Sanal ana makineler ve yönlendiricilerde şifre paketlerini yapılandırma

Apigee Edge belgelerini görüntülüyorsunuz.
Apigee X belgelerine gidin.
bilgi

Bu belgede, Apigee Edge'deki sanal ana makineler ve yönlendiricilerde şifre paketlerinin nasıl yapılandırılacağı açıklanmaktadır.

Şifre paketi, TLS kullanan bir ağ bağlantısının güvenliğini sağlamaya yardımcı olan bir dizi algoritmadır. İstemci ve sunucu, mesaj alışverişi için kullanılacak şifre paketi üzerinde anlaşmalıdır. İstemci ve sunucu bir şifre paketi üzerinde anlaşamazsa istekler TLS El Sıkışma hatalarıyla başarısız olur.

Apigee'de şifre paketleri, istemci uygulamaları ve Yönlendiriciler arasında karşılıklı olarak kararlaştırılmalıdır.

Aşağıdaki nedenlerle Apigee Edge'deki şifre paketlerini değiştirmek isteyebilirsiniz:

  • İstemci uygulamaları ile Apigee Yönlendiricileri arasında şifre paketi uyuşmazlığını önlemek için
  • Güvenlik açıklarını düzeltmek veya gelişmiş güvenlik için daha güvenli şifre paketleri kullanmak

Şifre paketleri, sanal ana makineler veya Apigee Yönlendiriciler üzerinde yapılandırılabilir. Apigee'nin hem sanal ana makinede hem de Yönlendiricide yalnızca OpenSSL şifre dizeleri biçimindeki şifre paketlerini kabul ettiğini unutmayın. OpenSSL şifreleri yönetimi, ilgili spesifikasyondaki SSL veya TLS şifre paketlerini ve bunların OpenSSL eşdeğerlerini sağlar.

Örneğin:

Sanal ana makinedeki veya Apigee Yönlendiricisi'ndeki TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 şifre paketini yapılandırmak istiyorsanız OpenSSL şifreleri yönetiminden ilgili OpenSSL şifre dizesini belirlemeniz gerekir. TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 şifre paketi için OpenSSL şifre dizesi ECDHE-RSA-AES128-GCM-SHA256. şeklindedir. Bu nedenle, sanal ana makinede veya Apigee Yönlendiricide şifre paketini yapılandırırken ECDHE-RSA-AES128-GCM-SHA256 OpenSSL şifre dizesini kullanmanız gerekir.

Başlamadan önce

Sanal ana makinelerde şifre paketlerini yapılandırma

Bu bölümde, bir kuruluş ve ortamla ilişkili sanal ana makinelerde şifre paketlerinin nasıl yapılandırılacağı açıklanmaktadır. Şifre paketleri, sanal ana makine tarafından desteklenen şifre paketlerinin listesini temsil eden ssl_ciphers özelliği aracılığıyla yapılandırılabilir.

Apigee'nin desteklediği şifre paketlerinin listesi için Desteklenen şifre paketleri bölümüne bakın.

Sanal ana bilgisayarı aşağıdaki yöntemlerden birini kullanarak yapılandırabilirsiniz:

  • Edge kullanıcı arayüzünü kullanma
  • Edge API'yi kullanma

Edge kullanıcı arayüzünü kullanma

Uç kullanıcı arayüzünü kullanarak sanal ana bilgisayarı yapılandırmak için aşağıdakileri yapın:

  1. Edge kullanıcı arayüzüne giriş yapın.
  2. Admin > Virtual Hosts'a (Yönetici > Sanal Ana Makineler) gidin.
  3. Bu değişikliği yapmak istediğiniz belirli bir Ortam seçin.
  4. Şifre paketlerini yapılandırmak istediğiniz sanal ana bilgisayarı seçin.
  5. Özellikler bölümünde, Ciphers değerini iki nokta işaretiyle ayrılmış OpenSSL şifre dizeleri listesiyle güncelleyin.

