Ta strona została przetłumaczona przez Cloud Translation API.

Konfigurowanie zestawów szyfrów na wirtualnych hostach i routerach

Przeglądasz dokumentację Apigee Edge.
Otwórz dokumentację Apigee X. Informacje

Ten dokument wyjaśnia, jak skonfigurować zestawy szyfrów na hostach wirtualnych i routerach w Apigee Edge.

Zestaw szyfrów to zestaw algorytmów, które pomagają zabezpieczyć połączenie sieciowe z użyciem protokołu TLS. Klient i serwer muszą uzgodnić konkretny zestaw szyfrów, który będzie używany podczas wymiany wiadomości. Jeśli klient i serwer nie zgadzają się co do zestawu szyfrów, żądania kończą się niepowodzeniem z powodu błędu uzgadniania połączenia TLS.

W Apigee zestawy szyfrów powinny być wspólnie uzgadniane między aplikacjami klienckimi i routerami.

Zestawy szyfrów w Apigee Edge warto zmodyfikować z następujących powodów:

Aby uniknąć niezgodności zestawów szyfrów między aplikacjami klienckimi a routerami Apigee
Aby używać bezpieczniejszych zestawów szyfrów do usuwania luk w zabezpieczeniach lub zwiększania bezpieczeństwa

Zestawy szyfrów można skonfigurować na hostach wirtualnych lub routerach Apigee. Apigee akceptuje zestawy szyfrów tylko w formacie ciągów szyfrów OpenSSL na hoście wirtualnym i routerze. Strona szyfrów OpenSSL zawiera zestawy szyfrów SSL lub TLS z odpowiedniej specyfikacji i ich odpowiedników w OpenSSL.

Przykład:

Jeśli chcesz skonfigurować pakiet mechanizmów szyfrowania TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 na hoście wirtualnym lub w Apigee Router, musisz zidentyfikować odpowiedni ciąg szyfrowania OpenSSL na stronie mechanizmów szyfrowania OpenSSL. Ciąg szyfrowania OpenSSL dla pakietu szyfrów TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 to ECDHE-RSA-AES128-GCM-SHA256.. Dlatego podczas konfigurowania zestawu mechanizmów szyfrowania na hoście wirtualnym lub w routerze Apigee musisz użyć ciągu szyfrowania OpenSSL ECDHE-RSA-AES128-GCM-SHA256.

Zanim zaczniesz

Więcej informacji o ciągach szyfrów OpenSSL używanych w różnych zestawach szyfrów znajdziesz w artykule na temat szyfrów OpenSSL (w języku angielskim).
Jeśli nie znasz jeszcze właściwości hosta wirtualnego, przeczytaj informacje o właściwościach hosta wirtualnego.
Jeśli nie wiesz, jak skonfigurować właściwości Edge w Private Cloud, przeczytaj artykuł o konfigurowaniu Edge.

Konfigurowanie zestawów szyfrów na hostach wirtualnych

W tej sekcji opisujemy, jak skonfigurować zestawy szyfrów na hostach wirtualnych powiązanych z organizacją i środowiskiem. Zestawy szyfrów można skonfigurować na hoście wirtualnym za pomocą właściwości ssl_ciphers, która reprezentuje listę zestawów szyfrów obsługiwanych przez hosta wirtualnego.

Listę zestawów szyfrów obsługiwanych przez Apigee znajdziesz w sekcji Obsługiwane zestawy szyfrów.

Host wirtualny możesz skonfigurować, korzystając z jednej z tych metod:

Korzystanie z interfejsu Edge
Korzystanie z Edge API

Uwaga:

Jeśli do skonfigurowania na hoście wirtualnym przy użyciu nazwy pakietu szyfrów TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, dowolnej innej nazwy pakietu szyfrów lub nieprawidłowych nazw pakietów szyfrów innych niż ciągi szyfrujące OpenSSL skonfigurujesz na hoście wirtualnym, wystąpi ten błąd:
W interfejsie Edge:
```
Invalid value TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 for ssl_ciphers. Expected values are openssl cipher strings separated by :
```

Za pomocą interfejsu API zarządzania Google Analytics:

<Error>
    <Code>messaging.config.beans.InvalidValue</Code>
    <Message>Invalid value TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 for ssl_ciphers. Expected values are openssl cipher strings separated by :</Message>
    <Contexts/>
</Error>

Jeśli podasz co najmniej jedną nazwę zestawu szyfrów lub nieprawidłowe mechanizmy szyfrowania oraz co najmniej jeden prawidłowy ciąg szyfrowania OpenSSL, Apigee Edge weźmie pod uwagę tylko prawidłowe ciągi szyfrowania OpenSSL i zignoruje pozostałe. W tym przypadku nie zobaczysz żadnych błędów.
Tylko obsługiwane ciągi szyfrowania OpenSSL odpowiadające wersji protokołu będą akceptowane, a pozostałe będą ignorowane. Przykład: jeśli używany jest protokół TLSv1.2, stare mechanizmy szyfrowania, które nie obsługują TLSv1.2, będą ignorowane.

