Estás consultando la documentación de Apigee Edge.
Consulta la
documentación de Apigee X. Información
En este documento, se explica cómo configurar conjuntos de algoritmos de cifrado en hosts virtuales y routers en Apigee Edge.
Un conjunto de algoritmos de cifrado es un conjunto de algoritmos que ayudan a proteger una conexión de red que usa TLS. El cliente y el servidor deben acordar el conjunto de algoritmos de cifrado específico que se usará para intercambiar mensajes. Si el cliente y el servidor no acuerdan usar un conjunto de algoritmos de cifrado, las solicitudes fallan con fallas del protocolo de enlace TLS.
En Apigee, los conjuntos de algoritmos de cifrado deben acordarse mutuamente entre las aplicaciones cliente y los routers.
Recomendamos modificar los conjuntos de algoritmos de cifrado en Apigee Edge por los siguientes motivos:
- Para evitar discrepancias en los conjuntos de algoritmos de cifrado entre las aplicaciones cliente y los routers de Apigee
- Usar conjuntos de cifrado más seguros, ya sea para corregir vulnerabilidades de seguridad o mejorar la seguridad
Los conjuntos de cifrado se pueden configurar en hosts virtuales o routers de Apigee. Ten en cuenta que Apigee acepta conjuntos de algoritmos de cifrado solo en el formato de cadenas de cifrado de OpenSSL, tanto en el host virtual como en el router. La página del manual de algoritmos de cifrado de OpenSSL proporciona los conjuntos de algoritmos de cifrado SSL o TLS de la especificación relevante y sus equivalentes de OpenSSL.
Por ejemplo:
Si deseas configurar el conjunto de algoritmos de cifrado TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
en el host virtual o en el router de Apigee, debes identificar la string de cifrado de OpenSSL correspondiente en la página del manual de cifrado de OpenSSL.
La string de cifrado de OpenSSL para el conjunto de algoritmos de cifrado TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
es ECDHE-RSA-AES128-GCM-SHA256.
. Por lo tanto, debes usar ECDHE-RSA-AES128-GCM-SHA256
mientras configuras el conjunto de algoritmos de cifrado en el host virtual o en el router de Apigee.
Antes de comenzar
- Si quieres obtener más información sobre las strings de cifrado de OpenSSL para los diferentes conjuntos de algoritmos, consulta el manual de mantenimiento de algoritmos de cifrado de OpenSSL.
- Si no estás familiarizado con las propiedades del host virtual, consulta la Referencia sobre las propiedades del host virtual.
- Si no estás familiarizado con la configuración de propiedades para Edge en la nube privada, consulta Cómo configurar Edge.
Configura conjuntos de algoritmos de cifrado en hosts virtuales
En esta sección, se explica cómo configurar conjuntos de algoritmos de cifrado en los hosts virtuales asociados con una organización y un entorno. Los conjuntos de algoritmos de cifrado se pueden configurar en el host virtual mediante la propiedad ssl_ciphers
, que representa la lista de conjuntos de algoritmos de cifrado compatibles con el host virtual.
Consulta Conjuntos de algoritmos de cifrado admitidos para obtener una lista de los conjuntos de algoritmos de cifrado que admite Apigee.
Puedes configurar el host virtual mediante uno de los siguientes métodos:
- Usa la IU de Edge
- Usa la API de Edge
Usa la IU de Edge
Para configurar el host virtual mediante la IU de Edge, sigue estos pasos:
- Accede a la IU de Edge.
- Navega a Administrador > Hosts virtuales.
- Selecciona un Entorno específico en el que quieras realizar este cambio.
- Selecciona el host virtual específico para el que deseas configurar los conjuntos de algoritmos de cifrado.
-
En Propiedades, actualiza el valor de Ciphers con una lista delimitada por dos puntos de cadenas de cifrado de OpenSSL.
Por ejemplo, si solo deseas permitir los conjuntos de algoritmos de cifrado
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
yTLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
, determina las strings de cifrados de OpenSSL correspondientes a partir de la página del manual de algoritmos de cifrado de OpenSSL, como se muestra en la siguiente tabla:Paquete de algoritmo de cifrado String de cifrado de OpenSSL TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
DHE-RSA-AES128-GCM-SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
ECDHE-RSA-AES128-GCM-SHA256
Agrega la cadena de cifrado de OpenSSL con separación de dos puntos, como se muestra en la siguiente figura:
- Guarda el cambio.
