Sanal ana makineler ve yönlendiricilerde şifre paketlerini yapılandırma

Apigee Edge belgelerini görüntülüyorsunuz.
. Git: Apigee X belgeleri.
bilgi

Bu belgede, Apigee Edge'deki sanal ana makinelerde ve Yönlendiricilerde şifre paketlerinin nasıl yapılandırılacağı açıklanmaktadır.

Şifre paketi, TLS kullanan bir ağ bağlantısının güvenliğini sağlamaya yardımcı olan bir dizi algoritmadır. İstemci ve sunucu, kullanılacak şifre paketi üzerinde anlaşmalıdır. önemli bir rol oynar. İstemci ve sunucu bir şifre paketi üzerinde anlaşmaya varmıyorsa, istekleri, TLS El Sıkışma hatalarıyla başarısız olur.

Apigee'de şifre paketleri, istemci uygulamaları ve Yönlendiriciler.

Apigee Edge'deki şifre paketlerini aşağıdaki nedenlerden dolayı değiştirmek isteyebilirsiniz:

  • İstemci uygulamaları ile Apigee Yönlendiricileri arasında şifre paketi uyuşmazlıklarını önlemek için
  • Güvenlik açıklarını düzeltmek veya gelişmiş güvenlik için daha güvenli şifre paketleri kullanmak

Şifre paketleri, sanal ana makinelerde veya Apigee Yönlendiricilerinde yapılandırılabilir. Not Apigee, aşağıdaki adreste yalnızca OpenSSL şifre dizeleri biçimindeki şifre paketlerini kabul eder. hem sanal ana makineyi hem de yönlendiriciyi içerir. İlgili içeriği oluşturmak için kullanılan OpenSSL şifreleri kılavuzu ilgili spesifikasyondaki SSL veya TLS şifre paketlerini ve bunların OpenSSL eşdeğerlerini sağlar.

Örneğin:

TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 şifresini yapılandırmak isterseniz veya Apigee Yönlendirici'de yapılandırmalısınız. OpenSSL şifreleri kılavuzu. TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 şifre paketi için OpenSSL şifre dizesi değeri ECDHE-RSA-AES128-GCM-SHA256. olarak değişir. Bu nedenle, OpenSSL şifre dizesini Sanal ana makinede şifre paketi yapılandırılırken ECDHE-RSA-AES128-GCM-SHA256 ya da Apigee Yönlendirici üzerinde kullanabilirsiniz.

Başlamadan önce

Sanal ana makinelerde şifre paketlerini yapılandırma

Bu bölümde, bir kuruluş ve ortamla ilişkili sanal ana makinelerde şifre paketlerinin nasıl yapılandırılacağı açıklanmaktadır. Şifre paketleri, sanal ana makinede ssl_ciphers mülkü üzerinden yapılandırılabilir. Bu mülk, sanal ana makine tarafından desteklenen şifre paketlerinin listesini temsil eder.

Şifrelerin listesi için Desteklenen şifre paketleri başlıklı makaleye bakın paketlerine göz atın.

Sanal ana makineyi aşağıdaki yöntemlerden birini kullanarak yapılandırabilirsiniz:

  • Edge kullanıcı arayüzünü kullanma
  • Edge API'yi kullanma
ziyaret edin.

Edge kullanıcı arayüzünü kullanma

Edge kullanıcı arayüzünü kullanarak sanal ana makineyi yapılandırmak için aşağıdakileri yapın:

  1. Edge kullanıcı arayüzüne giriş yapın.
  2. Yönetici > Sanal Ana Makineler bölümüne gidin.
  3. Bu değişikliği yapmak istediğiniz belirli bir Ortam'ı seçin.
  4. Şifre paketlerini yapılandırmak istediğiniz sanal ana makineyi seçin.
  5. Özellikler bölümünde, Ciphers değerini, iki nokta üst üste ile ayrılmış OpenSSL şifre dizeleriyle güncelleyin.

    Örneğin, yalnızca şifre paketlerine izin vermek TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 ve TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ve ardından Şuradaki OpenSSL şifre dizeleri: OpenSSL şifreleri kılavuzu aşağıdaki tabloda gösterildiği gibi):

    Şifre Paketi OpenSSL şifre dizesi
    TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 DHE-RSA-AES128-GCM-SHA256
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256

    OpenSSL şifre dizesini, aşağıdaki şekilde gösterildiği gibi iki nokta işaretiyle ayrılmış şekilde ekleyin:

    Şifreler örneği

  6. Değişikliği kaydedin.

Edge API'yi kullanma

Edge API'yi kullanarak bir sanal ana makinedeki şifre paketlerini yapılandırmak için şunları yapın:

  1. Geçerli sanal ana makine yapılandırmasını şunu kullanarak alın: Aşağıda gösterildiği gibi sanal ana makine API'sini alın:

    Herkese açık Cloud kullanıcısı:

    curl -v -X GET https://api.enterprise.apigee.com/v1/organizations/{organization-name}/environments/{environment-name}/virtualhosts/{virtualhost-name} -u {username}
    

