Configurer TLS pour l'API de gestion

Edge pour Private Cloud v. 4.17.01

Par défaut, TLS est désactivé pour l'API de gestion. Vous accédez à l'API de gestion Edge via HTTP à l'aide de l'adresse IP du nœud du serveur de gestion et du port 8080. Exemple :

http://ms_IP:8080

Vous pouvez également configurer l'accès TLS à l'API de gestion afin d'y accéder sous la forme suivante:

https://ms_IP:8443

Dans cet exemple, vous configurez l'accès TLS pour qu'il utilise le port 8443. Toutefois, ce numéro de port n'est pas obligatoire pour Edge. Vous pouvez configurer le serveur de gestion pour qu'il utilise d'autres valeurs de port. La seule exigence est que votre pare-feu autorise le trafic sur le port spécifié.

Pour garantir le chiffrement du trafic vers et depuis votre API de gestion, configurez les paramètres dans le fichier /opt/apigee/customer/application/management-server.properties.

En plus de la configuration TLS, vous pouvez également contrôler la validation des mots de passe (longueur et robustesse) en modifiant le fichier management-server.properties.

Assurez-vous que votre port TLS est ouvert

La procédure de cette section configure TLS pour qu'il utilise le port 8443 sur le serveur de gestion. Quel que soit le port que vous utilisez, vous devez vous assurer qu'il est ouvert sur le serveur de gestion. Par exemple, vous pouvez utiliser la commande suivante pour l'ouvrir:

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose

Configurer TLS

Modifiez le fichier /opt/apigee/customer/application/management-server.properties pour contrôler l'utilisation de TLS sur le trafic à destination et en provenance de votre API de gestion. Si ce fichier n'existe pas, créez-le.

Procédez comme suit pour configurer l'accès TLS à l'API de gestion:

  1. Générez le fichier JKS du keystore contenant votre certification TLS et votre clé privée. Pour en savoir plus, consultez la section Configurer TLS/SSL pour Edge sur site.
  2. Copiez le fichier JKS du keystore dans un répertoire du nœud du serveur de gestion, tel que /opt/apigee/customer/application.
  3. Attribuez la propriété du fichier JKS à apigee:
    $ chown apigee:apigee keystore.jks

    keystore.jks est le nom de votre fichier keystore.
  4. Modifiez /opt/apigee/customer/application/management-server.properties pour définir les propriétés suivantes. Si ce fichier n'existe pas, créez-le:
    conf_webserver_ssl.enabled=true
    # Laissez conf_webserver_http.turn.off défini sur "false"
    # car de nombreux appels internes Edge utilisent HTTP.
    conf_webserver_http.turn.off=false
    conf_webserver_ssl.port=8443
    conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks
    # Saisissez le mot de passe du keystore masqué ci-dessous.
    conf_webserver_keystore.password=OBF:obfuscatedPassword
    conf_webserver_cert.alias=apigee-devtest

    keyStore.jks est votre fichier keystore et obfuscatedPassword est votre mot de passe keystore obscurci. Pour en savoir plus sur la génération d'un mot de passe obscurci, consultez la page Configurer TLS/SSL pour Edge On Premises.
  5. Redémarrez le serveur de gestion Edge à l'aide de la commande:
    $ /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

L'API de gestion est désormais compatible avec l'accès via TLS.

Après vous être assuré que TLS fonctionne correctement, y compris pour l'interface utilisateur Edge, vous pouvez désactiver l'accès HTTP à l'API de gestion, comme décrit dans la section suivante.

Configurer l'UI Edge pour utiliser TLS pour accéder à l'API Edge

Dans la procédure ci-dessus, Apigee a recommandé de laisser conf_webserver_http.turn.off=false afin que l'UI Edge puisse continuer à effectuer des appels d'API Edge via HTTP.

