تمت ترجمة هذه الصفحة بواسطة Cloud Translation API‏.

ضبط بروتوكول أمان طبقة النقل لواجهة برمجة التطبيقات للإدارة

Edge for Private Cloud، الإصدار 4.17.05

بشكل تلقائي، يتم إيقاف بروتوكول أمان طبقة النقل (TLS) لواجهة برمجة تطبيقات الإدارة ويمكنك الوصول إلى واجهة برمجة تطبيقات إدارة Edge من خلال HTTP باستخدام عنوان IP لعقدة خادم الإدارة والمنفذ 8080. على سبيل المثال:

http://ms_IP:8080

بدلاً من ذلك، يمكنك ضبط إمكانية الدخول عبر بروتوكول أمان طبقة النقل (TLS) إلى واجهة برمجة تطبيقات الإدارة لتتمكن من الوصول إليها في النموذج:

https://ms_IP:8443

في هذا المثال، يمكنك ضبط الوصول إلى بروتوكول أمان طبقة النقل (TLS) لاستخدام المنفذ 8443. ومع ذلك، فإن رقم المنفذ هذا ليس المطلوبة من قبل Edge - يمكنك تهيئة خادم الإدارة لاستخدام قيم المنافذ الأخرى. هو أن جدار الحماية يسمح بحركة المرور عبر المنفذ المحدد.

لضمان تشفير الزيارات من وإلى واجهة برمجة تطبيقات الإدارة، اضبط الإعدادات في /opt/apigee/customer/application/management-server.properties الملف.

بالإضافة إلى تهيئة بروتوكول أمان طبقة النقل (TLS)، يمكنك أيضًا التحكم في التحقق من صحة كلمة المرور (طول كلمة المرور) وقوته) من خلال تعديل ملف management-server.properties.

التأكد من أنّ منفذ بروتوكول أمان طبقة النقل (TLS) مفتوح

يضبط الإجراء الوارد في هذا القسم بروتوكول أمان طبقة النقل (TLS) لاستخدام المنفذ 8443 على خادم الإدارة. عليك التأكّد من أنّ المنفذ مفتوح في قسم "الإدارة" بغض النظر عن المنفذ الذي تستخدمه الخادم. على سبيل المثال، يمكنك استخدام الأمر التالي لفتحه:

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose

ملاحظة: يستخدم هذا المثال المنفذ 8443 لمنفذ بروتوكول أمان طبقة النقل، وليس المنفذ 443 الأكثر شيوعًا. يرجع السبب في ذلك إلى أن المنافذ الأقل من 1024 محمية عادةً بواسطة نظام التشغيل وتتطلب العملية التي تصل إليها للحصول على إذن الوصول إلى الجذر. يعمل خادم إدارة Edge "apigee" المستخدم ولذلك لا يمكنه عادةً الوصول إلى المنافذ الأقل من 1024.

يمكنك بدلاً من ذلك استخدام جهاز موازنة الحمل مع واجهة برمجة تطبيقات Edge وإنهاء بروتوكول أمان طبقة النقل (TLS) عند التحميل. موازِن على المنفذ 443. يمكنك عندئذ استخدام HTTP أو HTTPS بين جهاز موازنة الحمل واجهة برمجة التطبيقات Edge.

ويمكنك بدلاً من ذلك استخدام iptables لإعادة توجيه الطلبات إلى المنفذ 443 إلى المنفذ 8443. على سبيل المثال:

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 8443

إعداد بروتوكول أمان طبقة النقل (TLS)

عدِّل /opt/apigee/customer/application/management-server.properties للتحكم في استخدام بروتوكول أمان طبقة النقل (TLS) عند حركة البيانات من وإلى واجهة برمجة تطبيقات الإدارة. إذا لم يكن هذا الملف موجودًا، إنشائها.

اتّبِع الإجراء التالي لضبط الوصول إلى بروتوكول أمان طبقة النقل (TLS) إلى واجهة برمجة تطبيقات الإدارة:

أنشِئ ملف JKS لملف تخزين المفاتيح الذي يحتوي على شهادة بروتوكول أمان طبقة النقل (TLS) ومفتاح خاص. لمزيد من المعلومات، راجع تهيئة TLS/SSL for Edge On المبنى:
انسخ ملف JKS لملف تخزين المفاتيح إلى دليل على عقدة خادم الإدارة، مثل على النحو التالي: /opt/apigee/customer/application.
تغيير ملكية ملف JKS إلى واجهة برمجة تطبيقات:
$ chown apigee:apigee keystore.jks

حيث يكون keystore.jks هو اسم ملف تخزين المفاتيح.
تعديل /opt/apigee/customer/application/management-server.properties لضبط السمات التالية. إذا لم يكن هذا الملف متوفّرًا، أنشئه:
conf_webserver_ssl.enabled=true
# اترك conf_webserver_http.turn.off مضبوطة على "خطأ
" # لأن العديد من اتصالات Edge الداخلية تستخدم HTTP.
conf_webserver_http.turn.off=false
conf_webserver_ssl.port=8443
conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks
# أدخِل كلمة مرور ملف تخزين المفاتيح التي تم تشويشها أدناه.
conf_webserver_keystore.password=OBF:obfuscatedPassword
conf_webserver_cert.alias=apigee-devtest

حيث يكون keyStore.jks ملف تخزين المفاتيح، إنّ obfuscatedPassword هو كلمة مرور ملف تخزين مفاتيح تم تشويشها. راجِع ضبط بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة (SSL) لبرنامج Edge On Premises للاطّلاع على معلومات حول إنشاء كلمة مرور تتضمن تشويشًا.
أعد تشغيل Edge Management Server باستخدام الأمر:
$ /opt/apigee/apigee-service/bin/apigee-service Edge-management-server

أصبحت واجهة برمجة تطبيقات الإدارة تتيح الوصول عبر بروتوكول أمان طبقة النقل (TLS).

بعد التأكد من عمل بروتوكول أمان طبقة النقل بشكل صحيح، بما في ذلك التأكد من أنه يعمل مع Edge، يمكنك إيقاف وصول HTTP إلى واجهة برمجة تطبيقات الإدارة كما هو موضح في المقالة التالية .

إعداد واجهة مستخدم Edge لاستخدام بروتوكول أمان طبقة النقل (TLS) للوصول إلى واجهة برمجة تطبيقات Edge

في الإجراء أعلاه، اقترحت Apigee ترك conf_webserver_http.turn.off=false بحيث يمكن لواجهة مستخدم Edge الاستمرار في إجراء طلبات البيانات من واجهة برمجة التطبيقات Edge عبر HTTP.

استخدم الإجراء التالي لإعداد واجهة مستخدم Edge لإجراء هذه الاتصالات عبر HTTPS فقط:

اضبط إمكانية وصول بروتوكول أمان طبقة النقل (TLS) إلى واجهة برمجة تطبيقات الإدارة كما هو موضَّح أعلاه.
بعد التأكّد من عمل بروتوكول أمان طبقة النقل (TLS) لواجهة برمجة التطبيقات الإدارية، يمكنك تعديل /opt/apigee/customer/application/management-server.properties اضبط السمة التالية:
conf_webserver_http.turn.off=true
أعد تشغيل Edge Management Server باستخدام الأمر:
$ /opt/apigee/apigee-service/bin/apigee-service Edge-management-server refresh
تعديل /opt/apigee/customer/application/ui.properties لتعيين الخاصية التالية لواجهة مستخدم Edge. إذا لم يكن هذا الملف متوفّرًا، أنشئه:
conf_apigee_apigee.mgmt.baseurl="https://FQDN:8443/v1"

حيث يكون FQDN هو اسم النطاق الكامل وفقًا لشهادتك لعنوان خادم الإدارة، ورقم المنفذ هو المنفذ المحدد أعلاه عن طريق conf_webserver_ssl.port.
فقط في حال استخدام شهادة موقَّعة ذاتيًا (لا يُنصح بهذا الخيار في عملية إنتاج) بيئة) عند ضبط وصول بروتوكول أمان طبقة النقل (TLS) إلى واجهة برمجة تطبيقات الإدارة أعلاه، أضف الموقع التالي على ui.properties:
conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true

وبخلاف ذلك، سترفض واجهة مستخدم Edge الشهادة الموقَّعة ذاتيًا.
أعِد تشغيل واجهة مستخدم Edge باستخدام الأمر:
$ /opt/apigee/apigee-service/bin/apigee-service Edge-ui إعادة تشغيل

خصائص بروتوكول أمان طبقة النقل (TLS) لخادم الإدارة

يسرد الجدول التالي جميع مواقع بروتوكول أمان طبقة النقل (TLS) أو طبقة المقابس الآمنة (SSL) التي يمكنك إعدادها في management-server.properties:

المواقع	الوصف
conf_webserver_http.port=8080	القيمة التلقائية هي 8080.
conf_webserver_ssl.enabled=false	لتفعيل/إيقاف بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة (SSL). عند تمكين TLS/SSL (صحيح)، يجب أيضًا تعيين ssl.port. وkeystore.path.
conf_webserver_http.turn.off=true	لتفعيل/إيقاف http إلى جانب https. إذا كنت تريد استخدام HTTPS فقط، فاترك الزر إلى true.
conf_webserver_ssl.port=8443	منفذ بروتوكول أمان طبقة النقل (TLS) أو طبقة المقابس الآمنة (SSL) مطلوب عند تفعيل TLS/SSL (conf_webserver_ssl.enabled=true).
conf_webserver_keystore.path=<path>	المسار إلى ملف تخزين المفاتيح. مطلوب عند تفعيل TLS/SSL (conf_webserver_ssl.enabled=true).
conf_webserver_keystore.password=	استخدِم كلمة مرور تتضمّن تشويشًا بالتنسيق التالي: OBF:xxxxxxxxxx
conf_webserver_cert.alias=	الاسم المستعار لشهادة ملف تخزين المفاتيح الاختياري
conf_webserver_keymanager.password=	إذا كان مدير المفاتيح لديه كلمة مرور، أدخِل نسخة مشفَّرة من كلمة المرور في هذا التنسيق: OBF:xxxxxxxxxx
conf_webserver_trust.all= <خطأ \| true> conf_webserver_trust.store.path=<path> conf_webserver_trust.store.password=	اضبط إعدادات المتجر الموثوق به. حدد ما إذا كنت تريد قبول جميع شهادات TLS/SSL (على سبيل المثال، لقبول الأنواع غير العادية). الإعداد الافتراضي هو false (خطأ). توفير المسار إلى متجر الشهادات الموثوق بها، وإدخال كلمة مرور مُشفَّرة للمتجر الموثوق بها بالتنسيق التالي: OBF:xxxxxxxxxx
conf_webserver_exclude.cipher.suites=<CIPHER_SUITE_1 CIPHER_SUITE_2> conf_webserver_include.cipher.suites=	اذكر أي مجموعات رموز تريد تضمينها أو استبعادها. على سبيل المثال، إذا اكتشاف الثغرة الأمنية في التشفير، يمكنك استبعادها هنا. فصل الرموز المتعددة تحتوي على مسافة. للحصول على معلومات حول مجموعات Cypher وبنية التشفير، يُرجى الاطّلاع على: http://docs.oracle.com/javase/8/docs/technotes/ guides/security/SunProviders.html#SunJSSE
conf_webserver_ssl.session.cache.size= conf_webserver_ssl.session.timeout=	الأعداد الصحيحة التي تحدّد: حجم ذاكرة التخزين المؤقت لجلسة TLS/SSL (بالبايت) لتخزين معلومات الجلسة عملاء متعددين. مقدار الوقت الذي يمكن أن تستمر فيه جلسات TLS/SSL قبل انتهاء مهلتها (في مللي ثانية).