    Örneğin, yalnızca TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 ve TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 şifre paketlerine izin vermek istiyorsanız OpenSSL şifre kılavuzundaki karşılık gelen OpenSSL şifre dizelerini aşağıdaki tabloda gösterildiği gibi belirleyin:

    Şifre Paketi OpenSSL şifre dizesi
    TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 DHE-RSA-AES128-GCM-SHA256
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256

    OpenSSL şifre dizesini iki nokta ile ayrılmış şekilde aşağıdaki şekilde ekleyin:

    Şifreler örneği

  6. Değişikliği kaydedin.

Edge API'yi kullanma

Edge API'yi kullanarak bir sanal ana makinedeki şifre paketlerini yapılandırmak için aşağıdakileri yapın:

  1. Get sanal ana makine API'sini kullanarak aşağıda gösterildiği gibi geçerli sanal ana makine yapılandırmasını alın:

    Herkese Açık Bulut kullanıcısı:

    curl -v -X GET https://api.enterprise.apigee.com/v1/organizations/{organization-name}/environments/{environment-name}/virtualhosts/{virtualhost-name} -u {username}
    

    Private Cloud kullanıcısı:

    curl -v -X GET http://{management_server_IP}:8080/v1/organizations/{organization-name}/environments/{environment-name}/virtualhosts/{virtualhost-name} -u {username}
    
    {
      "hostAliases": [
        "api.myCompany,com"
      ],
      "interfaces": [],
      "listenOptions": [],
      "name": "secure",
      "port": "443",
      "retryOptions": [],
      "sSLInfo": {
        "ciphers": [],
        "clientAuthEnabled": "false",
        "enabled": "true",
        "ignoreValidationErrors": false,
        "keyAlias": "myCompanyKeyAlias",
        "keyStore": "ref://myCompanyKeystoreref",
        "protocols": []
      },
      "useBuiltInFreeTrialCert": false
    }
    
  2. ssl_ciphers özelliğini, uygun OpenSSL şifre dizeleriyle properties altındaki mevcut sanal ana makine yapılandırması JSON yüküne ekleyin.

    Örneğin, yalnızca TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 ve TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 şifre paketlerine izin vermek istiyorsanız OpenSSL şifre kılavuzundaki karşılık gelen OpenSSL şifre dizelerini aşağıdaki tabloda gösterildiği gibi belirleyin:

    Şifre Paketi OpenSSL şifre dizesi
    TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 DHE-RSA-AES128-GCM-SHA256
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256

    Aşağıdaki properties kod bloğunu ekleyin:

    Örnek güncellenmiş sanal ana makine yapılandırması:

    {
      "hostAliases": [
        "api.myCompany,com",
      ],
      "interfaces": [],
      "listenOptions": [],
      "name": "secure",
      "port": "443",
      "retryOptions": [],
      "properties": {
        "property": [
          {
            "name": "ssl_ciphers",
            "value": "DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256"
          }
        ]
      },
      "sSLInfo": {
        "ciphers": [],
        "clientAuthEnabled": "false",
        "enabled": "true",
        "ignoreValidationErrors": false,
        "keyAlias": "myCompanyKeyAlias",
        "keyStore": "ref://myCompanyKeystoreref",
        "protocols": []
      },
      "useBuiltInFreeTrialCert": false
    }
    
  3. Güncellenen sanal ana makine yapılandırmasını bir dosyaya kaydedin. Örneğin, virtualhost-payload.json.
  4. Bir sanal ana makineyi güncelle API'sini kullanarak, değişiklikle virtualhost yapılandırmasını aşağıdaki gibi güncelleyin:

    Herkese Açık Bulut kullanıcısı:

    curl -v -X POST Content-Type: application/json
    https://api.enterprise.apigee.com/v1/organizations/{organization-name}/environments/{environment-name}/virtualhosts/{virtualhost-name} -d @virtualhost-payload.json -u {username}
    

