Diese Seite wurde von der Cloud Translation API übersetzt.

TLS für die Verwaltungs-UI konfigurieren

Standardmäßig greifen Sie über HTTP auf die Edge-Benutzeroberfläche mithilfe der IP-Adresse der Verwaltungsserverknoten und Port 9000. Beispiel:

http://ms_IP:9000

Alternativ können Sie den TLS-Zugriff auf die Edge-Benutzeroberfläche so konfigurieren, dass Sie auf sie zugreifen können:

https://ms_IP:9443

In diesem Beispiel konfigurieren Sie den TLS-Zugriff für Port 9443. Diese Portnummer muss jedoch nicht für Edge erforderlich: Sie können den Verwaltungsserver so konfigurieren, dass andere Portwerte verwendet werden. Die einzige Voraussetzung ist, dass Ihre Firewall Traffic über den angegebenen Port zulässt.

Prüfen, ob der TLS-Port geöffnet ist

Mit dem Verfahren in diesem Abschnitt wird TLS so konfiguriert, dass der Port 9443 auf dem Verwaltungsserver verwendet wird. Unabhängig von dem verwendeten Port müssen Sie darauf achten, dass der Port auf der Verwaltungsseite geöffnet ist. Server. Sie können es beispielsweise mit dem folgenden Befehl öffnen:

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose

HINWEIS: In diesem Beispiel wird Port 9443 als TLS-Port verwendet, nicht der gängigere Port 443. Der Grund dafür ist, dass Ports unter 1024 normalerweise vom Betriebssystem geschützt sind und der Prozess, der darauf zugreift, Root-Zugriff benötigt. Die Edge-Benutzeroberfläche wird als „Apigee“ ausgeführt Nutzende und hat daher in der Regel keinen Zugriff auf Ports unter 1024.

Eine Alternative ist die Verwendung eines Load-Balancers mit der Edge-Benutzeroberfläche und die Beendigung von TLS beim Laden. an Port 443 an. Sie können dann entweder HTTP oder HTTPS zwischen dem Load Balancer und der Edge-Benutzeroberfläche verwenden.

Alternativ können Sie iptables verwenden, um Anfragen an Port 443 an Port 9443 weiterzuleiten. Beispiel:

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 9443

TLS konfigurieren

So konfigurieren Sie den TLS-Zugriff auf die Verwaltungsbenutzeroberfläche:

Erstellen Sie die JKS-Datei des Schlüsselspeichers mit Ihrer TLS-Zertifizierung und Ihrem privaten Schlüssel und kopieren Sie sie auf den Knoten des Verwaltungsservers. Weitere Informationen finden Sie unter TLS/SSL für Edge On-Premises konfigurieren.

Führen Sie den folgenden Befehl aus, um TLS zu konfigurieren:

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl

Geben Sie die HTTPS-Portnummer ein, z. B. 9443.
Geben Sie an, ob der HTTP-Zugriff auf die Verwaltungsoberfläche deaktiviert werden soll. Standardmäßig ist über HTTP auf Port 9000 auf die Verwaltungs-UI zuzugreifen.
Geben Sie den Schlüsselspeicheralgorithmus ein. Der Standardwert ist JKS.
Geben Sie den absoluten Pfad zur JKS-Datei des Keystores ein.
Das Script kopiert die Datei in das Verzeichnis /opt/apigee/customer/conf auf dem Management-Serverknoten und ändert die Inhaberschaft der Datei in „apigee“.
Geben Sie das Klartextpasswort für den Schlüsselspeicher ein.
Das Script startet dann die Edge-Benutzeroberfläche neu. Nach dem Neustart zeigt die Verwaltungsoberfläche unterstützt den Zugriff über TLS.
Diese Einstellungen findest du unter /opt/apigee/etc/edge-ui.d/SSL.sh.

TLS mit einer Konfigurationsdatei konfigurieren

Alternativ zur oben beschriebenen Vorgehensweise können Sie dem Befehl in Schritt 2 der Anleitung eine Konfigurationsdatei übergeben. Sie müssen diese Methode verwenden, Legen Sie optionale TLS-Attribute fest.

Wenn Sie eine Konfigurationsdatei verwenden möchten, erstellen Sie eine neue Datei und fügen Sie die folgenden Attribute hinzu:

HTTPSPORT=9443
DISABLE_HTTP=y
# Set type to PKCS12 if you are using a PKCS12 keystore
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

Speichern Sie die Datei in einem lokalen Verzeichnis unter einem beliebigen Namen. Konfigurieren Sie dann TLS mit dem folgenden Befehl:

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

Dabei ist configFile der vollständige Pfad zur gespeicherten Datei.

