon 通过 Pantheon Global CDNLet's Encrypt 为其平台上的所有网站提供免费的自动 HTTPS 服务。另请参阅 Pantheon 全球 CDN 上的 HTTPS

Acquia

如需使用 Acquia 启用 TLS/SSL,请参阅启用 SSL

适用于私有云门户的 Edge

Apigee 建议的所有 Private Cloud 安装都要求门户在负载平衡器后面安装,如下所示:

因此,对于本地安装,您可以通过以下两种方式配置 TLS:

  • 在负载平衡器上配置 TLS:在负载平衡器本身(而不是在门户上)配置 TLS。因此,用于配置 TLS 的过程取决于负载平衡器。如需了解详情,请参阅有关负载平衡器的文档。
  • 在门户本身上配置 TLS:如有必要,您可以在托管门户的网络服务器上配置 TLS。如需了解详情,请参阅将门户配置为使用 HTTPS

您必须先获取自己的 TLS 证书,然后才能将该门户部署到生产环境。

配置其他 TLS 设置

您可以修改 sites/default/settings.local.php(云端)或 sites/default/settings.php(私有云)文件,以更改门户的 TLS 配置。

修改文件时,添加 ini_set() 函数的实例以设置属性。如需详细了解此函数,请参阅:http://php.net/manual/en/function.ini-set.php

您可以在 sites/default/settings.local.php(云端)或 sites/default/settings.php (Private Cloud) 文件中设置以下属性:

  • cookie_httponly:(推荐)将该 Cookie 指定为只能通过 HTTP 协议访问。请将此属性设为:

    ini_set('session.cookie_httponly', true);
  • session.cookie_secure -(可选)指定只能通过安全连接发送 Cookie。不过,这意味着所有内容都必须通过 HTTPS 提供。如果启用此设置,网站将无法通过 HTTP 运行。将此属性设为:

    ini_set('session.cookie_secure', true);
  • gc_maxlifetimecookie_lifetime:(可选)gc_lifeteime 指定可以在多少秒后清理数据,cookie_lifetime 指定 Cookie 的生命周期(以秒为单位)。将这些属性设置为:

    ini_set('session.gc_maxlifetime', 3600);
    ini_set('session.cookie_lifetime', 3600);

如需详细了解如何在开发者门户和客户端之间设置 TLS,请参阅 Pantheon 文档网站上的 为安全 HTTPS 通信启用 SSL

使用负载平衡器配置 TLS

为了提高性能,系统有时会将负载平衡器配置为执行 TLS 终止。使用 TLS 终止时,负载平衡器会对通过 https:// 发送的消息进行解密,并通过 http:// 将消息转发到后端服务器。这样可以节省后端服务器解密 https:// 消息本身的开销。

如果负载平衡器将未加密的 HTTP 消息转发到同一数据中心内的服务器,则不存在安全问题。但是,如果负载平衡器通过 http:// 将消息转发到数据中心外的服务器(例如 Apigee 开发者门户),则消息不会被加密,从而产生一个安全漏洞。

如果您的开发者门户位于使用 TLS 终止的负载平衡器后面,并且您希望所有流量都通过 https:// 传送,则网页需要仅包含 https:// 链接,并且您需要将以下代码添加到开发者门户 sites/default/settings.local.php(云)或 sites/default/settings.php(私有云)文件中。由于负载平衡器不会自动转换 HTML 页面的内容,因此代码会确保传递给客户端的所有链接都以 https:// 开头。

如需使用负载平衡器配置 TLS,请将以下行添加到 sites/default/settings.local.php(云端)或 sites/default/settings.php(私有云)文件:

// Only check for SSL if we are not using PHP from the command line.
if (PHP_SAPI != 'cli') {
  // Assume we can't detect SSL unless proven otherwise.
  $can_detect_ssl = FALSE;