Korzystanie z interfejsu Edge

Aby skonfigurować hosta wirtualnego za pomocą interfejsu użytkownika Edge, wykonaj te czynności:

Zaloguj się w interfejsie użytkownika Edge.
Kliknij Admin > Virtual Hosts (Administracja > Hosty wirtualne).
Wybierz konkretne Środowisko, w którym chcesz wprowadzić tę zmianę.
Wybierz konkretnego hosta wirtualnego, dla którego chcesz skonfigurować zestawy szyfrów.

W sekcji Właściwości zaktualizuj wartość Ciphers, dodając rozdzielaną dwukropkami listę ciągów szyfrowania OpenSSL.

Jeśli na przykład chcesz zezwolić na używanie tylko zestawów szyfrów TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 i TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256, określ odpowiadające mu ciągi szyfrów OpenSSL z instrukcji szyfrów OpenSSL, jak pokazano w tej tabeli:

Pakiet szyfrów	Ciąg szyfrowania OpenSSL
`TLS_DHE_RSA_WITH_AES_128_GCM_SHA256`	`DHE-RSA-AES128-GCM-SHA256`
`TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256`	`ECDHE-RSA-AES128-GCM-SHA256`

Dodaj ciąg szyfrowania OpenSSL oddzielony dwukropkiem, tak jak na tym ilustracji:

Przykład szyfrów

Zapisz zmianę.

Korzystanie z Edge API

Aby skonfigurować zestawy szyfrów na hoście wirtualnym za pomocą interfejsu Edge API, wykonaj te czynności:

Pobierz bieżącą konfigurację hosta wirtualnego za pomocą interfejsu API Pobierz hosta wirtualnego, jak pokazano poniżej:

Użytkownik chmury publicznej:

curl -v -X GET https://api.enterprise.apigee.com/v1/organizations/{organization-name}/environments/{environment-name}/virtualhosts/{virtualhost-name} -u {username}

Użytkownik Private Cloud:

curl -v -X GET http://{management_server_IP}:8080/v1/organizations/{organization-name}/environments/{environment-name}/virtualhosts/{virtualhost-name} -u {username}

{
  "hostAliases": [
    "api.myCompany,com"
  ],
  "interfaces": [],
  "listenOptions": [],
  "name": "secure",
  "port": "443",
  "retryOptions": [],
  "sSLInfo": {
    "ciphers": [],
    "clientAuthEnabled": "false",
    "enabled": "true",
    "ignoreValidationErrors": false,
    "keyAlias": "myCompanyKeyAlias",
    "keyStore": "ref://myCompanyKeystoreref",
    "protocols": []
  },
  "useBuiltInFreeTrialCert": false
}

Dodaj właściwość ssl_ciphers do istniejącego ładunku JSON konfiguracji hosta wirtualnego w properties przy użyciu odpowiednich ciągów szyfrowania OpenSSL.

Pakiet szyfrów	Ciąg szyfrowania OpenSSL
`TLS_DHE_RSA_WITH_AES_128_GCM_SHA256`	`DHE-RSA-AES128-GCM-SHA256`
`TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256`	`ECDHE-RSA-AES128-GCM-SHA256`

Dodaj ten blok kodu properties:

Przykładowa zaktualizowana konfiguracja hosta wirtualnego:

{
  "hostAliases": [
    "api.myCompany,com",
  ],
  "interfaces": [],
  "listenOptions": [],
  "name": "secure",
  "port": "443",
  "retryOptions": [],
  "properties": {
    "property": [
      {
        "name": "ssl_ciphers",
        "value": "DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256"
      }
    ]
  },
  "sSLInfo": {
    "ciphers": [],
    "clientAuthEnabled": "false",
    "enabled": "true",
    "ignoreValidationErrors": false,
    "keyAlias": "myCompanyKeyAlias",
    "keyStore": "ref://myCompanyKeystoreref",
    "protocols": []
  },
  "useBuiltInFreeTrialCert": false
}

Zapisz zaktualizowaną konfigurację hosta wirtualnego w pliku. Na przykład: virtualhost-payload.json.

