TLS für die Management API konfigurieren

Edge for Private Cloud Version 4.16.05

Standardmäßig ist TLS für die Verwaltungs-API deaktiviert und Sie greifen über HTTP über die IP-Adresse des Verwaltungsserverknotens und Port 8080. Beispiel:

http://ms_IP:8080

Alternativ können Sie den TLS-Zugriff auf die Verwaltungs-API konfigurieren, sodass Sie darauf zugreifen können in das Formular:

https://ms_IP:8443

In diesem Beispiel konfigurieren Sie den TLS-Zugriff für die Verwendung von Port 8443. Diese Portnummer muss jedoch nicht für Edge erforderlich: Sie können den Verwaltungsserver so konfigurieren, dass andere Portwerte verwendet werden. Die einzige Voraussetzung ist, dass Ihre Firewall Traffic über den angegebenen Port zulässt.

Um die Verschlüsselung des Traffics zu und von Ihrer Verwaltungs-API sicherzustellen, konfigurieren Sie die Einstellungen in der /<install_dir>/apigee/customer/application/management-server.properties -Datei.

Neben der TLS-Konfiguration können Sie auch die Passwortvalidierung (Passwortlänge) und Stärke), indem Sie die Datei management-server.properties ändern.

Achten Sie darauf, dass der TLS-Port geöffnet ist

Mit dem Verfahren in diesem Abschnitt wird TLS für die Verwendung von Port 8443 auf dem Verwaltungsserver konfiguriert. Unabhängig von dem verwendeten Port müssen Sie darauf achten, dass der Port auf der Verwaltungsseite geöffnet ist. Server. Sie können sie beispielsweise mit dem folgenden Befehl öffnen:

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose

TLS konfigurieren

Bearbeiten Sie die Datei /<install_dir>/apigee/customer/application/management-server.properties , um die TLS-Nutzung bei Traffic zu und von Ihrer Verwaltungs-API zu steuern. Ist diese Datei nicht vorhanden, und erstellen.

So konfigurieren Sie den TLS-Zugriff auf die Verwaltungs-API:

  1. Generieren Sie die JKS-Datei des Schlüsselspeichers, die Ihre TLS-Zertifizierung und Ihren privaten Schlüssel enthält. Weitere Informationen Siehe Konfigurieren von TLS/SSL für Edge On Gebäude.
  2. Kopieren Sie die JKS-Datei des Schlüsselspeichers in ein Verzeichnis auf dem Knoten des Verwaltungsservers, z. B. /tmp verwenden.
  3. Ändern Sie die Eigentümerschaft der JKS-Datei in Apigee:
    $ chown apigee:apigee keystore.jks

    Dabei ist keystore.jks der Name Ihrer Schlüsselspeicherdatei.
  4. Bearbeiten Sie /<install_dir>/apigee/customer/application/management-server.properties um die folgenden Eigenschaften festzulegen. Sollte die Datei nicht vorhanden sein, erstellen Sie sie:
    conf_webserver_ssl.enabled=true
    # Legen Sie diesen Wert auf "true" fest, wenn die gesamte Kommunikation über HTTPS erfolgen soll.
    # Nicht empfohlen, da viele interne Edge-Aufrufe HTTP verwenden.
    conf_webserver_http.turn.off=false
    conf_webserver_ssl.port=8443
    conf_webserver_keystore.path=/tmp/keystore.jks
    # Geben Sie unten das verschleierte Schlüsselspeicher-Passwort ein.
    conf_webserver_keystore.password=OBF:obfuscatedPassword
    conf_webserver_cert.alias=apigee-devtest

    Dabei ist keyStore.jks Ihre Schlüsselspeicherdatei und obfuscatedPassword ist Ihr verschleiertes Schlüsselspeicherpasswort. Siehe Konfigurieren von TLS/SSL für Edge On-Premises für Informationen zum Generieren eines verschleierten Passworts.
  5. Starten Sie den Edge-Verwaltungsserver mit dem folgenden Befehl neu:
    $ /<install_dir>/apigee/apigee-service/bin/apigee-service Edge-management-server neu starten

Die Verwaltungs-API unterstützt jetzt den Zugriff über TLS.

