Apigee Edge belgelerini görüntülüyorsunuz.
Apigee X belgelerine gidin. bilgi
Bu belgede, Apigee Edge'deki sanal ana makineler ve yönlendiricilerde şifre paketlerinin nasıl yapılandırılacağı açıklanmaktadır.
Şifre paketi, TLS kullanan bir ağ bağlantısının güvenliğini sağlamaya yardımcı olan bir dizi algoritmadır. İstemci ve sunucu, mesaj alışverişi için kullanılacak şifre paketi üzerinde anlaşmalıdır. İstemci ve sunucu bir şifre paketi üzerinde anlaşamazsa istekler TLS El Sıkışma hatalarıyla başarısız olur.
Apigee'de şifre paketleri, istemci uygulamaları ve Yönlendiriciler arasında karşılıklı olarak kararlaştırılmalıdır.
Aşağıdaki nedenlerle Apigee Edge'deki şifre paketlerini değiştirmek isteyebilirsiniz:
- İstemci uygulamaları ile Apigee Yönlendiricileri arasında şifre paketi uyuşmazlığını önlemek için
- Güvenlik açıklarını düzeltmek veya gelişmiş güvenlik için daha güvenli şifre paketleri kullanmak
Şifre paketleri, sanal ana makineler veya Apigee Yönlendiriciler üzerinde yapılandırılabilir. Apigee'nin hem sanal ana makinede hem de Yönlendiricide yalnızca OpenSSL şifre dizeleri biçimindeki şifre paketlerini kabul ettiğini unutmayın. OpenSSL şifreleri yönetimi, ilgili spesifikasyondaki SSL veya TLS şifre paketlerini ve bunların OpenSSL eşdeğerlerini sağlar.
Örneğin:
Sanal ana makinedeki veya Apigee Yönlendiricisi'ndeki TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
şifre paketini yapılandırmak istiyorsanız OpenSSL şifreleri yönetiminden ilgili OpenSSL şifre dizesini belirlemeniz gerekir.
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
şifre paketi için OpenSSL şifre dizesi ECDHE-RSA-AES128-GCM-SHA256.
şeklindedir. Bu nedenle, sanal ana makinede veya Apigee Yönlendiricide şifre paketini yapılandırırken ECDHE-RSA-AES128-GCM-SHA256
OpenSSL şifre dizesini kullanmanız gerekir.
Başlamadan önce
- Farklı şifre paketlerine ilişkin OpenSSL şifre dizeleri hakkında bilgi edinmek için OpenSSL şifreleri yönlendirmesini okuyun.
- Sanal ana makine mülkleri hakkında bilginiz yoksa Sanal ana makine mülkü referansı başlıklı makaleyi okuyun.
- Private Cloud'da Edge özelliklerini yapılandırmaya aşina değilseniz Edge'yi yapılandırma bölümünü okuyun.
Sanal ana makinelerde şifre paketlerini yapılandırma
Bu bölümde, bir kuruluş ve ortamla ilişkili sanal ana makinelerde şifre paketlerinin nasıl yapılandırılacağı açıklanmaktadır. Şifre paketleri, sanal ana makine tarafından desteklenen şifre paketlerinin listesini temsil eden ssl_ciphers
özelliği aracılığıyla yapılandırılabilir.
Apigee'nin desteklediği şifre paketlerinin listesi için Desteklenen şifre paketleri bölümüne bakın.
Sanal ana bilgisayarı aşağıdaki yöntemlerden birini kullanarak yapılandırabilirsiniz:
- Edge kullanıcı arayüzünü kullanma
- Edge API'yi kullanma
Edge kullanıcı arayüzünü kullanma
Uç kullanıcı arayüzünü kullanarak sanal ana bilgisayarı yapılandırmak için aşağıdakileri yapın:
- Edge kullanıcı arayüzüne giriş yapın.
- Admin > Virtual Hosts'a (Yönetici > Sanal Ana Makineler) gidin.
