تمت ترجمة هذه الصفحة بواسطة Cloud Translation API‏.

ضبط بروتوكول أمان طبقة النقل لواجهة برمجة التطبيقات للإدارة

Edge for Private Cloud‏ 4.17.01

تكون طبقة النقل الآمنة غير مفعّلة تلقائيًا لواجهة برمجة التطبيقات الخاصة بالإدارة، ويمكنك الوصول إلى واجهة برمجة التطبيقات الخاصة بإدارة Edge عبر بروتوكول HTTP باستخدام عنوان IP الخاص بعقدة "خادم الإدارة" والمنفذ 8080. على سبيل المثال:

http://ms_IP:8080

بدلاً من ذلك، يمكنك ضبط إمكانية الوصول إلى طبقة النقل الآمنة (TLS) لواجهة برمجة التطبيقات الخاصة بالإدارة حتى تتمكّن من الوصول إليها في الشكل التالي:

https://ms_IP:8443

في هذا المثال، يتم ضبط إذن الوصول إلى بروتوكول أمان طبقة النقل (TLS) لاستخدام المنفذ 8443. ومع ذلك، لا يحتاج Edge إلى رقم المنفذ هذا، ويمكنك ضبط "خادم الإدارة" لاستخدام قيم منافذ أخرى. الشرط الوحيد هو أن يسمح جدار الحماية بالزيارات عبر المنفذ المحدد.

لضمان تشفير الزيارات من وإلى Management API، اضبط الإعدادات في ملف /opt/apigee/customer/application/management-server.properties.

بالإضافة إلى إعدادات بروتوكول TLS، يمكنك أيضًا التحكّم في عملية التحقّق من كلمة المرور (طول كلمة المرور وقوتها) من خلال تعديل ملف management-server.properties.

التأكّد من أنّ منفذ بروتوكول أمان طبقة النقل (TLS) مفتوح

تعمل الخطوات الواردة في هذا القسم على ضبط بروتوكول أمان طبقة النقل (TLS) لاستخدام المنفذ 8443 على "خادم الإدارة". بصرف النظر عن المنفذ الذي تستخدمه، عليك التأكّد من أنّ المنفذ مفتوح على "خادم الإدارة". على سبيل المثال، يمكنك استخدام الأمر التالي لفتحه:

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose

ملاحظة: يستخدم هذا المثال المنفذ 8443 لاتّصال طبقة النقل الآمنة، وليس المنفذ 443 الأكثر شيوعًا. والسبب هو أنّ نظام التشغيل يحمي عادةً المنافذ التي تقلّ عن 1024 ويتطلّب أن تحصل العملية التي تصل إليها على إذن وصول الجذر. يتم تشغيل Edge Management Server باستخدام حساب مستخدم "apigee"، وبالتالي لا يمكنه عادةً الوصول إلى المنافذ التي تقل عن 1024.

أحد البدائل هو استخدام جهاز موازنة الحمولة مع Edge API وإنهاء بروتوكول أمان طبقة النقل (TLS) على جهاز موازنة حمولة على المنفذ 443. يمكنك بعد ذلك استخدام بروتوكول HTTP أو HTTPS بين جهاز موازنة الحمل و Edge API.

يمكنك أيضًا استخدام iptables لإعادة توجيه الطلبات إلى المنفذ 443 إلى ‏8443. على سبيل المثال:

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 8443

ضبط بروتوكول أمان طبقة النقل (TLS)

عدِّل ملف /opt/apigee/customer/application/management-server.properties للتحكّم في استخدام بروتوكول أمان طبقة النقل (TLS) في حركة المرور الواردة والصادرة من واجهة برمجة التطبيقات الخاصة بالإدارة. إذا لم يكن هذا الملف متوفّرًا، أنشِئه.

