Edge per Private Cloud v. 4.17.05
Per impostazione predefinita, TLS è disabilitato per l'API di gestione e si accede all'API di gestione perimetrale tramite HTTP utilizzando l'indirizzo IP del nodo del server di gestione e la porta 8080. Ad esempio:
http://ms_IP:8080
In alternativa, puoi configurare l'accesso TLS all'API di gestione in modo da potervi accedere nel formato:
https://ms_IP:8443
In questo esempio, configurerai l'accesso TLS in modo da utilizzare la porta 8443. Tuttavia, questo numero di porta non è richiesto da Edge: puoi configurare il server di gestione in modo che utilizzi altri valori di porta. L'unico requisito è che il firewall consenta il traffico sulla porta specificata.
Per garantire la crittografia del traffico da e verso l'API di gestione, configura le impostazioni nel file /opt/apigee/customer/application/management-server.properties.
Oltre alla configurazione TLS, puoi anche controllare la convalida della password (lunghezza e sicurezza della password) modificando il file management-server.properties.
Assicurati che la porta TLS sia aperta
La procedura descritta in questa sezione consente di configurare TLS in modo che utilizzi la porta 8443 sul server di gestione. Indipendentemente dalla porta utilizzata, devi assicurarti che sia aperta sul server di gestione. Ad esempio, puoi utilizzare il seguente comando per aprirla:
$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose
Configura TLS
Modifica il file /opt/apigee/customer/application/management-server.properties per controllare l'utilizzo di TLS sul traffico da e verso l'API di gestione. Se il file non esiste, crealo.
Utilizza la seguente procedura per configurare l'accesso TLS all'API di gestione:
- Genera il file JKS dell'archivio chiavi contenente la certificazione TLS e la chiave privata. Per saperne di più, consulta Configurare TLS/SSL per Edge On Premises.
- Copia il file JKS dell'archivio chiavi in una directory sul nodo del server di gestione, ad esempio /opt/apigee/customer/application.
- Cambia la proprietà del file JKS in apigee:
$ chown apigee:apigee keystore.jks
dove keystore.jks è il nome del file del tuo archivio chiavi. - Modifica /opt/apigee/customer/application/management-server.properties
per impostare le seguenti proprietà. Se il file non esiste, crealo:
conf_webserver_ssl.enabled=true
# Lascia conf_webserver_http.turn.off impostato su false
# perché molte chiamate interne di Edge utilizzano HTTP.
conf_webserver_http.turn.off=false
conf_webserver_ssl.port=8443
conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks
# Inserisci la password dell'archivio chiavi offuscato di seguito.
conf_webserver_keystore.password=OBF:obfuscatedPassword
conf_webserver_cert.alias=apigee-devtest
dove keyStore.jks è il file dell'archivio chiavi e obfuscatedPassword è la password dell'archivio chiavi offuscato. Consulta Configurazione di TLS/SSL per Edge On Premises per informazioni sulla generazione di una password offuscata. - Riavvia il server di gestione perimetrale utilizzando il comando:
$ /opt/apigee/apigee-service/bin/apigee-service edge-management-server reboot
L'API di gestione ora supporta l'accesso tramite TLS.
Dopo aver verificato il corretto funzionamento di TLS e il corretto funzionamento della UI Edge, puoi disattivare l'accesso HTTP all'API di gestione come descritto nella sezione successiva.
Configura la UI Edge per utilizzare TLS per accedere all'API Edge
Nella procedura precedente, Apigee ha consigliato di lasciare conf_webserver_http.turn.off=false in modo che la UI Edge possa continuare a effettuare chiamate API Edge su HTTP.
Utilizza la procedura seguente per configurare l'interfaccia utente Edge in modo che effettui queste chiamate solo tramite HTTPS:
- Configura l'accesso TLS all'API di gestione come descritto sopra.
- Dopo aver confermato che TLS funziona per l'API di gestione, modifica /opt/apigee/customer/application/management-server.properties in modo da
impostare la seguente proprietà:
conf_webserver_http.turn.off=true - Riavvia il server di gestione perimetrale utilizzando il comando:
$ /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart - Modifica /opt/apigee/customer/application/ui.properties
per impostare la seguente proprietà per la UI Edge. Se il file non esiste, crealo:
conf_apigee_apigee.mgmt.baseurl="https://FQDN:8443/v1"
dove FQDN è il nome di dominio completo, come indicato nell'indirizzo del certificato del server di gestione, e il numero di porta è la porta specificata sopra da conf_webserver_ssl.port - Solo se hai utilizzato un certificato autofirmato (non consigliato in un ambiente di produzione) durante la configurazione dell'accesso TLS all'API di gestione in alto, aggiungi la seguente proprietà a ui.properties:
conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true
In caso contrario, l'interfaccia utente di Edge rifiuterà un certificato autofirmato. - Riavvia la UI Edge utilizzando il comando:
$ /opt/apigee/apigee-service/bin/apigee-service edge-ui concern
Proprietà TLS per il server di gestione
La seguente tabella elenca tutte le proprietà TLS/SSL che puoi impostare in management-server.properties:
Proprietà |
Descrizione |
---|---|
conf_webserver_http.port=8080 |
Il valore predefinito è 8080. |
conf_webserver_ssl.enabled=false |
Per attivare/disattivare TLS/SSL. Con TLS/SSL abilitato (true), devi impostare anche le proprietà ssl.port e keystore.path. |
conf_webserver_http.turn.off=true |
Per attivare/disattivare http insieme a https. Se vuoi utilizzare solo HTTPS, lascia il valore predefinito su true. |
conf_webserver_ssl.port=8443 |
La porta TLS/SSL. Obbligatorio quando TLS/SSL è abilitato (conf_webserver_ssl.enabled=true). |
conf_webserver_keystore.path=<path> |
Il percorso del file dell'archivio chiavi. Obbligatorio quando TLS/SSL è abilitato (conf_webserver_ssl.enabled=true). |
conf_webserver_keystore.password= |
Utilizza una password offuscata in questo formato: OBF:xxxxxxxxxx |
conf_webserver_cert.alias= |
Alias certificato facoltativo dell'archivio chiavi |
conf_webserver_keymanager.password= |
Se il gestore delle chiavi ha una password, inserisci una versione offuscata della password in questo formato: OBF:xxxxxxxxxx |
conf_webserver_trust.all= <false | true> conf_webserver_trust.store.path=<path> conf_webserver_trust.store.password= |
Configura le impostazioni per l'archivio di attendibilità. Stabilisci se accettare tutti i certificati TLS/SSL (ad esempio, per accettare tipi non standard). Il valore predefinito è false. Fornisci il percorso dell'archivio attendibilità e inserisci una password dell'archivio di attendibilità offuscata in questo formato: OBF:xxxxxxxxxx |
conf_webserver_exclude.cipher.suites=<CIPHER_SUITE_1 CIPHER_SUITE_2> conf_webserver_include.cipher.suites= |
Indica le suite di crittografia che vuoi includere o escludere. Ad esempio, se scopri vulnerabilità in una crittografia, puoi escluderla qui. Separa più crittografie con uno spazio. Per informazioni sulle suite di crittografia e sull'architettura di crittografia, consulta:
http://docs.oracle.com/javase/8/docs/technotes/ |
conf_webserver_ssl.session.cache.size= conf_webserver_ssl.session.timeout= |
Numeri interi che determinano:
|