このページは Cloud Translation API によって翻訳されました。

Management API の TLS の構成

Edge for Private Cloud v. 4.17.01

デフォルトでは、Management API の TLS は無効になっており、Management Server ノードの IP アドレスとポート 8080 を使って HTTP で Edge Management API にアクセスします。例:

http://ms_IP:8080

あるいは、Management API の TLS アクセスを、以下の形式でアクセスできるように構成することもできます。

https://ms_IP:8443

この例では、TLS アクセスでポート 8443 が使用されるように構成します。ただし、Edge についてこのポート番号が必要というわけではありません。他のポート番号を使うように Management Server を構成することもできます。唯一の要件は、ファイアウォールが指定のポートでトラフィックを許可していることです。

Management API との間のトラフィックを暗号化するには、/opt/apigee/customer/application/management-server.properties ファイルの設定を構成します。

TLS 構成に加えて、management-server.properties ファイルを変更することで、パスワード検証（パスワードの長さと強度）を制御することもできます。

TLS ポートが開いていることを確認する

このセクションの手順で、Management Server でポート 8443 を使用するように構成します。使用するポートに関係なく、Management Server でポートが開いていることを確認する必要があります。たとえば、次のコマンドを使用してポートを開きます。

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose

注: この例では、TLS ポートにポート 8443 を使用しており、より一般的なポート 443 を使用していません。その理由は、1024 未満のポートは通常オペレーティングシステムによって保護されており、それらのポートにアクセスするには root アクセス権が必要であるためです。Edge Management Server は「apigee」ユーザーで実行されるため、通常 1024 未満のポートにはアクセスできません。

他には、Edge API と合わせてロードバランサを使用し、ポート 443 の TLS をロードバランサで終端させる方法があります。これにより、ロードバランサと Edge API の間で HTTP または HTTPS が使用できます。

別の方法として、iptables を使用してポート 443 へのリクエストをポート 8443 に転送することもできます。例:

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 8443

TLS の構成

/opt/apigee/customer/application/management-server.properties ファイルを編集して、Management API との間のトラフィックでの TLS 使用を制御します。このファイルが存在しない場合は作成します。

以下の手順で、Management API への TLS アクセスを構成します。

TLS 証明書と秘密鍵を含むキーストア JKS ファイルを生成します。詳細については、オンプレミスの Edge での TLS/SSL の構成をご覧ください。
キーストア JKS ファイルを Management Server ノード上のディレクトリ（/opt/apigee/customer/application など）にコピーします。
JKS ファイルの所有権を apigee に変更します。
$ chown apigee:apigee keystore.jks

keystore.jks はキーストアファイルの名前です。
/opt/apigee/customer/application/management-server.properties を編集して次のプロパティを設定します。このファイルが存在しない場合は作成します。
conf_webserver_ssl.enabled=true
# conf_webserver_http.turn.off の設定を false のままにします
# 多くの Edge 内部呼び出しでは HTTP が使用されるためです。
conf_webserver_http.turn.off=false
conf_webserver_ssl.port=8443
conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks
# 難読化されたキーストアのパスワードを以下に入力します。
conf_webserver_keystore.password=OBF:obfuscatedPassword
conf_webserver_cert.alias=apigee-devtest

ここで、keyStore.jks はキーストアファイルで、obfuscatedPassword は難読化されたキーストアのパスワードです。難読化されたパスワードの生成については、オンプレミス Edge での TLS/SSL の構成をご覧ください。
次のコマンドを使用して Edge Management Server を再起動します。
$ /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

管理 API で TLS 経由のアクセスがサポートされるようになりました。

Edge UI で TLS が正常に機能することを確認したら、次のセクションで説明するように、管理 API への HTTP アクセスを無効にできます。

TLS で Edge API にアクセスするよう Edge UI を構成する

上記の手順では、Edge UI が HTTP 経由で Edge API 呼び出しを引き続き行えるように conf_webserver_http.turn.off=false を終了することをおすすめしています。

以下の手順で、HTTPS でのみ呼び出しができるように Edge UI を構成します。

上記のように、管理 API への TLS アクセスを構成します。
Management API の TLS が機能していることを確認した後、/opt/apigee/customer/application/management-server.properties を編集して、次のプロパティを設定します。
conf_webserver_http.turn.off=true
次のコマンドを使用して Edge Management Server を再起動します。
$ /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
/opt/apigee/customer/application/ui.properties を編集して、Edge UI の次のプロパティを設定します。ファイルが存在しない場合は、次の場所に作成します。
conf_apigee_apigee.mgmt.baseurl="https://FQDN:8443/v1"

ここで、FQDN は、Management Server の証明書アドレスに従った完全ドメイン名で、ポート番号は上記の conf_webserver_ssl.port で指定したポートです。
自己署名証明書を使う場合のみ（本番環境ではおすすめしません）、上記の Management API への TLS アクセスの構成を行うときに、次のプロパティを ui.properties に追加します。
conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true

それ以外の場合、Edge UI は自己署名証明書を拒否します。
次のコマンドを使用して Edge UI を再起動します。
$ /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

Management Server の TLS プロパティ

次の表に、management-server.properties で設定できる TLS と SSL のすべてのプロパティを示します。

プロパティ	説明
conf_webserver_http.port=8080	デフォルトは 8080 です。
conf_webserver_ssl.enabled=false	TLS / SSL を有効または無効にします。TLS/SSL を有効（true）にした場合、ssl.port プロパティと keystore.path プロパティも設定する必要があります。
conf_webserver_http.turn.off=true	https に加えて http も有効/無効にします。HTTPS のみを使用する場合は、デフォルト値を true のままにします。
conf_webserver_ssl.port=8443	TLS/SSL のポート。 TLS/SSL が有効（conf_webserver_ssl.enabled=true）の場合は必須です。
conf_webserver_keystore.path=<path>	キーストアファイルのパス。 TLS/SSL が有効な場合（conf_webserver_ssl.enabled=true）に必要です。
conf_webserver_keystore.password=	OBF:xxxxxxxxxx という形式の難読化されたパスワードを使用します。
conf_webserver_cert.alias=	キーストア証明書の別名（省略可）
conf_webserver_keymanager.password=	キーマネージャーにパスワードがある場合、OBF:xxxxxxxxxx の形式で難読化されたバージョンのパスワードを入力します。
conf_webserver_trust.all= <false \| true> conf_webserver_trust.store.path=<path> conf_webserver_trust.store.password=	トラストストアの設定を構成します。すべての TLS/SSL 証明書を受け入れるかどうかを決めます（非標準のタイプを受け入れるなど）。デフォルトは false です。トラストストアのパスを指定し、OBF:xxxxxxxxxx の形式の難読化されたトラストストアのパスワードを入力します。
conf_webserver_exclude.cipher.suites=<CIPHER_SUITE_1 CIPHER_SUITE_2> conf_webserver_include.cipher.suites=	使用を許可する暗号スイートと許可しない暗号スイートを指定します。たとえば、ある暗号に脆弱性が発見された場合、ここで除外できます。複数指定する場合は、空白で区切ります。暗号スイートと暗号アーキテクチャについては、以下をご覧ください。 http://docs.oracle.com/javase/8/docs/technotes/ guides/security/SunProviders.html#SunJSSE
conf_webserver_ssl.session.cache.size= conf_webserver_ssl.session.timeout=	以下を決める整数値です。複数クライアントのセッション情報を格納する TLS/SSL セッションキャッシュのサイズ（バイト数）。 TLS/SSL セッションがタイムアウトするまでの継続時間（ミリ秒単位）。