- Bu değişikliği yapmak istediğiniz belirli bir Ortam seçin.
- Şifre paketlerini yapılandırmak istediğiniz sanal ana bilgisayarı seçin.
-
Özellikler bölümünde, Ciphers değerini iki nokta işaretiyle ayrılmış OpenSSL şifre dizeleri listesiyle güncelleyin.
Örneğin, yalnızca
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
veTLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
şifre paketlerine izin vermek istiyorsanız OpenSSL şifre kılavuzundaki karşılık gelen OpenSSL şifre dizelerini aşağıdaki tabloda gösterildiği gibi belirleyin:Şifre Paketi OpenSSL şifre dizesi TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
DHE-RSA-AES128-GCM-SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
ECDHE-RSA-AES128-GCM-SHA256
OpenSSL şifre dizesini iki nokta ile ayrılmış şekilde aşağıdaki şekilde ekleyin:
- Değişikliği kaydedin.
Edge API'yi kullanma
Edge API'yi kullanarak bir sanal ana makinedeki şifre paketlerini yapılandırmak için aşağıdakileri yapın:
-
Get sanal ana makine API'sini kullanarak aşağıda gösterildiği gibi geçerli sanal ana makine yapılandırmasını alın:
Herkese Açık Bulut kullanıcısı:
curl -v -X GET https://api.enterprise.apigee.com/v1/organizations/{organization-name}/environments/{environment-name}/virtualhosts/{virtualhost-name} -u {username}
Private Cloud kullanıcısı:
curl -v -X GET http://{management_server_IP}:8080/v1/organizations/{organization-name}/environments/{environment-name}/virtualhosts/{virtualhost-name} -u {username}
{ "hostAliases": [ "api.myCompany,com" ], "interfaces": [], "listenOptions": [], "name": "secure", "port": "443", "retryOptions": [], "sSLInfo": { "ciphers": [], "clientAuthEnabled": "false", "enabled": "true", "ignoreValidationErrors": false, "keyAlias": "myCompanyKeyAlias", "keyStore": "ref://myCompanyKeystoreref", "protocols": [] }, "useBuiltInFreeTrialCert": false }
-
ssl_ciphers
özelliğini, uygun OpenSSL şifre dizeleriyleproperties
altındaki mevcut sanal ana makine yapılandırması JSON yüküne ekleyin.Örneğin, yalnızca
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
veTLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
şifre paketlerine izin vermek istiyorsanız OpenSSL şifre kılavuzundaki karşılık gelen OpenSSL şifre dizelerini aşağıdaki tabloda gösterildiği gibi belirleyin:Şifre Paketi OpenSSL şifre dizesi TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
DHE-RSA-AES128-GCM-SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
ECDHE-RSA-AES128-GCM-SHA256
Aşağıdaki
properties
kod bloğunu ekleyin:Örnek güncellenmiş sanal ana makine yapılandırması:
{ "hostAliases": [ "api.myCompany,com", ], "interfaces": [], "listenOptions": [], "name": "secure", "port": "443", "retryOptions": [], "properties": { "property": [ { "name": "ssl_ciphers", "value": "DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256" } ] }, "sSLInfo": { "ciphers": [], "clientAuthEnabled": "false", "enabled": "true", "ignoreValidationErrors": false, "keyAlias": "myCompanyKeyAlias", "keyStore": "ref://myCompanyKeystoreref", "protocols": [] }, "useBuiltInFreeTrialCert": false }
-
Güncellenen sanal ana makine yapılandırmasını bir dosyaya kaydedin. Örneğin,
virtualhost-payload.json
. -
Bir sanal ana makineyi güncelle API'sini kullanarak, değişiklikle
