Esta página foi traduzida pela API Cloud Translation.

Como configurar o TLS para a API de gerenciamento

Edge for Private Cloud v. 4.16.09

Por padrão, o TLS é desativado para a API de gerenciamento, e você acessa a API de gerenciamento do Edge por HTTP usando o endereço IP do nó do servidor de gerenciamento e a porta 8080. Exemplo:

http://ms_IP:8080

Como alternativa, é possível configurar o acesso TLS à API de gerenciamento para que ela possa ser acessada no formulário:

https://ms_IP:8443

Neste exemplo, você configura o acesso por TLS para usar a porta 8443. No entanto, esse número de porta não é necessário para o Edge. Você pode configurar o servidor de gerenciamento para usar outros valores de porta. A única exigência é que o firewall permita o tráfego pela porta especificada.

Para garantir a criptografia do tráfego de e para a API de gerenciamento, configure as configurações no arquivo /opt/apigee/customer/application/management-server.properties.

Além da configuração do TLS, também é possível controlar a validação da senha (tamanho e nível de segurança) modificando o arquivo management-server.properties.

Verifique se a porta TLS está aberta

O procedimento nesta seção configura o TLS para usar a porta 8443 no servidor de gerenciamento. Independentemente da porta usada, é necessário garantir que ela esteja aberta no servidor de gerenciamento. Por exemplo, use o seguinte comando para abri-lo:

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose

Observação:este exemplo usa a porta 8443 para a porta TLS, e não a porta 443 mais comum. Isso ocorre porque as portas abaixo de 1024 geralmente são protegidas pelo sistema operacional e exigem que o processo que as acessa tenha acesso raiz. O Edge Management Server é executado como o usuário "apigee" e, portanto, normalmente não tem acesso a portas abaixo da 1024.

Uma alternativa é usar um balanceador de carga com a API Edge e encerrar o TLS no balanceador de carga na porta 443. Em seguida, use HTTP ou HTTPS entre o balanceador de carga e a API Edge.

Outra alternativa é usar o iptables para encaminhar solicitações da porta 443 para a porta 8443. Exemplo:

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 8443

Configurar a TLS

Edite o arquivo /opt/apigee/customer/application/management-server.properties para controlar o uso de TLS no tráfego de e para a API de gerenciamento. Crie esse arquivo se ele não existir.

Use o procedimento a seguir para configurar o acesso TLS à API de gerenciamento:

Gere o arquivo JKS do keystore contendo sua certificação TLS e chave privada. Para mais informações, consulte Como configurar TLS/SSL para o Edge no local.
Copie o arquivo JKS do keystore para um diretório no nó do servidor de gerenciamento, como /opt/apigee/customer/application.
Mude a propriedade do arquivo JKS para apigee:
$ chown apigee:apigee keystore.jks

em que keystore.jks é o nome do arquivo de keystore.
Edite /opt/apigee/customer/application/management-server.properties para definir as propriedades a seguir. Se esse arquivo não existir, crie-o:
conf_webserver_ssl.enabled=true
# Defina ao lado de "true" se todas as comunicações forem por HTTPS.
# Não é recomendado até que você tenha testado o TLS/HTTPS para a API Edge e
# configurado a interface do Edge para usar o TLS para acessar a API Edge, conforme mostrado abaixo.
conf_webserver_http.turn.off=false
conf_webserver_ssl.port=8443
conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks
# Enter the obfuscated keystore password below.
conf_webserver_keystore.password=OBF:obfuscatedPassword
conf_webserver_cert.alias=apigee-devtest

em que keyStore.jks é o arquivo do keystore e obfuscatedPassword é a senha do keystore ofuscada. Consulte Como configurar TLS/SSL para o Edge no local para informações sobre como gerar uma senha ofuscada.
Reinicie o servidor de gerenciamento de borda usando o comando:
$ /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

A API de gerenciamento agora oferece suporte ao acesso via TLS.

Depois de verificar se o TLS está funcionando corretamente, incluindo a interface do Edge, você pode desativar o acesso HTTP à API de gerenciamento, conforme descrito na próxima seção.