استخدم الإجراء التالي لضبط دخول بروتوكول أمان طبقة النقل (TLS) إلى واجهة برمجة تطبيقات الإدارة:

أنشئ ملف JKS لتخزين المفاتيح يحتوي على شهادة بروتوكول أمان طبقة النقل (TLS) ومفتاحك الخاص. لمزيد من المعلومات، يُرجى الاطّلاع على ضبط بروتوكول أمان طبقة النقل (TLS) أو طبقة المقابس الآمنة (SSL) لتطبيق Edge On Premises.
انسخ ملف JKS الخاص بملف تخزين المفاتيح إلى دليل على عقدة "خادم الإدارة"، مثل /opt/apigee/customer/application.
غيِّر ملكية ملف JKS إلى apigee:
$ chown apigee:apigee keystore.jks

حيث يكون keystore.jks هو اسم ملف تخزين المفاتيح.
عدِّل /opt/apigee/customer/application/management-server.properties لضبط السمات التالية. إذا لم يكن هذا الملف متوفّرًا، أنشِئه:
conf_webserver_ssl.enabled=true
# اترك conf_webserver_http.turn.off مضبوطًا على false
# لأنّ العديد من طلبات Edge الداخلية تستخدم HTTP.
conf_webserver_http.turn.off=false
conf_webserver_ssl.port=8443
conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks
# أدخِل كلمة مرور ملفات تخزين المفاتيح المشفّرة أدناه.
conf_webserver_keystore.password=OBF:obfuscatedPassword
conf_webserver_cert.alias=apigee-devtest

حيث يكون keyStore.jks هو ملف تخزين المفاتيح، وobfuscatedPassword هي كلمة مرور تخزين المفاتيح المشفّرة. اطّلِع على مقالة ضبط بروتوكول أمان طبقة النقل (TLS) أو طبقة المقابس الآمنة (SSL) لتطبيق Edge On Premises للحصول على معلومات عن إنشاء كلمة مرور مشوَّهة.
أعِد تشغيل Edge Management Server باستخدام الأمر:
$ /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

أصبحت واجهة برمجة تطبيقات الإدارة تتيح الوصول عبر بروتوكول أمان طبقة النقل (TLS).

بعد التأكّد من أنّ بروتوكول TLS يعمل بشكل صحيح، بما في ذلك التأكّد من أنّه يعمل مع واجهة مستخدم Edge، يمكنك إيقاف إمكانية الوصول إلى واجهة برمجة التطبيقات Management API باستخدام بروتوكول HTTP كما هو موضّح في القسم التالي.

ضبط واجهة مستخدم Edge لاستخدام بروتوكول أمان طبقة النقل (TLS) للوصول إلى Edge API

في الإجراء أعلاه، اقترحت شركة Apigee ترك القيمة conf_webserver_http.turn.off=false لكي تتمكّن واجهة مستخدم Edge من مواصلة إجراء طلبات Edge API عبر HTTP.

اتّبِع الإجراء التالي لضبط واجهة مستخدم Edge لإجراء هذه المكالمات عبر بروتوكول HTTPS فقط:

اضبط إمكانية الوصول إلى واجهة برمجة التطبيقات لإدارة الخدمات باستخدام بروتوكول أمان طبقة النقل (TLS) كما هو موضّح أعلاه.
بعد التأكّد من أنّ بروتوكول أمان طبقة النقل (TLS) يعمل مع واجهة برمجة التطبيقات لإدارة الخدمات، عدِّل /opt/apigee/customer/application/management-server.properties لتحديد
conf_webserver_http.turn.off=true
أعِد تشغيل Edge Management Server باستخدام الأمر:
$ /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
عدِّل /opt/apigee/customer/application/ui.properties لضبط السمة التالية لواجهة مستخدم Edge. في حال عدم توفّر هذا الملف، أنشِئه:
conf_apigee_apigee.mgmt.baseurl="https://FQDN:8443/v1"

