Management API için TLS'yi yapılandırma

Edge for Private Cloud s. 4.16.05

TLS, Management API için varsayılan olarak devre dışıdır ve Edge management API'ye şu üzerinden erişirsiniz: Yönetim Sunucusu düğümünün ve bağlantı noktası 8080'in IP adresini kullanarak HTTP sağlayın. Örneğin:

http://ms_IP:8080

Alternatif olarak, Management API'ye TLS erişimini yapılandırarak buna şu sayfadan erişebilirsiniz: şu formu kullanın:

https://ms_IP:8443

Bu örnekte, TLS erişimini 8443 numaralı bağlantı noktasını kullanacak şekilde yapılandıracaksınız. Ancak bu bağlantı noktası numarası Yönetim Sunucusu'nu diğer bağlantı noktası değerlerini kullanacak şekilde yapılandırabilirsiniz. Tek güvenlik duvarınızın belirtilen bağlantı noktası üzerinden trafiğe izin vermesidir.

Management API'niz ile gelen ve giden trafik şifrelemesini sağlamak için /<install_dir>/apigee/customer/application/management-server.properties dosyası olarak kaydedebilirsiniz.

TLS yapılandırmasına ek olarak, şifre doğrulamayı da kontrol edebilirsiniz (şifre uzunluğu ve güç) management-server.properties dosyasını değiştirin.

TLS bağlantı noktanızın açık olduğundan emin olun

Bu bölümdeki prosedür, TLS'yi Yönetim Sunucusu'nda bağlantı noktası 8443'ü kullanacak şekilde yapılandırır. Kullandığınız bağlantı noktası ne olursa olsun, Management'ta bağlantı noktasının açık olduğundan emin olmanız gerekir. Sunucu. Örneğin, dosyayı açmak için aşağıdaki komutu kullanabilirsiniz:

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose

TLS'yi yapılandırın

/<install_dir>/apigee/customer/application/management-server.properties dosyasını düzenleyin. yönetim API'nize gelen ve yönetim API'nizden gelen trafikte TLS kullanımını kontrol etmek için Bu dosya mevcut değilse oluşturacağım.

Management API'ye TLS erişimini yapılandırmak için aşağıdaki prosedürü kullanın:

  1. TLS sertifikanızı ve özel anahtarınızı içeren anahtar deposu JKS dosyasını oluşturun. Daha fazla Uç Açık için TLS/SSL'yi Yapılandırma başlıklı makaleyi inceleyin Tesis.
  2. Anahtar deposu JKS dosyasını Yönetim Sunucusu düğümündeki şunun gibi bir dizine kopyalayın: /tmp adresine gidin.
  3. JKS dosyasının sahipliğini Apigee olarak değiştirin:
    $ chown Apigee:Apigee keystore.jks

    . Burada keystore.jks, anahtar deposu dosyanızın adıdır.
  4. /<install_dir>/apigee/customer/application/management-server.properties dosyasını düzenleyin. kullanın. Böyle bir dosya yoksa dosyayı oluşturun:
    conf_webserver_ssl.enabled=true
    # Tüm iletişimlerin HTTPS üzerinden olması gerekiyorsa doğru değerine ayarlayın.
    . # Çoğu Edge dahili çağrısı HTTP kullandığından önerilmez.
    . conf_webserver_http.turn.off=false
    conf_webserver_ssl.port=8443
    conf_webserver_keystore.path=/tmp/keystore.jks
    # Karartılmış anahtar deposu şifresini aşağıya girin.
    . conf_webserver_keystore.password=OBF:obfuscatedPassword
    conf_webserver_cert.alias=apigee-devtest

    . Burada keyStore.jks anahtar deposu dosyanız ve obfuscatedPassword, kodu karartılmış anahtar deposu şifrenizdir. Edge On-Premises için TLS/SSL'yi Yapılandırma karartılmış şifre oluşturma hakkında bilgi edinin.
  5. Şu komutu kullanarak Uç Yönetim Sunucusu'nu yeniden başlatın:
    $ /<install_dir>/Apigee/Apigee-service/bin/potansiyel-service Edge-management-server yeniden başlat

Management API artık TLS üzerinden erişimi desteklemektedir.