Zaktualizuj konfigurację virtualhost za pomocą interfejsu API Zaktualizuj hosta wirtualnego w ten sposób:

Użytkownik chmury publicznej:

curl -v -X POST Content-Type: application/json
https://api.enterprise.apigee.com/v1/organizations/{organization-name}/environments/{environment-name}/virtualhosts/{virtualhost-name} -d @virtualhost-payload.json -u {username}

Użytkownik Private Cloud:

curl -v -X POST Content-Type: application/json
http://{management_server_IP}:8080/v1/organizations/{organization-name}/environments/{environment-name}/virtualhosts/{virtualhost-name} -d @virtualhost-payload.json -u {username}

Obsługiwane zestawy szyfrów

Apigee obsługuje te zestawy szyfrów:

ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-SHA384
ECDHE-RSA-AES256-SHA
DHE-RSA-AES256-GCM-SHA384
DHE-RSA-AES256-SHA256
DHE-RSA-AES256-SHA
DHE-RSA-CAMELLIA256-SHA
AES256-GCM-SHA384
AES256-SHA256  
AES256-SHA
CAMELLIA256-SHA
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
DHE-RSA-AES128-GCM-SHA256
DHE-RSA-AES128-SHA256
DHE-RSA-AES128-SHA
DHE-RSA-CAMELLIA128-SHA
AES128-GCM-SHA256
AES128-SHA256   
AES128-SHA 
CAMELLIA128-SHA

Weryfikowanie zestawów szyfrów na hostach wirtualnych

W tej sekcji dowiesz się, jak za pomocą interfejsu Edge API sprawdzić, czy zestawy szyfrów zostały zmodyfikowane na hoście wirtualnym.

Uruchom interfejs API Get virtual host, aby pobrać konfigurację virtualhost, jak pokazano poniżej:

Użytkownik chmury publicznej:

curl -v -X GET https://api.enterprise.apigee.com/v1/organizations/{organization-name}/environments/{environment-name}/virtualhosts/{virtualhost-name} -u {username}

Użytkownik Private Cloud:

curl -v -X GET http://{management_server_IP}:8080/v1/organizations/{organization-name}/environments/{environment-name}/virtualhosts/{virtualhost-name} -u {username}

Sprawdź, czy właściwość ssl_ciphers ma ustawioną nową wartość.

Przykładowa zaktualizowana konfiguracja hosta wirtualnego:

{
  "hostAliases": [
    "api.myCompany,com",
  ],
  "interfaces": [],
  "listenOptions": [],
  "name": "secure",
  "port": "443",
  "retryOptions": [],
  "properties": {
    "property": [
      {
        "name": "ssl_ciphers",
        "value": "DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256"
      }
    ]
  },
  "sSLInfo": {
    "ciphers": [],
    "clientAuthEnabled": "false",
    "enabled": "true",
    "ignoreValidationErrors": false,
    "keyAlias": "myCompanyKeyAlias",
    "keyStore": "ref://myCompanyKeystoreref",
    "protocols": []
  },
  "useBuiltInFreeTrialCert": false
}

W powyższym przykładzie wartość parametru ssl_ciphers została ustawiona na nową.

Jeśli nadal widzisz starą wartość ssl_ciphers, sprawdź, czy zostały wykonane wszystkie czynności opisane w artykule Konfigurowanie zestawów szyfrów na hostach wirtualnych. Jeśli pominięto jakiś krok, powtórz wszystkie kroki ponownie.
Jeśli nadal nie możesz zaktualizować lub dodać zestawów szyfrów na hoście wirtualnym, skontaktuj się z zespołem pomocy Apigee Edge.

Konfigurowanie zestawów szyfrów w routerach

W tej sekcji wyjaśniono, jak skonfigurować zestawy szyfrów w routerach. Zestawy szyfrów można skonfigurować za pomocą właściwości Router conf_load_balancing_load.balancing.driver.server.ssl.ciphers, która reprezentuje akceptowane zestawy szyfrów rozdzielone dwukropkiem.