Konfigurieren Sie die Edge-Benutzeroberfläche für den Zugriff mit TLS. die Edge-API

Apigee empfiehlt, im obigen Verfahren conf_webserver_http.turn.off=false beizubehalten, damit Die Edge-Benutzeroberfläche kann weiterhin Edge-API-Aufrufe über HTTP durchführen. Gehen Sie folgendermaßen vor, um Konfigurieren Sie die Edge-Benutzeroberfläche so, dass diese Aufrufe nur über HTTPS erfolgen:

  1. Konfigurieren Sie den TLS-Zugriff auf die Verwaltungs-API wie oben beschrieben.
  2. Nachdem Sie sich vergewissert haben, dass TLS für die Verwaltungs-API funktioniert, bearbeiten Sie /<install_dir>/apigee/customer/application/management-server.properties zu folgende Property festlegen:
    conf_webserver_http.turn.off=true
  3. Starten Sie den Edge-Verwaltungsserver mit dem folgenden Befehl neu:
    $ /<install_dir>/apigee/apigee-service/bin/apigee-service Edge-management-server neu starten
  4. Bearbeiten Sie /<install_dir>/apigee/customer/application/ui.properties. um die folgende Eigenschaft für die Edge-Benutzeroberfläche festzulegen. Sollte die Datei nicht vorhanden sein, erstellen Sie sie:
    conf_apigee_apigee.mgmt.baseurl=&quot;https://MS_IP:8443/v1&quot;

    Dabei ist MS_IP die IP-Adresse des Verwaltungsservers und des Ports number ist der oben von conf_Webserver_ssl.port angegebene Port.
  5. Nur, wenn Sie beim Konfigurieren des TLS-Zugriffs auf ein selbst signiertes Zertifikat verwendet haben Fügen Sie der obigen Verwaltungs-API die folgende Property zu ui.properties hinzu:
    conf/application.conf+ws.acceptAnyCertificate=true

    Andernfalls lehnt die Edge-Benutzeroberfläche ein selbst signiertes Zertifikat ab.
  6. Starten Sie die Edge-Benutzeroberfläche mit dem folgenden Befehl neu:
    $ /<install_dir>/apigee/apigee-service/bin/apigee-service Edge-ui neustart

TLS-Attribute für den Verwaltungsserver

In der folgenden Tabelle sind alle TLS/SSL-Eigenschaften aufgeführt, die Sie in management-server.properties festlegen können:

Properties

Beschreibung

conf_webserver_http.port=8080

Der Standardwert ist 8080.

conf_webserver_ssl.enabled=false

TLS/SSL aktivieren/deaktivieren. Wenn TLS/SSL aktiviert ist (true), müssen Sie auch ssl.port festlegen und "keystore.path".

conf_webserver_http.turn.off=true

Zum Aktivieren/Deaktivieren von HTTP und HTTPS Wenn Sie nur HTTPS verwenden möchten, lassen Sie das Feld Standardwert auf true.

conf_webserver_ssl.port=8443

Der TLS/SSL-Port.

Erforderlich, wenn TLS/SSL aktiviert ist (conf_webserver_ssl.enabled=true).

conf_webserver_keystore.path=&lt;path&gt;

Der Pfad zur Schlüsselspeicherdatei.

Erforderlich, wenn TLS/SSL aktiviert ist (conf_webserver_ssl.enabled=true).

conf_webserver_keystore.password=

Verwenden Sie ein verschleiertes Passwort im folgenden Format: OBF:xxxxxxxxxx.

conf_webserver_cert.alias=

Optionaler Schlüsselspeicher-Zertifikatsalias

conf_webserver_keymanager.password=

Wenn Ihr Schlüsselmanager ein Passwort hat, geben Sie eine verschleierte Version des Passworts ein dieses Format: OBF:xxxxxxxxxx

conf_webserver_trust.all= <falsch | wahr>

conf_webserver_trust.store.path=&lt;path&gt;

conf_webserver_trust.store.password=

Konfigurieren Sie die Einstellungen für Ihren Trust Store. Legen Sie fest, ob Sie alle annehmen möchten. TLS/SSL-Zertifikate, z. B. um nicht standardmäßige Typen zu akzeptieren. Die Standardeinstellung ist false angeben. Pfad angeben wenden Sie sich an Ihren Trust Store und geben Sie ein verschleiertes Passwort für den Trust Store im folgenden Format ein: OBF:xxxxxxxxxx

conf_webserver_exclude.cipher.suites=&lt;CIPHER_SUITE_1 CIPHER_SUITE_2>

conf_webserver_include.cipher.suites=

Geben Sie alle Chiffresammlungen an, die Sie ein- oder ausschließen möchten. Wenn Sie beispielsweise Sicherheitslücken in einer Chiffre entdecken, können Sie sie hier ausschließen. Mehrere Chiffren trennen mit einem Leerzeichen.

Informationen zu Cypher Suites und Kryptografiearchitektur finden Sie unter:

<ph type="x-smartling-placeholder"></ph> http://docs.oracle.com/javase/8/docs/technotes/
guides/security/SunProviders.html#SunJSSE

conf_webserver_ssl.session.cache.size=

conf_webserver_ssl.session.timeout=

Ganzzahlen, die Folgendes bestimmen:

  • Die Größe des TLS/SSL-Sitzungscaches (in Byte) zum Speichern von Sitzungsinformationen für für mehrere Kunden.
  • Die Zeitdauer von TLS/SSL-Sitzungen kann bis zu einer Zeitüberschreitung (in Millisekunden).