Configurar a interface do Edge para usar o TLS para acessar a API do Edge

No procedimento acima, a Apigee recomendou deixar conf_webserver_http.turn.off=false para que a interface do Edge possa continuar fazendo chamadas da API do Edge por HTTP.

Use o procedimento a seguir para configurar a interface do Edge para fazer essas chamadas somente por HTTPS:

Configure o acesso TLS à API de gerenciamento, conforme descrito acima.
Depois de confirmar que o TLS está funcionando para a API de gerenciamento, edite /opt/apigee/customer/application/management-server.properties para definir a seguinte propriedade:
conf_webserver_http.turn.off=true
Reinicie o servidor de gerenciamento de borda usando o comando:
$ /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
Edite /opt/apigee/customer/application/ui.properties para definir a propriedade a seguir na IU do Edge. Se esse arquivo não existir, crie-o:
conf_apigee_apigee.mgmt.baseurl="https://FQDN:8443/v1"

em que FQDN é o nome de domínio completo, conforme o endereço do certificado do servidor de gerenciamento, e o número da porta é a porta especificada acima por conf_webserver_ssl.port.
Apenas se você usou um certificado autoassinado (não recomendado em um ambiente de produção) ao configurar o acesso TLS à API de gerenciamento acima, adicione a seguinte propriedade a ui.properties:
conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true

Caso contrário, a interface do Edge vai rejeitar um certificado autoassinado.
Reinicie a interface do Edge usando o comando:
$ /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

Propriedades de TLS para o servidor de gerenciamento

A tabela a seguir lista todas as propriedades TLS/SSL que podem ser definidas em management-server.properties:

Propriedades	Descrição
conf_webserver_http.port=8080	O padrão é 8080.
conf_webserver_ssl.enabled=false	Para ativar/desativar o TLS/SSL. Com o TLS/SSL ativado (true), também é necessário definir as propriedades ssl.port e keystore.path.
conf_webserver_http.turn.off=true	Para ativar/desativar o http com o https. Se quiser usar apenas HTTPS, deixe o valor padrão como true.
conf_webserver_ssl.port=8443	A porta TLS/SSL. Obrigatório quando o TLS/SSL está ativado (conf_webserver_ssl.enabled=true).
conf_webserver_keystore.path=<path>	O caminho para o arquivo de keystore. Obrigatório quando o TLS/SSL está ativado (conf_webserver_ssl.enabled=true).
conf_webserver_keystore.password=	Use uma senha ofuscada neste formato: OBF:xxxxxxxxxx
conf_webserver_cert.alias=	Alias de certificado do keystore opcional
conf_webserver_keymanager.password=	Se o gerenciador de chaves tiver uma senha, insira uma versão ofuscada dela neste formato: OBF:xxxxxxxxxx
conf_webserver_trust.all= <false \| true> conf_webserver_trust.store.path=<path> conf_webserver_trust.store.password=	Defina as configurações da sua loja de certificados. Determine se você quer aceitar todos os certificados TLS/SSL, por exemplo, para aceitar tipos não padrão. O padrão é false. Informe o caminho para o repositório de confiança e insira uma senha ofuscada dele neste formato: OBF:xxxxxxxxxx
conf_webserver_exclude.cipher.suites=<CIPHER_SUITE_1 CIPHER_SUITE_2> conf_webserver_include.cipher.suites=	Indique os pacotes de criptografia que você quer incluir ou excluir. Por exemplo, se você descobrir uma vulnerabilidade em uma cifra, poderá excluí-la aqui. Separe várias cifras com um espaço. Para informações sobre pacotes de criptografia e arquitetura de criptografia, consulte: http://docs.oracle.com/javase/8/docs/technotes/ guides/security/SunProviders.html#SunJSSE
conf_webserver_ssl.session.cache.size= conf_webserver_ssl.session.timeout=	Números inteiros que determinam: O tamanho do cache da sessão de TLS/SSL (em bytes) para armazenar informações da sessão de vários clientes. A duração das sessões TLS/SSL antes de expirarem (em milissegundos).