    Private Cloud kullanıcısı:

    curl -v -X GET http://{management_server_IP}:8080/v1/organizations/{organization-name}/environments/{environment-name}/virtualhosts/{virtualhost-name} -u {username}
    
    {
      "hostAliases": [
        "api.myCompany,com"
      ],
      "interfaces": [],
      "listenOptions": [],
      "name": "secure",
      "port": "443",
      "retryOptions": [],
      "sSLInfo": {
        "ciphers": [],
        "clientAuthEnabled": "false",
        "enabled": "true",
        "ignoreValidationErrors": false,
        "keyAlias": "myCompanyKeyAlias",
        "keyStore": "ref://myCompanyKeystoreref",
        "protocols": []
      },
      "useBuiltInFreeTrialCert": false
    }
    
  2. ssl_ciphers mülkünü mevcut sanal ana makine yapılandırmasına ekleyin Uygun OpenSSL şifre dizeleriyle properties altındaki JSON yükü.

    Örneğin, yalnızca şifre paketlerine izin vermek TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 ve TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ve ardından Şuradaki OpenSSL şifre dizeleri: OpenSSL şifreleri kılavuzu aşağıdaki tabloda gösterildiği gibi):

    Şifre Paketi OpenSSL şifre dizesi
    TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 DHE-RSA-AES128-GCM-SHA256
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256

    Şu properties kod bloğunu ekleyin:

    Güncellenmiş sanal ana makine yapılandırması örneği:

    {
      "hostAliases": [
        "api.myCompany,com",
      ],
      "interfaces": [],
      "listenOptions": [],
      "name": "secure",
      "port": "443",
      "retryOptions": [],
      "properties": {
        "property": [
          {
            "name": "ssl_ciphers",
            "value": "DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256"
          }
        ]
      },
      "sSLInfo": {
        "ciphers": [],
        "clientAuthEnabled": "false",
        "enabled": "true",
        "ignoreValidationErrors": false,
        "keyAlias": "myCompanyKeyAlias",
        "keyStore": "ref://myCompanyKeystoreref",
        "protocols": []
      },
      "useBuiltInFreeTrialCert": false
    }
    
  3. Güncellenen sanal ana makine yapılandırmasını bir dosyaya kaydedin. Örneğin, virtualhost-payload.json
  4. virtualhost yapılandırmasını Bir sanal ana makine API'sini aşağıdaki şekilde güncelleyin:

    Herkese açık Cloud kullanıcısı:

    curl -v -X POST Content-Type: application/json
    https://api.enterprise.apigee.com/v1/organizations/{organization-name}/environments/{environment-name}/virtualhosts/{virtualhost-name} -d @virtualhost-payload.json -u {username}
    

    Private Cloud kullanıcısı:

    curl -v -X POST Content-Type: application/json
    http://{management_server_IP}:8080/v1/organizations/{organization-name}/environments/{environment-name}/virtualhosts/{virtualhost-name} -d @virtualhost-payload.json -u {username}
    

Desteklenen şifre paketleri

Apigee aşağıdaki şifre paketlerini destekler:

ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-SHA384
ECDHE-RSA-AES256-SHA
DHE-RSA-AES256-GCM-SHA384
DHE-RSA-AES256-SHA256
DHE-RSA-AES256-SHA
DHE-RSA-CAMELLIA256-SHA
AES256-GCM-SHA384
AES256-SHA256  
AES256-SHA
CAMELLIA256-SHA
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
DHE-RSA-AES128-GCM-SHA256
DHE-RSA-AES128-SHA256
DHE-RSA-AES128-SHA
DHE-RSA-CAMELLIA128-SHA
AES128-GCM-SHA256
AES128-SHA256   
AES128-SHA 
CAMELLIA128-SHA

Sanal ana makinelerdeki şifre paketlerini doğrulama

Bu bölümde, şifre paketlerinin başarılı bir şekilde onaylandığını nasıl doğrulayacağınız açıklanmaktadır. sanal ana makinede Edge API kullanılarak değiştirilmiştir.

  1. Şunu yürütün: Aşağıda gösterildiği gibi virtualhost yapılandırmasını almak için sanal ana makine API'sini alın:

    Herkese açık Cloud kullanıcısı:

    curl -v -X GET https://api.enterprise.apigee.com/v1/organizations/{organization-name}/environments/{environment-name}/virtualhosts/{virtualhost-name} -u {username}
    

    Private Cloud kullanıcısı:

    curl -v -X GET http://{management_server_IP}:8080/v1/organizations/{organization-name}/environments/{environment-name}/virtualhosts/{virtualhost-name} -u {username}
    
  2. ssl_ciphers özelliğinin yeni değere ayarlandığını doğrulayın.

    Güncellenmiş sanal ana makine yapılandırması örneği:

    {
      "hostAliases": [
        "api.myCompany,com",
      ],
      "interfaces": [],
      "listenOptions": [],
      "name": "secure",
      "port": "443",
      "retryOptions": [],
      "properties": {
        "property": [
          {
            "name": "ssl_ciphers",
            "value": "DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256"
          }
        ]
      },
      "sSLInfo": {
        "ciphers": [],
        "clientAuthEnabled": "false",
        "enabled": "true",
        "ignoreValidationErrors": false,
        "keyAlias": "myCompanyKeyAlias",
        "keyStore": "ref://myCompanyKeystoreref",
        "protocols": []
      },
      "useBuiltInFreeTrialCert": false
    }
    

    Yukarıdaki örnekte ssl_ciphers değerinin yeni değerle ayarlandığına dikkat edin.