Usa la API de Edge
Para configurar los conjuntos de algoritmos de cifrado en un host virtual mediante la API de Edge, sigue estos pasos:
- Obtén la configuración actual del host virtual con la API de
Obtener host virtual, como se muestra a continuación:
Usuario de la nube pública:
curl -v -X GET https://api.enterprise.apigee.com/v1/organizations/{organization-name}/environments/{environment-name}/virtualhosts/{virtualhost-name} -u {username}
Usuario de la nube privada:
curl -v -X GET http://{management_server_IP}:8080/v1/organizations/{organization-name}/environments/{environment-name}/virtualhosts/{virtualhost-name} -u {username}
{ "hostAliases": [ "api.myCompany,com" ], "interfaces": [], "listenOptions": [], "name": "secure", "port": "443", "retryOptions": [], "sSLInfo": { "ciphers": [], "clientAuthEnabled": "false", "enabled": "true", "ignoreValidationErrors": false, "keyAlias": "myCompanyKeyAlias", "keyStore": "ref://myCompanyKeystoreref", "protocols": [] }, "useBuiltInFreeTrialCert": false }
-
Agrega la propiedad
ssl_ciphers
a la carga útil de JSON de la configuración de host virtual existente enproperties
con las strings de cifrado de OpenSSL adecuadas.Por ejemplo, si solo deseas permitir los conjuntos de algoritmos de cifrado
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
yTLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
, determina las strings de cifrados de OpenSSL correspondientes a partir de la página del manual de algoritmos de cifrado de OpenSSL, como se muestra en la siguiente tabla:Paquete de algoritmo de cifrado String de cifrado de OpenSSL TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
DHE-RSA-AES128-GCM-SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
ECDHE-RSA-AES128-GCM-SHA256
Agrega el siguiente bloque de código
properties
:Ejemplo de configuración actualizada del host virtual:
{ "hostAliases": [ "api.myCompany,com", ], "interfaces": [], "listenOptions": [], "name": "secure", "port": "443", "retryOptions": [], "properties": { "property": [ { "name": "ssl_ciphers", "value": "DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256" } ] }, "sSLInfo": { "ciphers": [], "clientAuthEnabled": "false", "enabled": "true", "ignoreValidationErrors": false, "keyAlias": "myCompanyKeyAlias", "keyStore": "ref://myCompanyKeystoreref", "protocols": [] }, "useBuiltInFreeTrialCert": false }
-
Guarda la configuración actualizada del host virtual en un archivo. Por ejemplo,
virtualhost-payload.json
. -
Actualiza la configuración de
virtualhost
con el cambio mediante la API de Actualiza un host virtual de la siguiente manera:Usuario de la nube pública:
curl -v -X POST Content-Type: application/json https://api.enterprise.apigee.com/v1/organizations/{organization-name}/environments/{environment-name}/virtualhosts/{virtualhost-name} -d @virtualhost-payload.json -u {username}
Usuario de la nube privada:
curl -v -X POST Content-Type: application/json http://{management_server_IP}:8080/v1/organizations/{organization-name}/environments/{environment-name}/virtualhosts/{virtualhost-name} -d @virtualhost-payload.json -u {username}
Conjuntos de algoritmos de cifrado compatibles
Apigee admite los siguientes conjuntos de algoritmos de cifrado:
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA384 ECDHE-RSA-AES256-SHA DHE-RSA-AES256-GCM-SHA384 DHE-RSA-AES256-SHA256 DHE-RSA-AES256-SHA DHE-RSA-CAMELLIA256-SHA AES256-GCM-SHA384 AES256-SHA256 AES256-SHA CAMELLIA256-SHA ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES128-SHA256 DHE-RSA-AES128-SHA DHE-RSA-CAMELLIA128-SHA AES128-GCM-SHA256 AES128-SHA256 AES128-SHA CAMELLIA128-SHA
Verifica los conjuntos de algoritmos de cifrado en hosts virtuales
En esta sección, se explica cómo verificar que los conjuntos de algoritmos de cifrado se hayan modificado de forma correcta en el host virtual mediante la API de Edge.
- Ejecuta la API de
Obtener host virtual para obtener la configuración
virtualhost
como se muestra a continuación:Usuario de la nube pública:
curl -v -X GET https://api.enterprise.apigee.com/v1/organizations/{organization-name}/environments/{environment-name}/virtualhosts/{virtualhost-name} -u {username}
Usuario de la nube privada:
curl -v -X GET http://{management_server_IP}:8080/v1/organizations/{organization-name}/environments/{environment-name}/virtualhosts/{virtualhost-name} -u {username}
-
Verifica que se haya establecido el valor nuevo en la propiedad
ssl_ciphers
.Ejemplo de configuración actualizada del host virtual:
{ "hostAliases": [ "api.myCompany,com", ], "interfaces": [], "listenOptions": [], "name": "secure", "port": "443", "retryOptions": [], "properties": { "property": [ { "name": "ssl_ciphers", "value": "DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256" } ] }, "sSLInfo": { "ciphers": [], "clientAuthEnabled": "false", "enabled": "true", "ignoreValidationErrors": false, "keyAlias": "myCompanyKeyAlias", "keyStore": "ref://myCompanyKeystoreref", "protocols": [] }, "useBuiltInFreeTrialCert": false }
En el ejemplo anterior, ten en cuenta que se configuró
ssl_ciphers
con el valor nuevo. -
Si aún ves el valor anterior de
ssl_ciphers
, verifica si seguiste todos los pasos descritos en Configura los conjuntos de algoritmos de cifrado en hosts virtuales de forma correcta. Si omitiste algún paso, repite todos los pasos correctamente. - Si aún no puedes actualizar o agregar conjuntos de algoritmos de cifrado al host virtual, comunícate con el equipo de asistencia de Apigee Edge.
