Edge per Private Cloud v. 4.16.05
Per impostazione predefinita, il protocollo TLS è disabilitato per l'API di gestione e si accede all'API di gestione perimetrale tramite HTTP utilizzando l'indirizzo IP del nodo del server di gestione e la porta 8080. Ad esempio:
http://ms_IP:8080
In alternativa, puoi configurare l'accesso TLS all'API di gestione in modo da potervi accedere in il modulo:
https://ms_IP:8443
In questo esempio, configuri l'accesso TLS in modo che utilizzi la porta 8443. Tuttavia, quel numero di porta non è richiesto da Edge: puoi configurare il server di gestione in modo che utilizzi altri valori di porta. L'unico è che il firewall consenta il traffico sulla porta specificata.
Per garantire la crittografia del traffico da e verso l'API di gestione, configura le impostazioni nella /<install_dir>/apigee/customer/application/management-server.properties .
Oltre alla configurazione TLS, puoi controllare la convalida delle password (lunghezza della password e la forza) modificando il file management-server.properties.
Assicurati che la porta TLS sia aperta
La procedura descritta in questa sezione configura TLS in modo che utilizzi la porta 8443 sul server di gestione. Indipendentemente dalla porta che utilizzi, devi assicurarti che sia aperta sul server di gestione Server. Ad esempio, puoi utilizzare il seguente comando per aprirlo:
$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose
Configura TLS
Modifica /<install_dir>/apigee/customer/application/management-server.properties per controllare l'utilizzo di TLS sul traffico da e verso l'API di gestione. Se il file non esiste, a crearlo.
Utilizza la seguente procedura per configurare l'accesso TLS all'API di gestione:
- Genera il file JKS dell'archivio chiavi contenente la certificazione TLS e la chiave privata. Per ulteriori informazioni consulta Configurazione di TLS/SSL per Edge On Locali.
- Copia il file JKS dell'archivio chiavi in una directory sul nodo del server di gestione, ad esempio /tmp.
- Cambia la proprietà del file JKS in apigee:
$ chown apigee:apigee keystore.jks
dove keystore.jks è il nome del file del tuo archivio chiavi. - Modifica /<install_dir>/apigee/customer/application/management-server.properties
per impostare le seguenti proprietà. Se il file non esiste, crealo:
conf_webserver_ssl.enabled=true
# Imposta il valore accanto a true se tutte le comunicazioni devono essere tramite HTTPS.
# Non consigliato perché molte chiamate interne Edge utilizzano HTTP.
conf_webserver_http.turn.off=false
conf_webserver_ssl.port=8443
conf_webserver_keystore.path=/tmp/keystore.jks
# Inserisci la password dell'archivio chiavi offuscata di seguito.
conf_webserver_keystore.password=OBF:obfuscatedPassword
conf_webserver_cert.alias=apigee-devtest
dove keyStore.jks è il file dell'archivio chiavi e obfuscatedPassword è la password dell'archivio chiavi offuscata. Vedi Configurazione di TLS/SSL per Edge on-premise per le informazioni sulla generazione di una password offuscata. - Riavvia Edge Management Server utilizzando il comando:
$ /<install_dir>/apigee/apigee-service/bin/apigee-service edge-management-server riavvia
L'API di gestione ora supporta l'accesso tramite TLS.
Configura la UI Edge per l'utilizzo di TLS per l'accesso l'API Edge
Nella procedura precedente, Apigee ha consigliato di lasciare conf_webserver_http.turn.off=false in modo che la UI Edge può continuare a effettuare chiamate API Edge tramite HTTP. Utilizza la seguente procedura per configurare l'interfaccia utente Edge per effettuare queste chiamate solo tramite HTTPS:
- Configura l'accesso TLS all'API di gestione come descritto sopra.
- Dopo aver confermato che TLS funziona per l'API di gestione, modifica /<install_dir>/apigee/customer/application/management-server.properties in
imposta la seguente proprietà:
conf_webserver_http.turn.off=true - Riavvia Edge Management Server utilizzando il comando:
$ /<install_dir>/apigee/apigee-service/bin/apigee-service edge-management-server riavvia - Modifica /<install_dir>/apigee/customer/application/ui.properties
per impostare la seguente proprietà
per la UI Edge. Se il file non esiste, crealo:
conf_apigee_apigee.mgmt.baseurl="https://MS_IP:8443/v1"
dove MS_IP è l'indirizzo IP del server di gestione e la porta è la porta specificata sopra da conf_webserver_ssl.port. - Solo se hai utilizzato un certificato autofirmato durante la configurazione dell'accesso TLS per
L'API di gestione sopra riportata, aggiungi la seguente proprietà a ui.properties:
conf/application.conf+ws.acceptAnyCertificate=true
Altrimenti, l'interfaccia utente Edge rifiuterà un certificato autofirmato. - Riavvia la UI Edge utilizzando il comando:
$ /<install_dir>/apigee/apigee-service/bin/apigee-service edge-ui riavvio
Proprietà TLS per il server di gestione
La seguente tabella elenca tutte le proprietà TLS/SSL che puoi impostare in management-server.properties:
Proprietà |
Descrizione |
---|---|
conf_webserver_http.port=8080 |
Il valore predefinito è 8080. |
conf_webserver_ssl.enabled=false |
Per attivare/disattivare TLS/SSL. Se TLS/SSL è abilitato (true), devi impostare anche ssl.port e le proprietà keystore.path. |
conf_webserver_http.turn.off=true |
Per attivare/disattivare sia http sia https. Se vuoi utilizzare solo HTTPS, lascia la il valore predefinito su true. |
conf_webserver_ssl.port=8443 |
La porta TLS/SSL. Richiesto quando TLS/SSL è abilitato (conf_webserver_ssl.enabled=true). |
conf_webserver_keystore.path=<path> |
Il percorso del file dell'archivio chiavi. Richiesto quando TLS/SSL è abilitato (conf_webserver_ssl.enabled=true). |
conf_webserver_keystore.password= |
Utilizza una password offuscata nel seguente formato: OBF:xxxxxxxxxx |
conf_webserver_cert.alias= . |
Alias certificato archivio chiavi facoltativo |
conf_webserver_keymanager.password= |
Se il gestore chiavi ha una password, inserisci una versione offuscata della password in nel seguente formato: OBF:xxxxxxxxxx |
conf_webserver_trust.all= <false | vero> conf_webserver_trust.store.path=<path> conf_webserver_trust.store.password= |
Configura le impostazioni per il tuo archivio attendibilità. Scegli se accettare tutti Certificati TLS/SSL (ad esempio per accettare tipi non standard). L'impostazione predefinita è false. Specifica il percorso al tuo archivio attendibilità e inserisci una password offuscata dell'archivio attendibilità in questo formato: OBF:xxxxxxxxxx |
conf_webserver_exclude.cipher.suites=<CIPHER_SUITE_1 CIPHER_SUITE_2> conf_webserver_include.cipher.suites= |
Indica le suite di crittografia che vuoi includere o escludere. Ad esempio, se le vulnerabilità in una crittografia, puoi escluderle qui. Separa più crittografie con uno spazio. Per informazioni sulle suite di crittografia e sull'architettura di crittografia, consulta:
http://docs.oracle.com/javase/8/docs/technotes/ |
conf_webserver_ssl.session.cache.size= conf_webserver_ssl.session.timeout= |
Numeri interi che determinano:
|