기본적으로 관리 API에는 TLS가 사용 중지되어 있으며 관리 서버 노드의 IP 주소와 포트 8080을 사용하여 HTTP를 통해 Edge 관리 API에 액세스합니다. 예를 들면 다음과 같습니다.
http://ms_IP:8080
또는 다음 형식으로 액세스할 수 있도록 관리 API에 대한 TLS 액세스를 구성할 수 있습니다.
https://ms_IP:8443
이 예에서는 포트 8443을 사용하도록 TLS 액세스를 구성합니다. 하지만 Edge에는 이 포트 번호가 필요하지 않습니다. 다른 포트 값을 사용하도록 관리 서버를 구성할 수 있습니다. 유일한 요구사항은 방화벽이 지정된 포트를 통한 트래픽을 허용하는 것입니다.
관리 API와 주고받는 트래픽 암호화를 보장하려면 /opt/apigee/customer/application/management-server.properties 파일에서 설정을 구성합니다.
TLS 구성 외에도 management-server.properties 파일을 수정하여 비밀번호 유효성 검사 (비밀번호 길이 및 안전성)를 제어할 수도 있습니다.
TLS 포트가 열려 있는지 확인합니다.
이 섹션의 절차에서는 관리 서버에서 포트 8443을 사용하도록 TLS를 구성합니다. 사용하는 포트에 관계없이 포트가 관리 서버에서 열려 있는지 확인해야 합니다. 예를 들어 다음 명령어를 사용하여 열 수 있습니다.
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose
TLS 구성
/opt/apigee/customer/application/management-server.properties 파일을 수정하여 Management API와 주고받는 트래픽에 TLS 사용을 제어합니다. 이 파일이 없으면 새로 만듭니다.
관리 API에 대한 TLS 액세스를 구성하려면 다음 안내를 따르세요.
- TLS 인증서 및 비공개 키가 포함된 키 저장소 JKS 파일을 생성합니다. 자세한 내용은 Edge On Premises를 위한 TLS/SSL 구성을 참조하세요.
- 키 저장소 JKS 파일을 관리 서버 노드의 디렉터리(예:
/opt/apigee/customer/application)에 복사합니다. - JKS 파일의 소유권을 'apigee' 사용자로 변경합니다.
chown apigee:apigee keystore.jks
여기서 keystore.jks은 키 저장소 파일의 이름입니다.
/opt/apigee/customer/application/management-server.properties를 수정하여 다음 속성을 설정합니다. 이 파일이 없으면 다음과 같이 만듭니다.conf_webserver_ssl.enabled=true # Leave conf_webserver_http.turn.off set to false # because many Edge internal calls use HTTP. conf_webserver_http.turn.off=false conf_webserver_ssl.port=8443 conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks # Enter the obfuscated keystore password below. conf_webserver_keystore.password=OBF:obfuscatedPassword
여기서 keyStore.jks는 키 저장소 파일이고 obfuscatedPassword는 난독화된 키 저장소 비밀번호입니다. 난독화된 비밀번호 생성에 대한 자세한 내용은 Edge On Premises를 위한 TLS/SSL 구성을 참조하세요.
-
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
명령어를 사용하여 에지 관리 서버를 다시 시작합니다.
이제 관리 API에서 TLS를 통한 액세스를 지원합니다.
TLS를 사용하여 Edge API에 액세스하도록 Edge UI 구성
위 절차에서 Apigee는 Edge UI가 HTTP를 통해 Edge API를 계속 호출할 수 있도록 conf_webserver_http.turn.off=false을 그대로 두는 것이 좋습니다.
HTTPS를 통해서만 이러한 호출을 하도록 Edge UI를 구성하려면 다음 절차를 따르세요.
- 위에 설명된 대로 관리 API에 대한 TLS 액세스를 구성합니다.
- 관리 API에 TLS가 작동하는지 확인한 후
/opt/apigee/customer/application/management-server.properties를 수정하여 다음 속성을 설정합니다.conf_webserver_http.turn.off=true
-
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
명령어를 실행하여 에지 관리 서버를 다시 시작합니다. /opt/apigee/customer/application/ui.properties을 수정하여 Edge UI의 다음 속성을 설정합니다.conf_apigee_apigee.mgmt.baseurl="https://FQ_domain_name:port/v1"
여기서 FQ_domain_name은 관리 서버의 인증서 주소에 따른 전체 도메인 이름이고 port은 위에서
conf_webserver_ssl.port에서 지정한 포트입니다.ui.properties가 없으면 만듭니다.
- 위의 관리 API에 대한 TLS 액세스를 구성할 때 자체 서명 인증서를 사용한 경우에만 (프로덕션 환경에서는 권장되지 않음) 다음 속성을
ui.properties에 추가합니다.conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true
그렇지 않으면 Edge UI가 자체 서명 인증서를 거부합니다.
-
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
명령어를 실행하여 Edge UI를 다시 시작합니다.
관리 서버의 TLS 속성
다음 표에는 management-server.properties에서 설정할 수 있는 모든 TLS/SSL 속성이 나와 있습니다.
| 속성 | 설명 |
|---|---|
|
|
기본값은 8080입니다. |
|
|
TLS/SSL을 사용 설정/사용 중지하려는 경우 TLS/SSL이 사용 설정된 경우 (true) ssl.port 및 keystore.path 속성도 설정해야 합니다. |
|
|
https와 함께 http를 사용 설정/사용 중지하려면 다음 단계를 따르세요. HTTPS만 사용하려면 기본값을 |
|
|
TLS/SSL 포트입니다. TLS/SSL이 사용 설정된 경우 필요합니다 ( |
|
|
키 저장소 파일의 경로입니다. TLS/SSL이 사용 설정된 경우 필요합니다 ( |
|
|
OBF:xxxxxxxxxx 형식의 난독화된 비밀번호를 사용하세요. |
|
|
키 저장소 인증서 별칭(선택사항) |
|
|
키 관리자에 비밀번호가 있는 경우 다음 형식으로 난독화된 비밀번호 버전을 입력합니다. OBF:xxxxxxxxxx |
|
|
트러스트 저장소의 설정을 구성합니다. 모든 TLS/SSL 인증서를 수락할지 여부를 결정합니다 (예: 비표준 유형 허용). 기본값은 OBF:xxxxxxxxxx |
|
|
포함하거나 제외할 암호화 모음을 나타냅니다. 예를 들어 암호화에서 취약점이 발견되면 여기에서 제외할 수 있습니다. 여러 암호화는 쉼표로 구분합니다. 블랙리스트를 통해 삭제한 모든 암호화는 허용 목록을 통해 포함된 모든 암호화보다 우선 적용됩니다. 참고: 기본적으로 차단 목록 또는 허용 목록을 지정하지 않으면 다음 Java 정규 표현식과 일치하는 암호화가 기본적으로 제외됩니다. ^.*_(MD5|SHA|SHA1)$ ^TLS_RSA_.*$ ^SSL_.*$ ^.*_NULL_.*$ ^.*_anon_.*$ 하지만 블랙리스트를 지정하면 이 필터가 재정의되며 모든 암호화를 개별적으로 블랙리스트에 추가해야 합니다. 암호화 묶음 및 암호화 아키텍처에 관한 자세한 내용은 JDK 8용 자바 암호화 아키텍처 Oracle 제공업체 문서를 참조하세요. |
|
|
다음을 결정하는 정수:
|