virtualhost
yapılandırmasını aşağıdaki gibi güncelleyin:Herkese Açık Bulut kullanıcısı:
curl -v -X POST Content-Type: application/json https://api.enterprise.apigee.com/v1/organizations/{organization-name}/environments/{environment-name}/virtualhosts/{virtualhost-name} -d @virtualhost-payload.json -u {username}
Private Cloud kullanıcısı:
curl -v -X POST Content-Type: application/json http://{management_server_IP}:8080/v1/organizations/{organization-name}/environments/{environment-name}/virtualhosts/{virtualhost-name} -d @virtualhost-payload.json -u {username}
Desteklenen şifre paketleri
Apigee, aşağıdaki şifre paketlerini destekler:
ECDHE-RSA-AES256-GCM-SHA384 ECDHE-RSA-AES256-SHA384 ECDHE-RSA-AES256-SHA DHE-RSA-AES256-GCM-SHA384 DHE-RSA-AES256-SHA256 DHE-RSA-AES256-SHA DHE-RSA-CAMELLIA256-SHA AES256-GCM-SHA384 AES256-SHA256 AES256-SHA CAMELLIA256-SHA ECDHE-RSA-AES128-GCM-SHA256 ECDHE-RSA-AES128-SHA256 ECDHE-RSA-AES128-SHA DHE-RSA-AES128-GCM-SHA256 DHE-RSA-AES128-SHA256 DHE-RSA-AES128-SHA DHE-RSA-CAMELLIA128-SHA AES128-GCM-SHA256 AES128-SHA256 AES128-SHA CAMELLIA128-SHA
Sanal ana makinelerde şifre paketlerini doğrulama
Bu bölümde, şifre paketlerinin Edge API kullanılarak sanal ana makinede başarıyla değiştirildiğinin nasıl doğrulanacağı açıklanmaktadır.
virtualhost
yapılandırmasını almak için aşağıda gösterildiği gibi Get virtual sunucu API'sini yürütün:Herkese Açık Bulut kullanıcısı:
curl -v -X GET https://api.enterprise.apigee.com/v1/organizations/{organization-name}/environments/{environment-name}/virtualhosts/{virtualhost-name} -u {username}
Private Cloud kullanıcısı:
curl -v -X GET http://{management_server_IP}:8080/v1/organizations/{organization-name}/environments/{environment-name}/virtualhosts/{virtualhost-name} -u {username}
-
ssl_ciphers
mülkünün yeni değere ayarlandığını doğrulayın.Örnek güncellenmiş sanal ana makine yapılandırması:
{ "hostAliases": [ "api.myCompany,com", ], "interfaces": [], "listenOptions": [], "name": "secure", "port": "443", "retryOptions": [], "properties": { "property": [ { "name": "ssl_ciphers", "value": "DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256" } ] }, "sSLInfo": { "ciphers": [], "clientAuthEnabled": "false", "enabled": "true", "ignoreValidationErrors": false, "keyAlias": "myCompanyKeyAlias", "keyStore": "ref://myCompanyKeystoreref", "protocols": [] }, "useBuiltInFreeTrialCert": false }
Yukarıdaki örnekte,
ssl_ciphers
değerinin yeni değerle ayarlandığını unutmayın. -
ssl_ciphers
için eski değeri görmeye devam ediyorsanız Sanal ana makinelerde şifre paketlerini yapılandırma bölümünde açıklanan tüm adımları doğru şekilde uyguladığınızdan emin olun. Herhangi bir adımı atladıysanız tüm adımları doğru bir şekilde tekrar edin. - Hâlâ sanal ana makineye şifre paketleri ekleyemez veya güncelleyemezseniz Apigee Edge Destek Ekibi ile iletişime geçin.
Yönlendiricilerde şifre paketlerini yapılandırma
Bu bölümde, Yönlendiriciler üzerindeki şifre paketlerinin nasıl yapılandırılacağı açıklanmaktadır. Şifre paketleri, iki nokta üst üste işaretiyle ayrılmış kabul edilen şifre paketlerini temsil eden conf_load_balancing_load.balancing.driver.server.ssl.ciphers
Yönlendirici özelliği aracılığıyla yapılandırılabilir.