Pour configurer l'interface utilisateur Edge afin d'effectuer ces appels via HTTPS uniquement, procédez comme suit:

  1. Configurez l'accès TLS à l'API de gestion comme décrit ci-dessus.
  2. Après avoir vérifié que le protocole TLS fonctionne pour l'API de gestion, modifiez /opt/apigee/customer/application/management-server.properties pour définir la propriété suivante:
    conf_webserver_http.turn.off=true
  3. Redémarrez le serveur de gestion Edge à l'aide de la commande:
    $ /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
  4. Modifiez /opt/apigee/customer/application/ui.properties pour définir la propriété suivante pour l'interface utilisateur Edge. Si ce fichier n'existe pas, créez-le:
    conf_apigee_apigee.mgmt.baseurl="https://FQDN:8443/v1"

    FQDN correspond au nom de domaine complet, conformément à l'adresse de certificat du serveur de gestion, et le numéro de port correspond au port spécifié ci-dessus par conf_webserver_ssl.port.
  5. Seulement si vous avez utilisé un certificat autosigné (non recommandé dans un environnement de production) lors de la configuration de l'accès TLS à l'API de gestion ci-dessus, ajoutez la propriété suivante à ui.properties:
    conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true

    Sinon, l'UI Edge rejettera un certificat autosigné.
  6. Redémarrez l'UI Edge à l'aide de la commande:
    $ /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

Propriétés TLS pour le serveur de gestion

Le tableau suivant répertorie toutes les propriétés TLS/SSL que vous pouvez définir dans management-server.properties:

Propriétés

Description

conf_webserver_http.port=8080

La valeur par défaut est 8080.

conf_webserver_ssl.enabled=false

Pour activer/désactiver TLS/SSL. Lorsque TLS/SSL est activé (valeur "true"), vous devez également définir les propriétés ssl.port et keystore.path.

conf_webserver_http.turn.off=true

Pour activer/désactiver HTTP avec HTTPS. Si vous souhaitez n'utiliser que HTTPS, laissez la valeur par défaut sur true.

conf_webserver_ssl.port=8443

Port TLS/SSL.

Obligatoire lorsque TLS/SSL est activé (conf_webserver_ssl.enabled=true).

conf_webserver_keystore.path=<path>

Chemin d'accès à votre fichier keystore.

Obligatoire lorsque TLS/SSL est activé (conf_webserver_ssl.enabled=true).

conf_webserver_keystore.password=

Utilisez un mot de passe obscurci au format suivant: OBF:xxxxxxxxxx

conf_webserver_cert.alias=

Alias de certificat de keystore facultatif

conf_webserver_keymanager.password=

Si votre gestionnaire de clés comporte un mot de passe, saisissez une version obscurcie du mot de passe au format suivant: OBF:xxxxxxxxxx

conf_webserver_trust.all= <false | true>

conf_webserver_trust.store.path=<path>

conf_webserver_trust.store.password=

Configurez les paramètres de votre magasin de confiance. Déterminez si vous souhaitez accepter tous les certificats TLS/SSL (par exemple, pour les types non standards). La valeur par défaut est false. Indiquez le chemin d'accès à votre magasin de confiance, puis saisissez un mot de passe de magasin de confiance obscurci au format suivant : OBF:xxxxxxxxxx

conf_webserver_exclude.cipher.suites=<CIPHER_SUITE_1 CIPHER_SUITE_2>

conf_webserver_include.cipher.suites=

Indiquez les suites de chiffrement que vous souhaitez inclure ou exclure. Par exemple, si vous découvrez une faille dans un chiffrement, vous pouvez l'exclure ici. Séparez les algorithmes de chiffrement par un espace.

Pour en savoir plus sur les suites de chiffrement et l'architecture de cryptographie, consultez les pages suivantes:

http://docs.oracle.com/javase/8/docs/technotes/
guides/security/SunProviders.html#SunJSSE

conf_webserver_ssl.session.cache.size=

conf_webserver_ssl.session.timeout=

Entiers qui déterminent:

  • Taille du cache de session TLS/SSL (en octets) pour stocker les informations de session de plusieurs clients.
  • Durée maximale des sessions TLS/SSL avant expiration (en millisecondes).