Uwaga:

Ponieważ ta zmiana jest wprowadzana na poziomie routera, pamiętaj, że ma ona wpływ na wszystkie hosty wirtualne powiązane z organizacjami obsługiwanymi przez konkretne routery.
Jeśli podasz co najmniej jedną nazwę zestawu szyfrów lub nieprawidłowe mechanizmy szyfrowania oraz co najmniej jeden prawidłowy ciąg szyfrowania OpenSSL, Apigee Edge weźmie pod uwagę tylko prawidłowe ciągi szyfrowania OpenSSL i zignoruje pozostałe. W tym przypadku nie zobaczysz żadnych błędów ani problemów.
Tylko obsługiwane ciągi szyfrowania OpenSSL odpowiadające wersji protokołu będą akceptowane, a pozostałe będą ignorowane. Przykład: jeśli używany jest protokół TLSv1.2, stare mechanizmy szyfrowania, które nie obsługują TLSv1.2, będą ignorowane.
Sprawdź, czy używasz wszystkich prawidłowych ciągów szyfrowania OpenSSL. Jeśli wszystkie mechanizmy szyfrowania na liście są nieprawidłowe, ta zmiana może spowodować wyłączenie wszystkich bezpiecznych hostów wirtualnych, co może mieć wpływ na działanie środowiska wykonawczego.

Aby skonfigurować zestawy szyfrów w routerach, wykonaj te czynności:

Na routerze otwórz poniższy plik w edytorze. Jeśli jeszcze nie istnieje, utwórz go.
```
/opt/apigee/customer/application/router.properties
```
Aby na przykład otworzyć plik za pomocą usługi vi, wpisz:
```
vi /opt/apigee/customer/application/router.properties
```

Dodaj do pliku properties wiersz w tym formacie, zastępując wartość colon_separated_cipher_suites wartością:

conf_load_balancing_load.balancing.driver.server.ssl.ciphers=colon_separated_cipher_suites

Pakiet szyfrów	Ciąg szyfrowania OpenSSL
`TLS_DHE_RSA_WITH_AES_128_GCM_SHA256`	`DHE-RSA-AES128-GCM-SHA256`
`TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256`	`ECDHE-RSA-AES128-GCM-SHA256`

Następnie dodaj ten wiersz:

conf_load_balancing_load.balancing.driver.server.ssl.ciphers=DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256

Zapisz zmiany.
Upewnij się, że ten plik właściwości należy do użytkownika apigee, tak jak pokazano poniżej:
```
chown apigee:apigee /opt/apigee/customer/application/router.properties
```

Ponownie uruchom router, jak pokazano poniżej:

/opt/apigee/apigee-service/bin/apigee-service edge-router restart

Jeśli masz więcej niż jeden router, powtórz powyższe kroki na wszystkich routerach.

Weryfikuję pakiet szyfrów w routerach

W tej sekcji wyjaśniono, jak sprawdzić, czy zestawy szyfrów w routerach zostały zmodyfikowane.

W routerze wyszukaj właściwość conf_load_balancing_load.balancing.driver.server.ssl.ciphers za pomocą narzędzia wyszukiwania Apigee z folderu /opt/apigee i sprawdź, czy została ona ustawiona z nową wartością w ten sposób:
```
/opt/apigee/apigee-service/bin/apigee-service edge-router configure -search conf_load_balancing_load.balancing.driver.server.ssl.ciphers
```
Jeśli w routerze zostaną ustawione nowe zestawy szyfrów, powyższe polecenie wyświetli nowe wartości.
Poniżej znajdziesz przykładowy wynik z polecenia search powyżej, gdy zestawy szyfrów były aktualizowane do wersji DHE-RSA-AES128-GCM-SHA256 i ECDHE-RSA-AES128-GCM-SHA256:
```
Found key conf_load_balancing_load.balancing.driver.server.ssl.ciphers, with value, DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256, in /opt/apigee/customer//application/router.properties
```
W przykładowych danych wyjściowych powyżej można zauważyć, że właściwość conf_load_balancing_load.balancing.driver.server.ssl.ciphers została ustawiona z nowymi wartościami zestawu szyfrów. Wskazuje to, że pakiet szyfrów został zaktualizowany do ciągów szyfrowania OpenSSL DHE-RSA-AES128-GCM-SHA25 i ECDHE-RSA-AES128-GCM-SHA256 w routerze.
Jeśli nadal widzisz stare wartości zestawów szyfrów conf_load_balancing_load.balancing.driver.server.ssl.ciphers, sprawdź, czy zostały wykonane wszystkie czynności opisane w artykule Konfigurowanie zestawów szyfrów w routerach. Jeśli pominięto jakiś krok, powtórz wszystkie kroki ponownie.
Jeśli nadal nie możesz zmodyfikować zestawów szyfrów w routerach, skontaktuj się z zespołem pomocy Apigee Edge.