Yönlendiricilerde şifre paketlerini yapılandırmak için aşağıdakileri yapın:
-
Yönlendirici makinesinde aşağıdaki dosyayı bir düzenleyicide açın. Henüz yoksa oluşturun.
/opt/apigee/customer/application/router.properties
Örneğin, dosyayı
vi
ile açmak için aşağıdaki kodu girin:vi /opt/apigee/customer/application/router.properties
-
properties
dosyasına aşağıdaki biçimde bir satır ekleyin ve colon_separated_cipher_suites yerine bir değer girin:conf_load_balancing_load.balancing.driver.server.ssl.ciphers=colon_separated_cipher_suites
Örneğin, yalnızca
TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
veTLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
şifre paketlerine izin vermek istiyorsanız OpenSSL şifre kılavuzundaki karşılık gelen OpenSSL şifre dizelerini aşağıdaki tabloda gösterildiği gibi belirleyin:Şifre Paketi OpenSSL şifre dizesi TLS_DHE_RSA_WITH_AES_128_GCM_SHA256
DHE-RSA-AES128-GCM-SHA256
TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
ECDHE-RSA-AES128-GCM-SHA256
Ardından aşağıdaki satırı ekleyin:
conf_load_balancing_load.balancing.driver.server.ssl.ciphers=DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256
- Değişikliklerinizi kaydedin.
-
Aşağıda gösterildiği gibi, bu mülkler dosyasının
apigee
kullanıcısına ait olduğundan emin olun:chown apigee:apigee /opt/apigee/customer/application/router.properties
-
Yönlendiriciyi aşağıda gösterildiği gibi yeniden başlatın:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- Birden fazla Yönlendiriciniz varsa yukarıdaki adımları tüm Yönlendiricilerde tekrarlayın.
Yönlendiricilerde şifre paketini doğrulama
Bu bölümde, şifre paketlerinin Yönlendiricilerde başarıyla değiştirildiğini nasıl doğrulayacağınız açıklanmaktadır.
-
Yönlendiricide,
/opt/apigee
klasöründeki Apigee arama yardımcı programını kullanarakconf_load_balancing_load.balancing.driver.server.ssl.ciphers
özelliğini arayın ve aşağıdaki gibi yeni değerle ayarlanıp ayarlanmadığını kontrol edin:/opt/apigee/apigee-service/bin/apigee-service edge-router configure -search conf_load_balancing_load.balancing.driver.server.ssl.ciphers
-
Yeni şifre paketleri yönlendiricide başarılı bir şekilde ayarlanmışsa yukarıdaki komut yeni değerleri gösterir.
Aşağıda, şifre paketleri
DHE-RSA-AES128-GCM-SHA256
veECDHE-RSA-AES128-GCM-SHA256
olarak güncellendiğinde yukarıdakisearch
komutundan alınan örnek sonuç verilmiştir:Found key conf_load_balancing_load.balancing.driver.server.ssl.ciphers, with value, DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256, in /opt/apigee/customer//application/router.properties
Yukarıdaki örnek çıkışta,
conf_load_balancing_load.balancing.driver.server.ssl.ciphers
özelliğinin yeni şifre paketi değerleriyle ayarlandığına dikkat edin. Bu, şifre paketinin Yönlendiricide OpenSSL şifre dizelerineDHE-RSA-AES128-GCM-SHA25
veECDHE-RSA-AES128-GCM-SHA256
'a başarıyla güncellendiğini belirtir. -
conf_load_balancing_load.balancing.driver.server.ssl.ciphers
şifre paketlerinin eski değerlerini görmeye devam ediyorsanız Yönlendiricilerde şifre paketlerini yapılandırma bölümünde açıklanan tüm adımları doğru şekilde uyguladığınızdan emin olun. Herhangi bir adımı atladıysanız tüm adımları doğru bir şekilde tekrar edin. - Yönlendiricilerdeki Şifre paketlerini hâlâ değiştiremiyorsanız Apigee Edge Desteği ile iletişime geçin.