  // Set HTTPS URL of portal 
  $base_url = 'https://developers.myCo.com';

  if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) || (isset($_SERVER['HTTPS']) && $_SERVER['HTTPS'] == 'on')) {
    $can_detect_ssl = TRUE;
  }

  if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strtolower($_SERVER['HTTP_X_FORWARDED_PROTO']) == 'https') {
    $_SERVER['HTTPS'] = 'on';
  }

  if ($can_detect_ssl && $_SERVER['HTTPS'] != 'on') {
    header('HTTP/1.0 301 Moved Permanently');
    // You could optionally substitute a canonical server name for $_SERVER['HTTP_HOST'] here.
    header('Location: https://' . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI']);
    exit;
  }
}

如需了解详情,请参阅以下主题:

将门户流量重定向到 HTTPS

您可以通过更新您的 sites/default/settings.local.php(云端)或 sites/default/settings.php(私有云)文件,将所有门户流量重定向到 HTTPS。所需的更新取决于您是使用同一主机名重定向到 HTTPS 还是多个主机名。

在同一主机名上重定向到 HTTPS

将以下代码添加到您的 sites/default/settings.local.php (cloud) 或 sites/default/settings.php (Private Cloud) 文件中,以重定向到同一主机名(例如 *.devportal.apigee.io)上指向 HTTPS 的所有门户流量。

在这种情况下,如果开发者通过 live-example.devportal.apigee.io 访问您的门户,但需要访问为 devportal.example.com 上传的证书,请求将失败。

// Only check for SSL if we are not using PHP from the command line.
if (PHP_SAPI != 'cli') {
  // Assume we can't detect SSL unless proven otherwise.
  $can_detect_ssl = FALSE;

  if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) || (isset($_SERVER['HTTPS']) && $_SERVER['HTTPS'] == 'on')) {
    $can_detect_ssl = TRUE;
  }

  if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strtolower($_SERVER['HTTP_X_FORWARDED_PROTO']) == 'https') {
    $_SERVER['HTTPS'] = 'on';
  }

  if ($can_detect_ssl && $_SERVER['HTTPS'] != 'on') {
    header('HTTP/1.0 301 Moved Permanently');
    header('Location: https://' . $_SERVER['HTTP_HOST'] . $_SERVER['REQUEST_URI']);
    exit;
  }
}

在多个主机名上重定向到 HTTPS

将以下代码添加到您的 sites/default/settings.local.php 文件(云端)或 sites/default/settings.php 文件 (Private Cloud),以重定向到多个主机名上指向 HTTPS 的所有门户流量。

  // Only check for SSL if we are not using PHP from the command line.
if (PHP_SAPI != 'cli') {
  // Assume we can't detect SSL unless proven otherwise.
  $can_detect_ssl = FALSE;
  // Assume we are not forcing a redirect until proven otherwise.
  $force_redirect = FALSE;

  if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) || (isset($_SERVER['HTTPS']) && $_SERVER['HTTPS'] == 'on')) {
    $can_detect_ssl = TRUE;
  }

  if (isset($_SERVER['HTTP_X_FORWARDED_PROTO']) && strtolower($_SERVER['HTTP_X_FORWARDED_PROTO']) == 'https') {
    $_SERVER['HTTPS'] = 'on';
  }
  
  if ($can_detect_ssl && $_SERVER['HTTPS'] != 'on') {
    // We will force a redirect because HTTPS is required.
    $force_redirect = TRUE;
  }
  
  // This works on Pantheon only; the constant is undefined elsewhere.
  switch (PANTHEON_ENVIRONMENT) {
    case 'dev':
      $canonical_hostname = 'dev.devportal.example.com';
      break;
    case 'test':
      $canonical_hostname = 'test.devportal.example.com';
      break;
    case 'live':
      $canonical_hostname = 'devportal.example.com';
      break;
    default:
      $canonical_hostname = strtolower($_SERVER['HTTP_HOST']);
      break;
  }
  if ($canonical_hostname != strtolower($_SERVER['HTTP_HOST'])) {
    // We will force a redirect because hostname is not canonical.
    $force_redirect = TRUE;
  }

  if ($force_redirect) {
    header('HTTP/1.0 301 Moved Permanently');
    header('Location: https://' . $canonical_hostname . $_SERVER['REQUEST_URI']);
    exit;
  }
}