Erişim için TLS kullanacak şekilde Edge kullanıcı arayüzünü yapılandırma Edge API

Yukarıdaki prosedürde, Apigee, conf_webserver_http.turn.off=false adresini kullanarak uçta kullanıcı arayüzü, HTTP üzerinden Edge API çağrıları yapmaya devam edebilir. Aşağıdaki prosedürü kullanarak Edge kullanıcı arayüzünü, bu çağrıları yalnızca HTTPS üzerinden yapacak şekilde yapılandırın:

  1. Management API'ye TLS erişimini yukarıda açıklandığı şekilde yapılandırın.
  2. TLS'nin yönetim API'si için çalıştığını onayladıktan sonra /<install_dir>/Apigee/customer/application/management-server.properties dosyasını şu özelliği ayarlayın:
    conf_webserver_http.turn.off=true
  3. Şu komutu kullanarak Uç Yönetim Sunucusu'nu yeniden başlatın:
    $ /<install_dir>/Apigee/Apigee-service/bin/potansiyel-service Edge-management-server yeniden başlat
  4. /<install_dir>/Apigee/customer/application/ui.properties dosyasını düzenleyin kullanın. Böyle bir dosya yoksa dosyayı oluşturun:
    conf_apigee_apigee.mgmt.baseurl=&quot;https://MS_IP:8443/v1&quot;

    . Burada MS_IP Yönetim Sunucusu'nun ve bağlantı noktasının IP adresidir. numarası, yukarıda conf_webserver_ssl.port tarafından belirtilen bağlantı noktasıdır.
  5. Yalnızca kendinden imzalı bir sertifika kullandıysanız yönetim API'sini kullanıyorsanız aşağıdaki özelliği ui.properties'e ekleyin:
    conf/application.conf+ws.acceptAnyCertificate=true

    Aksi takdirde, Edge kullanıcı arayüzü kendinden imzalı sertifikaları reddeder.
  6. Şu komutu kullanarak Edge kullanıcı arayüzünü yeniden başlatın:
    $ /<install_dir>/Apigee/Apigee-service/bin/gelir-hizmeti uç-ui yeniden başlatma

Yönetim Sunucusu için TLS özellikleri

Aşağıdaki tabloda, management-server.properties bölümünde ayarlayabileceğiniz tüm TLS/SSL özellikleri listelenmektedir:

Mülkler

Açıklama

conf_webserver_http.port=8080

Varsayılan değer 8080'dir.

conf_webserver_ssl.enabled=false

TLS/SSL'yi etkinleştirmek/devre dışı bırakmak için. TLS/SSL etkinleştirildiğinde (doğru) ssl.port'u da ayarlamanız gerekir. ve keystore.path özellikleri arasındadır.

conf_webserver_http.turn.off=true

https ile birlikte http'yi etkinleştirmek/devre dışı bırakmak için. Yalnızca HTTPS kullanmak istiyorsanız varsayılan değeri true olarak ayarlayın.

conf_webserver_ssl.port=8443

TLS/SSL bağlantı noktası.

TLS/SSL etkinleştirildiğinde gereklidir (conf_webserver_ssl.enabled=true).

conf_webserver_keystore.path=&lt;path&gt;

Anahtar deposu dosyanızın yolu.

TLS/SSL etkinleştirildiğinde gereklidir (conf_webserver_ssl.enabled=true).

conf_webserver_keystore.password=

Şu biçimde, karartılmış bir şifre kullanın: OBF:xxxxxxxxxx

conf_webserver_cert.alias= 'nı inceleyin.

İsteğe bağlı anahtar deposu sertifika takma adı

conf_webserver_keymanager.password=

Anahtar yöneticinizin şifresi varsa şifrenin kodu karartılmış bir sürümünü şu biçim: OBF:xxxxxxxxxx

conf_webserver_trust.all= <yanlış | true>

conf_webserver_trust.store.path=&lt;path&gt;

conf_webserver_trust.store.password=

Güven deponuzun ayarlarını yapılandırın. Tümünü kabul etmek isteyip istemediğinize karar verin TLS/SSL sertifikaları (örneğin, standart olmayan türleri kabul etmek için). Varsayılan değer false olarak ayarlayın. Yolu belirtin ekleyin ve kodu karartılmış olarak şu biçimde bir güven deposu şifresi girin: OBF:xxxxxxxxxx

conf_webserver_exclude.cipher.suites=&lt;CIPHER_SUITE_1 CIPHER_SUITE_2>

conf_webserver_include.cipher.suites=

Dahil etmek veya hariç tutmak istediğiniz şifre paketlerini belirtin. Örneğin, bir şifrede güvenlik açığı keşfederseniz, buradan hariç tutabilirsiniz. Birden çok şifreyi ayırın bir alanla birlikte.

Şifreleme paketleri ve kriptografi mimarisi hakkında bilgi edinmek için aşağıdaki konulara bakın:

http://docs.oracle.com/javase/8/docs/technotes/
guides/security/SunProviders.html#SunJSSE

conf_webserver_ssl.session.cache.size=

conf_webserver_ssl.session.timeout=

Şunları belirleyen tam sayılar:

  • Şu alan için oturum bilgilerini depolamak üzere kullanılan TLS/SSL oturum önbelleği boyutu (bayt cinsinden): kullanabilirsiniz.
  • TLS/SSL oturumlarının zaman aşımına uğramadan önce ne kadar süreceği ( milisaniye).