このページは Cloud Translation API によって翻訳されました。

Management API の TLS の構成

Edge for Private Cloud v. 4.16.09

デフォルトでは、Management API の TLS は無効になっており、Management Server ノードの IP アドレスとポート 8080 を使って HTTP で Edge Management API にアクセスします。例:

http://ms_IP:8080

また、次の形式で管理 API にアクセスできるように、管理 API への TLS アクセスを構成することもできます。

https://ms_IP:8443

この例では、TLS アクセスでポート 8443 が使用されるように構成します。ただし、Edge についてこのポート番号が必要というわけではありません。他のポート番号を使うように Management Server を構成することもできます。唯一の要件は、ファイアウォールが指定のポートでトラフィックを許可していることです。

Management API との間のトラフィックを暗号化するには、/opt/apigee/customer/application/management-server.properties ファイル内の設定を構成します。

TLS の構成に加えて、management-server.properties ファイルを変更することで、パスワード検証（パスワードの長さや強度）を制御することもできます。

TLS ポートが開いていることを確認する

このセクションの手順で、Management Server でポート 8443 を使用するように構成します。使用するポートにかかわらず、Management Server 上でポートが開いている必要があります。たとえば、次のコマンドを使用して開くことができます。

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose

注: この例では、TLS ポートにポート 8443 を使用しており、より一般的なポート 443 を使用していません。その理由は、1024 未満のポートは通常オペレーティングシステムによって保護されており、それらのポートにアクセスするには root アクセス権が必要であるためです。Edge Management Server は「apigee」ユーザーで実行されるため、通常 1024 未満のポートにはアクセスできません。

あるいは、Edge API でロードバランサを使用し、ロードバランサ上の TLS をポート 443 で終端させる方法もあります。これにより、ロードバランサと Edge API の間で HTTP または HTTPS が使用できます。

別の方法として、iptables を使用してポート 443 へのリクエストをポート 8443 に転送することもできます。例:

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 8443

TLS の構成

/opt/apigee/customer/application/management-server.properties ファイルを編集して、Management API との間のトラフィックでの TLS の使用を制御します。このファイルが存在しない場合は作成します。

以下の手順で、Management API への TLS アクセスを構成します。

TLS 証明書と秘密鍵を含むキーストア JKS ファイルを生成します。詳細については、オンプレミスの Edge での TLS/SSL の構成をご覧ください。
キーストア JKS ファイルを Management Server ノードのディレクトリ（/opt/apigee/customer/application など）にコピーします。
JKS ファイルの所有権を apigee に変更します。
$ chown apigee:apigee keystore.jks

ここで、keystore.jks はキーストアファイルの名前です。
/opt/apigee/customer/application/management-server.properties を編集して、次のプロパティを設定します。このファイルが存在しない場合は作成します。
conf_webserver_ssl.enabled=true
# すべての通信を HTTPS で行う必要がある場合は、true の横に設定します。
# Edge API の TLS/HTTPS をテストし、TLS を使用して Edge API にアクセスするように Edge UI を構成するまで、推奨されません。
# 以下に示すように。
conf_webserver_http.turn.off=false
conf_webserver_ssl.port=8443
conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks
# 難読化されたキーストアのパスワードを以下に入力します。
conf_webserver_keystore.password=OBF:obfuscatedPassword
conf_webserver_cert.alias=apigee-devtest

ここで、keyStore.jks はキーストアファイル、obfuscatedPassword は難読化されたキーストアのパスワードです。難読化されたパスワードの生成については、オンプレミスの Edge での TLS/SSL の構成をご覧ください。
次のコマンドを使用して Edge Management Server を再起動します。
$ /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

管理 API で TLS 経由のアクセスがサポートされるようになりました。

Edge UI で TLS が機能していることなど、TLS が正しく機能していることを確認したら、次のセクションで説明するように、Management API への HTTP アクセスを無効にできます。