حيث يشير FQDN إلى اسم النطاق الكامل وفقًا لعنوان الشهادة الخاص بخادم الإدارة، ورقم المنفذ هو المنفذ المحدّد أعلاه من خلال conf_slport_s.
فقط في حال استخدام شهادة موقَّعة ذاتيًا (لا يُنصح باستخدامها في بيئة إنتاج) عند ضبط الوصول إلى بروتوكول أمان طبقة النقل (TLS) إلى واجهة برمجة التطبيقات الإدارية أعلاه، أضِف السمة التالية إلى ui.properties:
conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true

بخلاف ذلك، سترفض واجهة مستخدم Edge الشهادة الموقَّعة ذاتيًا.
أعِد تشغيل واجهة مستخدم Edge باستخدام الأمر:
$ /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

سمات بروتوكول أمان طبقة النقل (TLS) لخادم الإدارة

يسرد الجدول التالي جميع خصائص TLS/SSL التي يمكنك ضبطها في management-server.properties:

المواقع	الوصف
conf_webserver_http.port=8080	القيمة التلقائية هي 8080.
conf_webserver_ssl.enabled=false	لتفعيل/إيقاف بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة (SSL). مع تفعيل بروتوكول TLS/SSL (true)، يجب أيضًا ضبط السمتَين ssl.port وkeystore.path.
conf_webserver_http.turn.off=true	لتفعيل/إيقاف http مع https إذا كنت تريد استخدام HTTPS فقط، اترك القيمة التلقائية على true.
conf_webserver_ssl.port=8443	منفذ بروتوكول أمان طبقة النقل (TLS) أو طبقة المقابس الآمنة (SSL) مطلوب عند تفعيل بروتوكول TLS/SSL (conf_webserver_ssl.enabled=true).
conf_webserver_keystore.path=<path>	المسار إلى ملف تخزين المفاتيح مطلوب عند تفعيل بروتوكول TLS/SSL (conf_webserver_ssl.enabled=true).
conf_webserver_keystore.password=	استخدِم كلمة مرور مشوَّهة بالتنسيق التالي: OBF:xxxxxxxxxx
conf_webserver_cert.alias=	الاسم المعرِّف الاختياري لشهادة ملف تخزين المفاتيح
conf_webserver_keymanager.password=	إذا كان مدير المفاتيح لديه كلمة مرور، أدخِل نسخة مشفَّرة من كلمة المرور بالتنسيق التالي: OBF:xxxxxxxxxx
conf_webserver_trust.all= <false \| true> conf_webserver_trust.store.path=<path> conf_webserver_trust.store.password=	ضبط إعدادات مخبّر الثقة حدِّد ما إذا كنت تريد قبول جميع شهادات TLS/SSL (على سبيل المثال، قبول الأنواع غير العادية). القيمة التلقائية هي false. أدخِل المسار إلى متجر الثقة، وأدخِل كلمة مرور مُشفَّرة لمتجر الثقة بالتنسيق التالي: OBF:xxxxxxxxxx
conf_webserver_exclude.cipher.suites=<CIPHER_SUITE_1 CIPHER_SUITE_2> conf_webserver_include.cipher.suites=	حدِّد أي مجموعات تشفير تريد تضمينها أو استبعادها. على سبيل المثال، إذا اكتشفت ثغرة أمنية في أحد التشفيرات، يمكنك استبعاده هنا. افصل بين التشفيرات المتعدّدة بمسافة. للحصول على معلومات عن مجموعات التشفير وبنية التشفير، يُرجى الاطّلاع على: http://docs.oracle.com/javase/8/docs/technotes/ guides/security/SunProviders.html#SunJSSE
conf_webserver_ssl.session.cache.size= conf_webserver_ssl.session.timeout=	الأعداد الصحيحة التي تحدِّد: حجم ذاكرة التخزين المؤقت لجلسة بروتوكول أمان طبقة النقل/طبقة المقابس الآمنة (بوحدات البايت) لتخزين معلومات الجلسة ل عدة عملاء مقدار الوقت الذي يمكن أن تستمر فيه جلسات TLS/SSL قبل انتهاء مهلة الاتصال (بالمللي ثانية)