  3. ssl_ciphers için eski değeri görmeye devam ediyorsanız bu adımları takip etmek için Sanal ana makinelerde şifre paketlerini doğru şekilde yapılandırma. Atladığınız herhangi bir adım varsa tüm adımları doğru şekilde tekrar edin.
  4. Şifre paketlerini hâlâ sanal ana makineye güncelleyemiyor veya bu pakete ekleyemiyorsanız Apigee Edge Desteği.

Yönlendiricilerde şifre paketlerini yapılandırma

Bu bölümde, Yönlendiriciler üzerinde şifre paketlerinin nasıl yapılandırılacağı açıklanmaktadır. Şifre paketleri Yönlendirici özelliği aracılığıyla yapılandırılır. conf_load_balancing_load.balancing.driver.server.ssl.ciphers (Bu değeri temsil eder) iki nokta üst üste işaretiyle ayrılmış kabul edilen şifre paketleri.

Yönlendiricilerdeki şifre paketlerini yapılandırmak için aşağıdakileri yapın:

  1. Yönlendirici makinesinde, aşağıdaki dosyayı bir düzenleyicide açın. Henüz yoksa oluşturun.

    /opt/apigee/customer/application/router.properties
    

    Örneğin, dosyayı vi ile açmak için aşağıdakileri girin:

    vi /opt/apigee/customer/application/router.properties
    
  2. properties dosyasına aşağıdaki biçimde bir satır ekleyin ve colon_separated_cipher_suites değeri:
    conf_load_balancing_load.balancing.driver.server.ssl.ciphers=colon_separated_cipher_suites
    

    Örneğin, yalnızca şifre paketlerine izin vermek TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 ve TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ve ardından Şuradaki OpenSSL şifre dizeleri: OpenSSL şifreleri kılavuzu aşağıdaki tabloda gösterildiği gibi):

    Şifre Paketi OpenSSL şifre dizesi
    TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 DHE-RSA-AES128-GCM-SHA256
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256

    Ardından aşağıdaki satırı ekleyin:

    conf_load_balancing_load.balancing.driver.server.ssl.ciphers=DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256
    
  3. Değişikliklerinizi kaydedin.
  4. Bu özellikler dosyasının, aşağıda gösterildiği gibi apigee kullanıcısına ait olduğundan emin olun:
    chown apigee:apigee /opt/apigee/customer/application/router.properties
    
  5. Yönlendiriciyi aşağıda gösterildiği gibi yeniden başlatın:
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
    
  6. Birden fazla Yönlendiriciniz varsa yukarıdaki adımları tüm Yönlendiriciler için tekrarlayın.

Yönlendiricilerde şifre paketi doğrulama

Bu bölümde, şifre paketlerinin Yönlendiriciler üzerinde başarılı bir şekilde değiştirildiğini nasıl doğrulayacağınız açıklanmaktadır.

  1. Yönlendirici'de özelliği arayın conf_load_balancing_load.balancing.driver.server.ssl.ciphers ve Apigee /opt/apigee klasöründen arama yardımcı programını seçin ve yeni değer şöyle olacaktır:
    /opt/apigee/apigee-service/bin/apigee-service edge-router configure -search conf_load_balancing_load.balancing.driver.server.ssl.ciphers
    
  2. Yeni şifre paketleri yönlendiricide başarıyla ayarlanmışsa yukarıdaki komutta yeni değerler.

    Aşağıda,search şifre paketleri DHE-RSA-AES128-GCM-SHA256 ve ECDHE-RSA-AES128-GCM-SHA256:

    Found key conf_load_balancing_load.balancing.driver.server.ssl.ciphers, with value, DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256, in /opt/apigee/customer//application/router.properties
    

    Yukarıdaki örnek çıkışta, conf_load_balancing_load.balancing.driver.server.ssl.ciphers ayarlandı yeni şifre paketi değerleriyle uyumlu olduğunu unutmayın. Bu, şifre paketinin başarıyla tamamlandığını gösterir. OpenSSL şifre dizelerine göre güncellendi DHE-RSA-AES128-GCM-SHA25ve Yönlendirici üzerinde ECDHE-RSA-AES128-GCM-SHA256.

  3. Şifre paketlerinin eski değerlerini görmeye devam ediyorsanız conf_load_balancing_load.balancing.driver.server.ssl.ciphers, ardından doğrulayın adımları uygulayın: Yönlendiricilerde şifre paketlerini doğru şekilde yapılandırma. Atladığınız herhangi bir adım varsa tüm adımları doğru şekilde tekrar edin.
  4. Yönlendiricilerdeki Şifre paketlerini hâlâ değiştiremiyorsanız Apigee Edge Desteği.