TLS を使用して Edge API にアクセスするように Edge UI を構成する

上記の手順では、Edge UI が HTTP 経由で Edge API 呼び出しを引き続き行えるように conf_webserver_http.turn.off=false を終了することをおすすめしています。

HTTPS 経由でのみこれらの呼び出しを行うように Edge UI を構成するには、次の操作を行います。

上記のように、管理 API への TLS アクセスを構成します。
Management API で TLS が機能していることを確認したら、/opt/apigee/customer/application/management-server.properties を編集して次のプロパティを設定します。
conf_webserver_http.turn.off=true
次のコマンドを使用して Edge Management Server を再起動します。
$ /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
/opt/apigee/customer/application/ui.properties を編集して、Edge UI の次のプロパティを設定します。このファイルが存在しない場合は、作成します。
conf_apigee_apigee.mgmt.baseurl="https://FQDN:8443/v1"

FQDN は Management Server の証明書アドレスに基づく完全なドメイン名で、ポート番号は上記の conf_webserver_ssl.port で指定されたポートです。
自己署名証明書を使う場合のみ（本番環境ではおすすめしません）、上記の Management API への TLS アクセスの構成を行うときに、次のプロパティを ui.properties に追加します。
conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true

それ以外の場合、Edge UI は自己署名証明書を拒否します。
次のコマンドを使用して Edge UI を再起動します。
$ /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

Management Server の TLS プロパティ

次の表に、management-server.properties で設定できる TLS と SSL のすべてのプロパティを示します。

プロパティ	説明
conf_webserver_http.port=8080	デフォルトは 8,080 です。
conf_webserver_ssl.enabled=false	TLS / SSL を有効または無効にします。TLS/SSL を有効（true）にした場合、ssl.port プロパティと keystore.path プロパティも設定する必要があります。
conf_webserver_http.turn.off=true	https に加えて HTTP を有効または無効にする。HTTPS のみを使用する場合は、デフォルト値を true のままにします。
conf_webserver_ssl.port=8443	TLS/SSL のポート。 TLS/SSL が有効な場合（conf_webserver_ssl.enabled=true）に必要です。
conf_webserver_keystore.path=<path>	キーストアファイルのパス。 TLS/SSL が有効（conf_webserver_ssl.enabled=true）の場合は必須です。
conf_webserver_keystore.password=	OBF:xxxxxxxxxx という形式の難読化されたパスワードを使用してください
conf_webserver_cert.alias=	キーストア証明書の別名（省略可）
conf_webserver_keymanager.password=	キーマネージャーにパスワードがある場合、OBF:xxxxxxxxxx の形式で難読化されたバージョンのパスワードを入力します。
conf_webserver_trust.all= <false \| true> conf_webserver_trust.store.path=<パス> conf_webserver_trust.store.password=	トラストストアの設定を構成します。すべての TLS/SSL 証明書を受け入れるかどうかを決めます（非標準のタイプを受け入れるなど）。デフォルトは false です。トラストストアのパスを指定し、OBF:xxxxxxxxxx の形式の難読化されたトラストストアのパスワードを入力します。
conf_webserver_exclude.cipher.suites=<CIPHER_SUITE_1 CIPHER_SUITE_2> conf_webserver_include.cipher.suites=	使用を許可する暗号スイートと許可しない暗号スイートを指定します。たとえば、ある暗号に脆弱性が発見された場合、ここで除外できます。複数指定する場合は、空白で区切ります。暗号スイートと暗号化アーキテクチャについては、次の URL をご覧ください。 http://docs.oracle.com/javase/8/docs/technotes/ guides/security/SunProviders.html#SunJSSE
conf_webserver_ssl.session.cache.size= conf_webserver_ssl.session.timeout=	以下を決定する整数。複数のクライアントのセッション情報を保存する TLS/SSL セッションキャッシュサイズ（バイト単位）。 TLS/SSL セッションがタイムアウトするまでの時間（ミリ秒）。