Management API の TLS の構成

Edge for Private Cloud v. 4.16.05

デフォルトでは、管理 API の TLS は無効になっており、Edge 管理 API には Management Server ノードの IP アドレスとポート 8080 を使用した HTTP。例:

http://ms_IP:8080

または、Management API への TLS アクセスを構成して、 次のフォームを使用します。

https://ms_IP:8443

この例では、ポート 8443 を使用するように TLS アクセスを構成します。ただし、このポート番号は 他のポート値を使用するように Management Server を構成できます。唯一の 要件は、指定したポートでトラフィックを許可することです。

Management API との間のトラフィックを暗号化するには、 /<install_dir>/apigee/customer/application/management-server.properties 表示されます。

TLS 構成に加えて、パスワード検証(パスワードの長さ)を制御することも management-server.properties ファイルを修正します。

TLS ポートが開いていることを確認する

このセクションの手順では、Management Server でポート 8443 を使用するように TLS を構成します。 使用するポートにかかわらず、Google Cloud 管理マシンでそのポートが できます。たとえば、次のコマンドを使用して開くことができます。

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose

TLS の構成

/<install_dir>/apigee/customer/application/management-server.properties を編集します。 ファイルを使用して、管理 API との間のトラフィックでの TLS の使用を制御します。このファイルが存在しない場合は、 作成します。

Management API への TLS アクセスを構成するには、次の操作を行います。

  1. TLS 証明書と秘密鍵を含むキーストア JKS ファイルを生成します。詳細 Edge On Edge 向けの TLS/SSL の構成 前提
  2. キーストア JKS ファイルを Management Server ノードのディレクトリ( /tmp
  3. JKS ファイルの所有権を apigee に変更します。
    $ chown apigee:apigee keystore.jks

    ここで、keystore.jks はキーストア ファイルの名前です。
  4. /<install_dir>/apigee/customer/application/management-server.properties を編集します。 次のプロパティを設定します。このファイルが存在しない場合は作成します。
    conf_webserver_ssl.enabled=true
    # すべての通信を HTTPS で行う必要がある場合は、true に設定し、
    # 多くの Edge 内部呼び出しで HTTP が使用されるため、推奨されません。
    conf_webserver_http.turn.off=false
    conf_webserver_ssl.port=8443
    conf_webserver_keystore.path=/tmp/keystore.jks
    # 難読化されたキーストアのパスワードを以下に入力してください。
    conf_webserver_keystore.password=OBF:obfuscatedPassword
    conf_webserver_cert.alias=apigee-devtest

    ここで、keyStore.jks はキーストア ファイル、 obfuscatedPassword は、難読化されたキーストアのパスワードです。詳細については、オンプレミスの Edge での TLS/SSL の構成をご覧ください。 難読化されたパスワードの生成に関する情報が記載されています。
  5. 次のコマンドを使用して Edge Management Server を再起動します。
    $ /<インストール ディレクトリ>/apigee/apigee-service/bin/apigee-service edge-management-server 再起動

管理 API で TLS 経由のアクセスがサポートされるようになりました。

TLS を使用してアクセスするように Edge UI を構成する Edge API

上記の手順では、conf_webserver_http.turn.off=false のままにして、 Edge UI では、引き続き HTTP 経由で Edge API を呼び出せます。次の操作を行います。 HTTPS でのみこれらの呼び出しを行うように Edge UI を構成します。

  1. 上記のように、管理 API への TLS アクセスを構成します。
  2. Management API で TLS が機能していることを確認したら、/<install_dir>/apigee/customer/application/management-server.properties を編集して、 次のプロパティを設定します。
    conf_webserver_http.turn.off=true
  3. 次のコマンドを使用して Edge Management Server を再起動します。
    $ /<インストール ディレクトリ>/apigee/apigee-service/bin/apigee-service edge-management-server 再起動
  4. /<install_dir>/apigee/customer/application/ui.properties を編集します。 Edge UI の次のプロパティを設定します。このファイルが存在しない場合は作成します。
    conf_apigee_apigee.mgmt.baseurl=&quot;https://MS_IP:8443/v1&quot;

    ここで、MS_IP は Management Server の IP アドレスとポートです。 number は、上記の conf_webserver_ssl.port で指定されたポートです。
  5. 組織への TLS アクセスを構成するときに自己署名証明書を使用した場合のみ 上記の管理 API の場合は、次のプロパティを ui.properties に追加します。
    conf/application.conf+ws.acceptAnyCertificate=true

    そうしないと、Edge UI で自己署名証明書が拒否されます。
  6. 次のコマンドを使用して Edge UI を再起動します。
    $ /<インストール ディレクトリ>/apigee/apigee-service/bin/apigee-service edge-ui restart

Management Server の TLS プロパティ

次の表に、management-server.properties で設定できるすべての TLS/SSL プロパティを示します。

プロパティ

説明

conf_webserver_http.port=8080

デフォルトは 8,080 です。

conf_webserver_ssl.enabled=false

TLS / SSL を有効または無効にする。TLS/SSL が有効(true)の場合、ssl.port も設定する必要があります。 keystore.path プロパティを置き換えます。

conf_webserver_http.turn.off=true

https に加えて HTTP を有効または無効にする。HTTPS のみを使用する場合は、 デフォルト値は true です。

conf_webserver_ssl.port=8443

TLS/SSL ポート。

TLS/SSL が有効(conf_webserver_ssl.enabled=true)の場合は必須です。

conf_webserver_keystore.path=&lt;path&gt;

キーストア ファイルのパス。

TLS/SSL が有効(conf_webserver_ssl.enabled=true)の場合は必須です。

conf_webserver_keystore.password=

OBF:xxxxxxxxxx という形式の難読化されたパスワードを使用してください

conf_webserver_cert.alias=

キーストア証明書エイリアス(省略可)

conf_webserver_keymanager.password=

キー マネージャーにパスワードがある場合は、難読化されたバージョンのパスワードを 形式: OBF:xxxxxxxxxx

conf_webserver_trust.all= <false |正>

conf_webserver_trust.store.path=&lt;path&gt;

conf_webserver_trust.store.password=

トラストストアの設定を構成します。すべてを承認するかどうかを決定します TLS/SSL 証明書(非標準証明書など)デフォルトは false。パスを入力する 難読化されたトラストストアのパスワードを次の形式で入力します。 OBF:xxxxxxxxxx

conf_webserver_exclude.cipher.suites=&lt;CIPHER_SUITE_1 CIPHER_SUITE_2>

conf_webserver_include.cipher.suites=

追加または除外する暗号スイートを指定します。たとえば 検出する場合は、ここで除外できます。複数の暗号を分離する できます。

暗号スイートと暗号アーキテクチャについては、以下をご覧ください。

<ph type="x-smartling-placeholder"></ph> http://docs.oracle.com/javase/8/docs/technotes/
guides/security/SunProviders.html#SunJSSE

conf_webserver_ssl.session.cache.size=

conf_webserver_ssl.session.timeout=

以下を決定する整数。

  • セッション情報を保存する TLS/SSL セッション キャッシュ サイズ(バイト単位) 構成する必要があります
  • TLS/SSL セッションがタイムアウトするまで継続できる時間( ミリ秒)。