Configura conjuntos de algoritmos de cifrado en routers
En esta sección, se explica cómo configurar conjuntos de algoritmos de cifrado en los routers. Los conjuntos de algoritmos de cifrado se pueden configurar a través de la propiedad conf_load_balancing_load.balancing.driver.server.ssl.ciphers
del router, que representa los conjuntos de algoritmos de cifrado aceptados y separados por dos puntos.
Para configurar conjuntos de algoritmos de cifrado en los routers, sigue estos pasos:
-
En la máquina Router, abre el siguiente archivo en un editor. Si aún no existe, créalo.
/opt/apigee/customer/application/router.properties
Por ejemplo, para abrir el archivo con
vi
, ingresa lo siguiente:vi /opt/apigee/customer/application/router.properties
-
Agrega una línea con el siguiente formato al archivo
properties
y reemplaza un valor por colon_separated_cipher_suites:conf_load_balancing_load.balancing.driver.server.ssl.ciphers=colon_separated_cipher_suites
Por ejemplo, si solo deseas permitir los conjuntos de algoritmos de cifrado
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
yTLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
, determina las strings de cifrados de OpenSSL correspondientes a partir de la página del manual de algoritmos de cifrado de OpenSSL, como se muestra en la siguiente tabla:Paquete de algoritmo de cifrado String de cifrado de OpenSSL TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
DHE-RSA-AES128-GCM-SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
ECDHE-RSA-AES128-GCM-SHA256
Luego, agrega la siguiente línea:
conf_load_balancing_load.balancing.driver.server.ssl.ciphers=DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256
- Guarda los cambios.
-
Asegúrate de que este archivo de propiedades sea propiedad del usuario
apigee
, como se muestra a continuación:chown apigee:apigee /opt/apigee/customer/application/router.properties
-
Reinicia el router como se muestra a continuación:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- Si tienes más de un router, repite los pasos anteriores en todos ellos.
Verifica el paquete de algoritmos de cifrado en los routers
En esta sección, se explica cómo verificar que los conjuntos de algoritmos de cifrado se hayan modificado correctamente en los routers.
-
En el router, busca la propiedad
conf_load_balancing_load.balancing.driver.server.ssl.ciphers
con la utilidad de búsqueda de Apigee de la carpeta/opt/apigee
y verifica si se configuró con el valor nuevo de la siguiente manera:/opt/apigee/apigee-service/bin/apigee-service edge-router configure -search conf_load_balancing_load.balancing.driver.server.ssl.ciphers
-
Si los nuevos conjuntos de algoritmos de cifrado se configuran correctamente en el router, el comando anterior mostrará los valores nuevos.
El siguiente es el resultado de muestra del comando
search
anterior cuando los conjuntos de algoritmos de cifrado se actualizaron aDHE-RSA-AES128-GCM-SHA256
yECDHE-RSA-AES128-GCM-SHA256
:Found key conf_load_balancing_load.balancing.driver.server.ssl.ciphers, with value, DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256, in /opt/apigee/customer//application/router.properties
En el resultado de ejemplo anterior, observa que la propiedad
conf_load_balancing_load.balancing.driver.server.ssl.ciphers
se configuró con los nuevos valores del conjunto de algoritmos de cifrado. Esto indica que el conjunto de algoritmos de cifrado se actualizó de forma correcta a las strings de cifrado de OpenSSLDHE-RSA-AES128-GCM-SHA25
yECDHE-RSA-AES128-GCM-SHA256
en el router. -
Si aún ves los valores anteriores de los conjuntos de algoritmos de cifrado
conf_load_balancing_load.balancing.driver.server.ssl.ciphers
, verifica si seguiste todos los pasos descritos en Configura los conjuntos de algoritmos de cifrado en routers de forma correcta. Si omitiste algún paso, repite todos los pasos correctamente. - Si aún no puedes modificar los conjuntos de algoritmos de cifrado en los routers, comunícate con el equipo de asistencia de Apigee Edge.