PKCS12-Schlüsselspeicher für FIPS-kompatible Betriebssysteme verwenden

Wenn Sie Edge for Private Cloud auf einem FIPS-kompatiblen Betriebssystem verwenden, sollten Sie einen PKCS12-Schlüsselspeicher verwenden. Sie können einen PKCS12-Schlüsselspeicher mit den standardmäßigen OpenSSL-Befehlen erstellen. Wenn Sie einen PKCS12-Schlüsselspeicher verwenden, setzen Sie in der Konfigurationsdatei KEY_ALGO=PKCS12.

Edge-Benutzeroberfläche konfigurieren, wenn TLS am Load Balancer beendet wird

Wenn Sie einen Load-Balancer haben, der Anfragen an die Edge-Benutzeroberfläche weiterleitet, können Sie beenden Sie die TLS-Verbindung auf dem Load-Balancer und lassen Sie den Load-Balancer dann weiterleiten. Anfragen an die Edge-Benutzeroberfläche über HTTP. Diese Konfiguration wird unterstützt, Sie müssen jedoch den Load Balancer und die Edge-Benutzeroberfläche entsprechend konfigurieren.

Die zusätzliche Konfiguration ist erforderlich, wenn die Edge-Benutzeroberfläche Benutzer-E-Mails sendet, um ihre Passwort, wenn der Nutzer erstellt wird oder wenn der Nutzer das Zurücksetzen eines verlorenen Passworts anfordert. Diese E-Mail enthält eine URL, über die der Nutzer ein Passwort festlegen oder zurücksetzen kann. Wenn die Edge-Benutzeroberfläche nicht für die Verwendung von TLS konfiguriert ist, wird für die URL in der generierten E-Mail standardmäßig das HTTP-Protokoll und nicht HTTPS verwendet. Sie müssen den Load-Balancer und die Edge-Benutzeroberfläche so konfigurieren, dass eine E-Mail-Adresse generiert wird, die HTTPS

Achten Sie bei der Konfiguration des Load Balancers darauf, dass er den folgenden Header für Anfragen festlegt, die an die Edge-Benutzeroberfläche weitergeleitet werden:

X-Forwarded-Proto: https

So konfigurieren Sie die Edge-Benutzeroberfläche:

Öffnen Sie die Datei /opt/apigee/customer/application/ui.properties in einem Editor. Wenn die Datei nicht vorhanden ist, erstellen Sie sie:
```
vi /opt/apigee/customer/application/ui.properties
```
Legen Sie das folgende Attribut in ui.properties fest:
```
conf/application.conf+trustxforwarded=true
```
Speichern Sie die Änderungen in ui.properties.

Starten Sie die Edge-Benutzeroberfläche neu:

/opt/apigee/apigee-service/bin/apigee-service edge-ui restart

Optionale TLS-Attribute festlegen

Die Edge-Benutzeroberfläche unterstützt optionale TLS-Konfigurationseigenschaften, mit denen Sie Folgendes festlegen können:

Standard-TLS-Protokoll
Liste der unterstützten TLS-Protokolle
Unterstützte TLS-Algorithmen
Unterstützte TLS-Chiffren

Diese optionalen Parameter sind nur verfügbar, wenn Sie die folgende Konfigurationseigenschaft in der Konfigurationsdatei festlegen, wie unter TLS mit einer Konfigurationsdatei konfigurieren beschrieben:

TLS_CONFIGURE=y

HINWEIS: Sie können diese optionalen Parameter nur in einer übergebenen Konfigurationsdatei festlegen. mit dem Befehl apigee-service edge-ui configure-ssl hinzu. Sie können diese Eigenschaften nicht über den interaktiven Befehl festlegen.

In der folgenden Tabelle werden diese Attribute beschrieben:

Attribut	Beschreibung
`TLS_PROTOCOL`	Definiert das Standard-TLS-Protokoll für die Edge-Benutzeroberfläche. Standardmäßig wird TLS 1.2 verwendet. Gültige Werte sind TLSv1.2, TLSv1.1 und TLSv1.
`TLS_ENABLED_PROTOCOL`	Definiert die Liste der aktivierten Protokolle als kommagetrenntes Array. Beispiel: TLS_ENABLED_PROTOCOL=[\"TLSv1.2\", \"TLSv1.1\", \"TLSv1\"] Das Anführungszeichen muss maskiert werden. Standardmäßig sind alle Protokolle aktiviert.
`TLS_DISABLED_ALGO`	Hiermit werden die deaktivierten Chiffren-Suites definiert. Außerdem kann damit verhindert werden, dass kleine Schlüsselgrößen für den TLS-Handshake verwendet werden. Es gibt keinen Standardwert. Die an `TLS_DISABLED_ALGO` übergebenen Werte entsprechen den zulässigen Werten für `jdk.tls.disabledAlgorithms`, wie hier beschrieben. Leerzeichen müssen jedoch mit einem Escape-Zeichen versehen werden, wenn Sie `TLS_DISABLED_ALGO` festlegen: TLS_DISABLED_ALGO=EC\ keySize\ <\ 160,RSA\ keySize\ <\ 2048
`TLS_ENABLED_CIPHERS`	Definiert die Liste der verfügbaren TLS-Chiffren als kommagetrenntes Array. Beispiel: TLS_ENABLED_CIPHERS=[\"TLS_DHE_RSA_WITH_AES_128_CBC_SHA\", \"TLS_DHE_DSS_WITH_AES_128_CBC_SHA\"] Das Anführungszeichen muss maskiert werden. Die Standardliste der aktivierten Chiffren ist: "TLS_DHE_RSA_WITH_AES_256_CBC_SHA", "TLS_DHE_RSA_WITH_AES_128_CBC_SHA", "TLS_DHE_DSS_WITH_AES_128_CBC_SHA", "TLS_RSA_WITH_AES_256_CBC_SHA", "TLS_RSA_WITH_AES_128_CBC_SHA", "SSL_RSA_WITH_RC4_128_SHA", "SSL_RSA_WITH_RC4_128_MD5", "TLS_EMPTY_RENEGOTIATION_INFO_SCSV" Liste der verfügbaren Chiffren aufrufen hier.

TLS-Protokolle deaktivieren

Zum Deaktivieren von TLS-Protokollen müssen Sie die Konfigurationsdatei bearbeiten, wie unter TLS mithilfe einer Konfigurationsdatei konfigurieren wie folgt:

Öffnen Sie die Konfigurationsdatei in einem Editor.
Wenn Sie ein einzelnes TLS-Protokoll deaktivieren möchten, z. B. TLSv1.0, fügen Sie der Konfigurationsdatei Folgendes hinzu:
```
TLS_CONFIGURE=y
TLS_DISABLED_ALGO="tlsv1"
```
So deaktivieren Sie mehrere Protokolle, z. B. TLSv1.0 und TLSv1.1: Fügen Sie der Konfigurationsdatei Folgendes hinzu:
```
TLS_CONFIGURE=y
TLS_DISABLED_ALGO="tlsv1, tlsv1.1"
```
Speichern Sie die Änderungen in der Konfigurationsdatei.
Führen Sie den folgenden Befehl aus, um TLS zu konfigurieren:
```
/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile
```
Dabei ist configFile der vollständige Pfad zur Konfigurationsdatei.

Starten Sie die Edge-Benutzeroberfläche neu:

/opt/apigee/apigee-service/bin/apigee-service edge-ui restart

Sichere Cookies verwenden

Apigee Edge for Private Cloud unterstützt das Hinzufügen des secure-Flags zum Set-Cookie-Header für Antworten von der Edge-Benutzeroberfläche. Wenn dieses Flag vorhanden ist, kann das Cookie nur über TLS-fähige Kanäle gesendet werden. Ist dies nicht der Fall, kann das Cookie über jeden Kanal gesendet werden, unabhängig davon, ob es sicher ist oder nicht.

Cookies ohne das secure-Flag können es einem Angreifer ermöglichen, das Cookie zu erfassen und wiederzuverwenden oder eine aktive Sitzung zu hacken. Daher sollten Sie diese Einstellung aktivieren.

So legen Sie das Flag secure für Edge-UI-Cookies fest:

Öffnen Sie die folgende Datei in einem Texteditor:
```
/opt/apigee/customer/application/ui.properties
```
Wenn die Datei nicht vorhanden ist, erstellen Sie sie.
Legen Sie in der Datei ui.properties die Eigenschaft conf_application_session.secure auf true fest, wie im folgenden Beispiel gezeigt:
```
conf_application_session.secure=true
```
Speichern Sie die Änderungen.
Starten Sie die Edge-Benutzeroberfläche mit dem Dienstprogramm apigee-serice wie im folgenden Beispiel neu: Shows:
```
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
```

Prüfen Sie mit einem Dienstprogramm wie curl die Antwortheader in der Edge-Benutzeroberfläche, um zu bestätigen, dass die Änderung funktioniert. Beispiel:

curl -i -v https://edge_UI_URL

Die Kopfzeile sollte eine Zeile enthalten, die etwa so aussieht:

Set-Cookie: secure; ...

Deaktivieren von TLS in der Edge-Benutzeroberfläche

Verwenden Sie den folgenden Befehl, um TLS in der Edge-Benutzeroberfläche zu deaktivieren:

/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl