Edge for Private Cloud バージョン 4.17.01
デフォルトでは、Management API の TLS は無効になっており、Management Server ノードの IP アドレスとポート 8080 を使用して HTTP で Edge Management API にアクセスします。例:
http://ms_IP:8080
また、次の形式で管理 API にアクセスできるように、管理 API への TLS アクセスを構成することもできます。
https://ms_IP:8443
この例では、ポート 8443 を使用するように TLS アクセスを構成します。ただし、Edge では、このポート番号は必要ありません。他のポート番号を使用するように Management Server を構成できます。唯一の要件は、ファイアウォールが指定されたポートでトラフィックを許可することです。
Management API との間でトラフィックを暗号化するには、/opt/apigee/customer/application/management-server.properties ファイルで設定を構成します。
TLS 構成に加えて、management-server.properties ファイルを変更することで、パスワード検証(パスワードの長さと強度)を制御することもできます。
TLS ポートが開いていることを確認する
このセクションの手順では、Management Server でポート 8443 を使用するように TLS を構成します。使用するポートに関係なく、Management Server でポートが開いている必要があります。たとえば、次のコマンドを使用して開くことができます。
$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose
TLS の構成
/opt/apigee/customer/application/management-server.properties ファイルを編集して、管理 API との間のトラフィックでの TLS の使用を制御します。このファイルが存在しない場合は作成します。
次の手順で、管理 API への TLS アクセスを構成します。
- TLS 証明書と秘密鍵を含むキーストア JKS ファイルを生成します。詳細については、オンプレミスの Edge での TLS/SSL の構成をご覧ください。
- キーストア JKS ファイルを Management Server ノードのディレクトリ(/opt/apigee/customer/application など)にコピーします。
- JKS ファイルの所有権を apigee に変更します。
$ chown apigee:apigee keystore.jks
keystore.jks はキーストア ファイルの名前です。 - /opt/apigee/customer/application/management-server.properties を編集して、次のプロパティを設定します。このファイルが存在しない場合は作成します。
conf_webserver_ssl.enabled=true
# conf_webserver_http.turn.off を false のままにします。
# Edge の内部呼び出しの多くは HTTP を使用するため、
conf_webserver_http.turn.off=false
conf_webserver_ssl.port=8443
conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks
# 難読化されたキーストアのパスワードを以下に入力します。
conf_webserver_keystore.password=OBF:obfuscatedPassword
conf_webserver_cert.alias=apigee-devtest
keyStore.jks はキーストア ファイルで、obfuscatedPassword は難読化されたキーストアのパスワードです。難読化されたパスワードの生成については、オンプレミスの Edge での TLS/SSL の構成をご覧ください。 - 次のコマンドを使用して Edge Management Server を再起動します。
$ /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
管理 API で TLS 経由のアクセスがサポートされるようになりました。
Edge UI で TLS が正しく機能していることを確認したら、次のセクションで説明するように、管理 API への HTTP アクセスを無効にできます。
TLS を使用して Edge API にアクセスするように Edge UI を構成する
上述の手順では、Edge UI が引き続き HTTP 経由で Edge API 呼び出しを行えるように、conf_webserver_http.turn.off=false のままにすることを推奨しました。
HTTPS 経由でのみこれらの呼び出しを行うように Edge UI を構成するには、次の操作を行います。
- 上記のように、管理 API への TLS アクセスを構成します。
- Management API で TLS が動作していることを確認したら、/opt/apigee/customer/application/management-server.properties を編集して、次のプロパティを設定します。
conf_webserver_http.turn.off=true - 次のコマンドを使用して Edge Management Server を再起動します。
$ /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart - /opt/apigee/customer/application/ui.properties を編集して、Edge UI に次のプロパティを設定します。このファイルが存在しない場合は作成します。
conf_apigee_apigee.mgmt.baseurl="https://FQDN:8443/v1"
ここで、FQDN は Management Server の証明書アドレスに基づく完全なドメイン名、ポート番号は上で conf_webserver_ssl.port で指定したポートです。 - 自己署名証明書を使用した場合のみ(本番環境では推奨されません)上記の管理 API への TLS アクセスを構成するときに、次のプロパティを ui.properties に追加します。
conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true
それ以外の場合、Edge UI で自己署名証明書が拒否されます。 - 次のコマンドを使用して Edge UI を再起動します。
$ /opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Management Server の TLS プロパティ
次の表に、management-server.properties で設定できるすべての TLS/SSL プロパティを示します。
プロパティ |
Description |
---|---|
conf_webserver_http.port=8080 |
デフォルトは 8,080 です。 |
conf_webserver_ssl.enabled=false |
TLS / SSL を有効または無効にする。TLS/SSL が有効(true)の場合は、ssl.port プロパティと keystore.path プロパティも設定する必要があります。 |
conf_webserver_http.turn.off=true |
https に加えて http も有効または無効にします。HTTPS のみを使用する場合は、デフォルト値を true のままにします。 |
conf_webserver_ssl.port=8443 |
TLS/SSL ポート。 TLS/SSL が有効な場合(conf_webserver_ssl.enabled=true)は必須です。 |
conf_webserver_keystore.path=<path> |
キーストア ファイルのパス。 TLS/SSL が有効な場合(conf_webserver_ssl.enabled=true)は必須です。 |
conf_webserver_keystore.password= |
OBF:xxxxxxxxxx という形式の難読化されたパスワードを使用してください |
conf_webserver_cert.alias= |
キーストア証明書のエイリアス(省略可) |
conf_webserver_keymanager.password= |
鍵マネージャーにパスワードがある場合は、OBF:xxxxxxxxxx の形式で難読化されたバージョンのパスワードを入力します。 |
conf_webserver_trust.all= <false | true> conf_webserver_trust.store.path=<path> conf_webserver_trust.store.password= |
トラストストアの設定を構成します。すべての TLS/SSL 証明書を受け入れるかどうか(非標準のタイプなどを受け入れるかどうか)を決定します。デフォルトは false です。トラストストアへのパスを指定し、難読化されたトラストストアのパスワードを OBF:xxxxxxxxxx の形式で入力します。 |
conf_webserver_exclude.cipher.suites=<CIPHER_SUITE_1 CIPHER_SUITE_2> conf_webserver_include.cipher.suites= |
包含または除外する暗号スイートを指定します。たとえば、暗号に脆弱性が見つかった場合は、ここで除外できます。複数の暗号を指定する場合は、スペースで区切ります。 暗号スイートと暗号アーキテクチャについては、以下をご覧ください。
http://docs.oracle.com/javase/8/docs/technotes/ |
conf_webserver_ssl.session.cache.size= conf_webserver_ssl.session.timeout= |
以下を判断する整数:
|