    Private Cloud kullanıcısı:

    curl -v -X POST Content-Type: application/json
    http://{management_server_IP}:8080/v1/organizations/{organization-name}/environments/{environment-name}/virtualhosts/{virtualhost-name} -d @virtualhost-payload.json -u {username}
    

Desteklenen şifre paketleri

Apigee, aşağıdaki şifre paketlerini destekler:

ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-SHA384
ECDHE-RSA-AES256-SHA
DHE-RSA-AES256-GCM-SHA384
DHE-RSA-AES256-SHA256
DHE-RSA-AES256-SHA
DHE-RSA-CAMELLIA256-SHA
AES256-GCM-SHA384
AES256-SHA256  
AES256-SHA
CAMELLIA256-SHA
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
DHE-RSA-AES128-GCM-SHA256
DHE-RSA-AES128-SHA256
DHE-RSA-AES128-SHA
DHE-RSA-CAMELLIA128-SHA
AES128-GCM-SHA256
AES128-SHA256   
AES128-SHA 
CAMELLIA128-SHA

Sanal ana makinelerde şifre paketlerini doğrulama

Bu bölümde, şifre paketlerinin Edge API kullanılarak sanal ana makinede başarıyla değiştirildiğinin nasıl doğrulanacağı açıklanmaktadır.

  1. virtualhost yapılandırmasını almak için aşağıda gösterildiği gibi Get virtual sunucu API'sini yürütün:

    Herkese Açık Bulut kullanıcısı:

    curl -v -X GET https://api.enterprise.apigee.com/v1/organizations/{organization-name}/environments/{environment-name}/virtualhosts/{virtualhost-name} -u {username}
    

    Private Cloud kullanıcısı:

    curl -v -X GET http://{management_server_IP}:8080/v1/organizations/{organization-name}/environments/{environment-name}/virtualhosts/{virtualhost-name} -u {username}
    
  2. ssl_ciphers mülkünün yeni değere ayarlandığını doğrulayın.

    Örnek güncellenmiş sanal ana makine yapılandırması:

    {
      "hostAliases": [
        "api.myCompany,com",
      ],
      "interfaces": [],
      "listenOptions": [],
      "name": "secure",
      "port": "443",
      "retryOptions": [],
      "properties": {
        "property": [
          {
            "name": "ssl_ciphers",
            "value": "DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256"
          }
        ]
      },
      "sSLInfo": {
        "ciphers": [],
        "clientAuthEnabled": "false",
        "enabled": "true",
        "ignoreValidationErrors": false,
        "keyAlias": "myCompanyKeyAlias",
        "keyStore": "ref://myCompanyKeystoreref",
        "protocols": []
      },
      "useBuiltInFreeTrialCert": false
    }
    

    Yukarıdaki örnekte, ssl_ciphers değerinin yeni değerle ayarlandığını unutmayın.

  3. ssl_ciphers için eski değeri görmeye devam ediyorsanız Sanal ana makinelerde şifre paketlerini yapılandırma bölümünde açıklanan tüm adımları doğru şekilde uyguladığınızdan emin olun. Herhangi bir adımı atladıysanız tüm adımları doğru bir şekilde tekrar edin.
  4. Hâlâ sanal ana makineye şifre paketleri ekleyemez veya güncelleyemezseniz Apigee Edge Destek Ekibi ile iletişime geçin.

Yönlendiricilerde şifre paketlerini yapılandırma

Bu bölümde, Yönlendiriciler üzerindeki şifre paketlerinin nasıl yapılandırılacağı açıklanmaktadır. Şifre paketleri, iki nokta üst üste işaretiyle ayrılmış kabul edilen şifre paketlerini temsil eden conf_load_balancing_load.balancing.driver.server.ssl.ciphers Yönlendirici özelliği aracılığıyla yapılandırılabilir.

