适用于私有云的 Edge v. 4.17.01
默认情况下,管理 API 的 TLS 处于停用状态,您可以使用管理服务器节点的 IP 地址和端口 8080 通过 HTTP 访问 Edge 管理 API。例如:
http://ms_IP:8080
或者,您也可以配置对管理 API 的 TLS 访问权限,以便以以下形式访问该 API:
https://ms_IP:8443
在此示例中,您将 TLS 访问配置为使用端口 8443。不过,Edge 不需要该端口号 - 您可以将管理服务器配置为使用其他端口值。唯一的要求是,您的防火墙允许通过指定端口传输流量。
为确保传入和传出管理 API 的流量加密,请在 /opt/apigee/customer/application/management-server.properties 文件中配置设置。
除了 TLS 配置之外,您还可以通过修改 management-server.properties 文件来控制密码验证(密码长度和强度)。
确保您的 TLS 端口已打开
本部分中的步骤会将 TLS 配置为使用管理服务器上的端口 8443。 无论您使用哪个端口,都必须确保管理服务器上该端口处于打开状态。例如,您可以使用以下命令打开它:
$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose
配置 TLS
修改 /opt/apigee/customer/application/management-server.properties 文件,以控制对管理 API 传入和传出流量的 TLS 使用。如果此文件不存在,请创建一个。
请按照以下步骤配置对 Management API 的 TLS 访问:
- 生成包含 TLS 认证和私钥的密钥库 JKS 文件。如需了解详情,请参阅为边缘设备专用版配置 TLS/SSL。
- 将密钥库 JKS 文件复制到管理服务器节点上的某个目录,例如 /opt/apigee/customer/application。
- 将 JKS 文件的所有权更改为 apigee:
$ chown apigee:apigee keystore.jks
其中 keystore.jks 是密钥库文件的名称。 - 修改 /opt/apigee/customer/application/management-server.properties 以设置以下属性。如果该文件不存在,请创建该文件:
conf_webserver_ssl.enabled=true
# 将 conf_webserver_http.turn.off 设为 false
# 因为许多 Edge 内部调用都使用 HTTP。
conf_webserver_http.turn.off=false
conf_webserver_ssl.port=8443
conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks
# Enter the obfuscated keystore password below.
conf_webserver_keystore.password=OBF:obfuscatedPassword
conf_webserver_cert.alias=apigee-devtest
其中,keyStore.jks 是您的密钥库文件,obfuscatedPassword 是经过混淆处理的密钥库密码。如需了解如何生成经过混淆处理的密码,请参阅为 Edge 本地部署版配置 TLS/SSL。 - 使用以下命令重启边缘管理服务器:
$ /opt/apigee/apigee-service/bin/apigee-service Edge-management-server restart
管理 API 现在支持通过 TLS 访问。
确保 TLS 正常运行(包括确保它在 Edge 界面中正常运行)后,您可以按照下一部分中的说明停用对 Management API 的 HTTP 访问权限。
将 Edge 界面配置为使用 TLS 访问 Edge API
在上述过程中,Apigee 建议保留 conf_webserver_http.turn.off=false,以便 Edge 界面可以继续通过 HTTP 进行 Edge API 调用。
请按照以下步骤配置 Edge 界面,以便仅通过 HTTPS 进行这些调用:
- 按照上述说明配置对管理 API 的 TLS 访问权限。
- 确认 TLS 适用于管理 API 后,请修改 /opt/apigee/customer/application/management-server.properties 以设置以下属性:
conf_webserver_http.turn.off=true - 使用以下命令重启 Edge 管理服务器:
$ /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart - 修改 /opt/apigee/customer/application/ui.properties,为 Edge 界面设置以下属性。如果该文件不存在,请创建该文件:
conf_apigee_apigee.mgmt.baseurl="https://FQDN:8443/v1"
其中 FQDN 是完全限定域名,根据您的管理服务器证书地址,端口号是上面通过 conf_webserver_ssl.port 指定的端口。 - 仅当您在上面配置对管理 API 的 TLS 访问时使用了自签名证书(不建议在生产环境中使用)时,才应将以下属性添加到 ui.properties:
conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true
否则,Edge 界面将拒绝自签名证书。 - 使用以下命令重启 Edge 界面:
$ /opt/apigee/apigee-service/bin/apigee-service edge-ui restart
管理服务器的 TLS 属性
下表列出了您可以在 management-server.properties 中设置的所有 TLS/SSL 属性:
|
媒体资源 |
说明 |
|---|---|
|
conf_webserver_http.port=8080 |
默认值为 8080。 |
|
conf_webserver_ssl.enabled=false |
要启用/停用 TLS/SSL。启用 TLS/SSL(true)后,您还必须设置 ssl.port 和 keystore.path 属性。 |
|
conf_webserver_http.turn.off=true |
如需同时启用/停用 http 和 https,如果您只想使用 HTTPS,请将默认值保留为 true。 |
|
conf_webserver_ssl.port=8443 |
TLS/SSL 端口。 启用 TLS/SSL 时(conf_webserver_ssl.enabled=true)必须提供。 |
|
conf_webserver_keystore.path=<path> |
密钥库文件的路径。 启用 TLS/SSL 时(conf_webserver_ssl.enabled=true)必须提供。 |
|
conf_webserver_keystore.password= |
使用以下格式的经过混淆处理的密码:OBF:xxxxxxxxxx |
|
conf_webserver_cert.alias= |
可选的密钥库证书别名 |
|
conf_webserver_keymanager.password= |
如果您的密钥管理器有密码,请按以下格式输入经过混淆处理的密码版本:OBF:xxxxxxxxxx |
|
conf_webserver_trust.all= <false | true> conf_webserver_trust.store.path=<path> conf_webserver_trust.store.password= |
为您的受信任证书存储区配置设置。确定您是否要接受所有 TLS/SSL 证书(例如,接受非标准类型)。默认值为 false。提供信任库的路径,然后输入经过混淆处理的信任库密码,格式如下:OBF:xxxxxxxxxx |
|
conf_webserver_exclude.cipher.suites=<CIPHER_SUITE_1 CIPHER_SUITE_2> conf_webserver_include.cipher.suites= |
指明要包含或排除的所有加密套件。例如,如果您发现密码存在漏洞,可以在此处将其排除。多个密码之间请用空格分隔。 如需了解加密套件和加密架构,请参阅:
http://docs.oracle.com/javase/8/docs/technotes/ |
|
conf_webserver_ssl.session.cache.size= conf_webserver_ssl.session.timeout= |
用于确定以下各项的整数:
|