Edge para la nube privada v. 4.16.09
De forma predeterminada, TLS está inhabilitado para la API de administración y accedes a la API de administración de Edge a través de HTTP con la dirección IP del nodo del servidor de administración y el puerto 8080. Por ejemplo:
http://ms_IP:8080
Como alternativa, puedes configurar el acceso de TLS a la API de administración para poder acceder a ella de la siguiente manera:
https://ms_IP:8443
En este ejemplo, configuras el acceso a TLS para usar el puerto 8443. Sin embargo, Edge no requiere ese número de puerto; puedes configurar Management Server para que use otros valores de puerto. El único requisito es que el firewall permita el tráfico a través del puerto especificado.
Para garantizar la encriptación del tráfico hacia y desde tu API de administración, configura la configuración en el archivo /opt/apigee/customer/application/management-server.properties.
Además de la configuración de TLS, también puedes controlar la validación de contraseñas (longitud y seguridad) si modificas el archivo management-server.properties.
Asegúrate de que el puerto TLS esté abierto
El procedimiento de esta sección configura TLS para que use el puerto 8443 en el servidor de administración. Independientemente del puerto que uses, debes asegurarte de que esté abierto en el servidor de administración. Por ejemplo, puedes usar el siguiente comando para abrirlo:
$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose
Configura TLS
Edita el archivo /opt/apigee/customer/application/management-server.properties para controlar el uso de TLS en el tráfico hacia y desde tu API de administración. Si este archivo no existe, créalo.
Usa el siguiente procedimiento para configurar el acceso de TLS a la API de administración:
- Genera el archivo JKS del almacén de claves que contiene tu certificación TLS y clave privada. Si quieres obtener más información, consulta Configura TLS/SSL para Edge On-Local.
- Copia el archivo JKS del almacén de claves en un directorio del nodo del servidor de administración, como /opt/apigee/customer/application.
- Cambia la propiedad del archivo JKS a apigee:
$ chown apigee:apigee keystore.jks
donde keystore.jks es el nombre de tu archivo de almacén de claves. - Edita /opt/apigee/customer/application/management-server.properties para configurar las siguientes propiedades. Si ese archivo no existe, créalo:
conf_webserver_ssl.enabled=true
# Establece junto a verdadero si todas las comunicaciones deben realizarse a través de HTTPS.
# No se recomienda hasta que pruebes TLS/HTTPS para la API de Edge y
# configures la IU de Edge de modo que use TLS para acceder a la API de Edge, como se muestra a continuación.
conf_webserver_http.turn.off=false
conf_webserver_ssl.port=8443
conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks
# Ingresa la contraseña ofuscada del almacén de claves a continuación.
conf_webserver_keystore.password=OBF:obfuscatedPassword
conf_webserver_cert.alias=apigee-devtest
donde keyStore.jks es tu archivo de almacén de claves y obfuscatedPassword es la contraseña ofuscada del almacén de claves. Consulta Configura TLS/SSL para Edge On Premises si necesitas información para generar una contraseña ofuscada. - Reinicia el servidor de administración de Edge con el siguiente comando:
$ /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
La API de Management ahora admite el acceso a través de TLS.
Después de asegurarte de que TLS funciona de forma correcta, incluso cuando te aseguras de que funciona para la IU de Edge, puedes inhabilitar el acceso HTTP a la API de administración, como se describe en la siguiente sección.
Configurar la IU de Edge para que use TLS y acceda a la API de Edge
En el procedimiento anterior, Apigee recomendó dejar conf_webserver_http.turn.off=false para que la IU de Edge pueda seguir realizando llamadas a la API de Edge a través de HTTP.
Usa el siguiente procedimiento para configurar la IU de Edge y realizar estas llamadas solo a través de HTTPS:
- Configura el acceso de TLS a la API de administración como se describió anteriormente.
- Después de confirmar que TLS funciona para la API de administración, edita /opt/apigee/customer/application/management-server.properties para establecer la siguiente propiedad:
conf_webserver_http.turn.off=true - Reinicia el servidor de administración de Edge con el siguiente comando:
$ /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart - Edita /opt/apigee/customer/application/ui.properties para establecer la siguiente propiedad para la IU de Edge. Si ese archivo no existe, créalo:
conf_apigee_apigee.mgmt.baseurl="https://FQDN:8443/v1"
donde FQDN es el nombre de dominio completo, según tu dirección del certificado del servidor de administración, y el número de puerto es el que especificó antes conf_webserver_ssl.port. - Solo si usaste un certificado autofirmado (no recomendado en un entorno de producción) cuando configuraste el acceso TLS a la API de administración anterior, agrega la siguiente propiedad a ui.properties:
conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true
De lo contrario, la IU de Edge rechazará un certificado autofirmado. - Reinicia la IU de Edge con el comando:
$ /opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Propiedades de TLS para el servidor de administración
En la siguiente tabla, se enumeran todas las propiedades de TLS/SSL que puedes configurar en management-server.properties:
|
Propiedades |
Descripción |
|---|---|
|
conf_webserver_http.port=8080 |
El valor predeterminado es 8080. |
|
conf_webserver_ssl.enabled=false |
Para habilitar o inhabilitar TLS/SSL. Con TLS/SSL habilitado (verdadero), también debes configurar las propiedades ssl.port y keystore.path. |
|
conf_webserver_http.turn.off=true |
Para habilitar o inhabilitar http junto con https. Si solo deseas usar HTTPS, deja el valor predeterminado en true. |
|
conf_webserver_ssl.port=8443 |
El puerto TLS/SSL Es obligatorio cuando TLS/SSL está habilitado (conf_webserver_ssl.enabled=true). |
|
conf_webserver_keystore.path=<path> |
Es la ruta de acceso al archivo de almacén de claves. Es obligatorio cuando TLS/SSL está habilitado (conf_webserver_ssl.enabled=true). |
|
conf_webserver_keystore.password= |
Usa una contraseña ofuscada con este formato: OBF:xxxxxxxxxx |
|
conf_webserver_cert.alias= |
Alias de certificado del almacén de claves opcional |
|
conf_webserver_keymanager.password= |
Si tu administrador de claves tiene una contraseña, ingresa una versión ofuscada de la contraseña con este formato: OBF:xxxxxxxxxx |
|
conf_webserver_trust.all= <false | true> conf_webserver_trust.store.path=<path> conf_webserver_trust.store.password= |
Configura la configuración de tu almacén de confianza. Determina si deseas aceptar todos los certificados TLS/SSL (por ejemplo, para aceptar tipos no estándar). El valor predeterminado es false. Proporciona la ruta de acceso a tu almacén de confianza y, luego, ingresa una contraseña ofuscada del almacén de confianza con este formato: OBF:xxxxxxxxxx |
|
conf_webserver_Exclude.cipher.suites=<CIPHER_SUITE_1 CIPHER_SUITE_2> conf_webserver_include.cipher.suites= |
Indica los conjuntos de algoritmos de cifrado que deseas incluir o excluir. Por ejemplo, si descubres una vulnerabilidad en un algoritmo de cifrado, puedes excluirlo aquí. Separa los diferentes algoritmos de cifrado con un espacio. Para obtener más información sobre los conjuntos de algoritmos de cifrado y la arquitectura de criptografía, consulta lo siguiente:
http://docs.oracle.com/javase/8/docs/technotes/ |
|
conf_webserver_ssl.session.cache.size= conf_webserver_ssl.session.timeout= |
Números enteros que determinan lo siguiente:
|