Yönlendiricilerde şifre paketlerini yapılandırmak için aşağıdakileri yapın:

  1. Yönlendirici makinesinde aşağıdaki dosyayı bir düzenleyicide açın. Henüz yoksa oluşturun.

    /opt/apigee/customer/application/router.properties
    

    Örneğin, dosyayı vi ile açmak için aşağıdaki kodu girin:

    vi /opt/apigee/customer/application/router.properties
    

  2. properties dosyasına aşağıdaki biçimde bir satır ekleyin ve colon_separated_cipher_suites yerine bir değer girin:
    conf_load_balancing_load.balancing.driver.server.ssl.ciphers=colon_separated_cipher_suites
    

    Örneğin, yalnızca TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 ve TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 şifre paketlerine izin vermek istiyorsanız OpenSSL şifre kılavuzundaki karşılık gelen OpenSSL şifre dizelerini aşağıdaki tabloda gösterildiği gibi belirleyin:

    Şifre Paketi OpenSSL şifre dizesi
    TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 DHE-RSA-AES128-GCM-SHA256
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256

    Ardından aşağıdaki satırı ekleyin:

    conf_load_balancing_load.balancing.driver.server.ssl.ciphers=DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256
    
  3. Değişikliklerinizi kaydedin.
  4. Aşağıda gösterildiği gibi, bu mülkler dosyasının apigee kullanıcısına ait olduğundan emin olun:
    chown apigee:apigee /opt/apigee/customer/application/router.properties
    
  5. Yönlendiriciyi aşağıda gösterildiği gibi yeniden başlatın:
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
    
  6. Birden fazla Yönlendiriciniz varsa yukarıdaki adımları tüm Yönlendiricilerde tekrarlayın.

Yönlendiricilerde şifre paketini doğrulama

Bu bölümde, şifre paketlerinin Yönlendiricilerde başarıyla değiştirildiğini nasıl doğrulayacağınız açıklanmaktadır.

  1. Yönlendiricide, /opt/apigee klasöründeki Apigee arama yardımcı programını kullanarak conf_load_balancing_load.balancing.driver.server.ssl.ciphers özelliğini arayın ve aşağıdaki gibi yeni değerle ayarlanıp ayarlanmadığını kontrol edin:
    /opt/apigee/apigee-service/bin/apigee-service edge-router configure -search conf_load_balancing_load.balancing.driver.server.ssl.ciphers
    
  2. Yeni şifre paketleri yönlendiricide başarılı bir şekilde ayarlanmışsa yukarıdaki komut yeni değerleri gösterir.

    Aşağıda, şifre paketleri DHE-RSA-AES128-GCM-SHA256 ve ECDHE-RSA-AES128-GCM-SHA256 olarak güncellendiğinde yukarıdaki search komutundan alınan örnek sonuç verilmiştir:

    Found key conf_load_balancing_load.balancing.driver.server.ssl.ciphers, with value, DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256, in /opt/apigee/customer//application/router.properties
    

    Yukarıdaki örnek çıkışta, conf_load_balancing_load.balancing.driver.server.ssl.ciphers özelliğinin yeni şifre paketi değerleriyle ayarlandığına dikkat edin. Bu, şifre paketinin Yönlendiricide OpenSSL şifre dizelerine DHE-RSA-AES128-GCM-SHA25ve ECDHE-RSA-AES128-GCM-SHA256'a başarıyla güncellendiğini belirtir.

  3. conf_load_balancing_load.balancing.driver.server.ssl.ciphers şifre paketlerinin eski değerlerini görmeye devam ediyorsanız Yönlendiricilerde şifre paketlerini yapılandırma bölümünde açıklanan tüm adımları doğru şekilde uyguladığınızdan emin olun. Herhangi bir adımı atladıysanız tüm adımları doğru bir şekilde tekrar edin.
  4. Yönlendiricilerdeki Şifre paketlerini hâlâ değiştiremiyorsanız Apigee Edge Desteği ile iletişime geçin.