Management API için TLS'yi yapılandırma

Edge for Private Cloud v. 4.17.05

Varsayılan olarak TLS, Management API için devre dışıdır. Yönetim Sunucusu düğümünün IP adresi ile 8080 bağlantı noktasının IP adresini kullanarak HTTP üzerinden Edge Management API'ye erişirsiniz. Örneğin:

http://ms_IP:8080

Alternatif olarak, TLS'nin Management API'ye erişimini aşağıdaki biçimde yapılandırabilirsiniz:

https://ms_IP:8443

Bu örnekte, TLS erişimini 8443 bağlantı noktasını kullanacak şekilde yapılandırıyorsunuz. Ancak bu bağlantı noktası numarası Edge için gerekli değildir. Yönetim Sunucusu'nu diğer bağlantı noktası değerlerini kullanacak şekilde yapılandırabilirsiniz. Tek şart, güvenlik duvarınızın belirtilen bağlantı noktası üzerinden trafiğe izin vermesidir.

Yönetim API'nize gelen ve yönetim API'nizden gelen trafik şifrelemesini sağlamak için /opt/apigee/customer/application/management-server.properties dosyasındaki ayarları yapılandırın.

TLS yapılandırmasına ek olarak, management-server.properties dosyasını değiştirerek şifre doğrulamasını (şifre uzunluğu ve gücü) kontrol edebilirsiniz.

TLS bağlantı noktanızın açık olduğundan emin olun

Bu bölümdeki prosedür, TLS'yi Yönetim Sunucusu'nda 8443 numaralı bağlantı noktasını kullanacak şekilde yapılandırır. Kullandığınız bağlantı noktası ne olursa olsun, Yönetim Sunucusu'nda bağlantı noktasının açık olduğundan emin olmanız gerekir. Örneğin, dosyayı açmak için aşağıdaki komutu kullanabilirsiniz:

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose

TLS'yi yapılandırın

Yönetim API'nize gelen ve bu API'den giden trafikteki TLS kullanımını kontrol etmek için /opt/apigee/customer/application/management-server.properties dosyasını düzenleyin. Bu dosya yoksa oluşturun.

Yönetim API'sine TLS erişimini yapılandırmak için aşağıdaki prosedürü kullanın:

  1. TLS sertifikanızı ve özel anahtarınızı içeren anahtar deposu JKS dosyasını oluşturun. Daha fazla bilgi için Uç Şirket İçin TLS/SSL'yi Yapılandırma bölümüne bakın.
  2. Anahtar deposu JKS dosyasını Yönetim Sunucusu düğümündeki /opt/apigee/customer/application gibi bir dizine kopyalayın.
  3. JKS dosyasının sahipliğini Apigee olarak değiştirin:
    $ chown Apigee:Apigee keystore.jks

    Buradaki keystore.jks, anahtar deposu dosyanızın adıdır.
  4. Aşağıdaki özellikleri ayarlamak için /opt/apigee/customer/application/management-server.properties dosyasını düzenleyin. Söz konusu dosya mevcut değilse dosyayı oluşturun:
    conf_webserver_ssl.enabled=true
    # conf_webserver_http.turn.off değerini false olarak bırakın
    # Bunun nedeni birçok Edge dahili çağrısının HTTP kullanmasıdır.
    conf_webserver_http.turn.off=false
    conf_webserver_ssl.port=8443
    conf_webserver_keystore.path=/opt/impression/customer/application/keystore.jks
    # Karartılmış anahtar deposu şifresini aşağıya girin.
    conf_webserver_keystore.password=OBF:obfuscatedPassword
    conf_webserver_cert.alias=become-devtest

    Burada keyStore.jks anahtar deposu dosyanız, obfuscatedPassword ise karartılmış anahtar deposu şifrenizdir. Kodu karartılmış şifre oluşturma hakkında bilgi edinmek için Web'de Edge üzerinde TLS/SSL'yi yapılandırma başlıklı makaleye bakın.
  5. Şu komutu kullanarak Uç Yönetim Sunucusu'nu yeniden başlatın:
    $ /opt/../..//../../-service/bin/Apigee-service Edge-management-server restart

Management API artık TLS üzerinden erişimi desteklemektedir.

TLS'nin doğru çalıştığından emin olduktan sonra, örneğin Edge kullanıcı arayüzü için çalıştığından emin olduktan sonra yönetim API'sine HTTP erişimini sonraki bölümde açıklandığı şekilde devre dışı bırakabilirsiniz.

Edge API'ye erişmek için TLS'yi kullanmak üzere Edge kullanıcı arayüzünü yapılandırma

Yukarıdaki prosedürde Apigee, Edge kullanıcı arayüzünün HTTP üzerinden Edge API çağrıları yapmaya devam edebilmesi için conf_webserver_http.turn.off=false değerinin bırakılmasını önerdi.

Edge kullanıcı arayüzünü, bu çağrıları yalnızca HTTPS üzerinden yapacak şekilde yapılandırmak için aşağıdaki prosedürü kullanın:

  1. Yönetim API'sine TLS erişimini yukarıda açıklandığı gibi yapılandırın.
  2. TLS'nin yönetim API'si için çalıştığını onayladıktan sonra /opt/../..//customer/application/management-server.properties dosyasını düzenleyerek aşağıdaki özelliği ayarlayın:
    conf_webserver_http.turn.off=true
  3. Şu komutu kullanarak Uç Yönetim Sunucusu'nu yeniden başlatın:
    $ /opt/../..//../../-service/bin/Apigee-service Edge-management-server restart
  4. /opt/Apigee/customer/application/ui.properties değerini düzenleyerek Edge kullanıcı arayüzü için aşağıdaki özelliği ayarlayın. Bu dosya mevcut değilse oluşturun:
    conf_Apigee_Apigee.mgmt.baseurl="https://FQDN:8443/v1"

    Buradaki FQDN, yönetim sunucusunun sertifika adresinize göre tam alan adıdır.Bağlantı noktası numarası ise yukarıda conf_webserver_ssl tarafından belirtilen bağlantı noktasıdır.
  5. Yukarıdaki yönetim API'sine TLS erişimini yapılandırırken yalnızca kendinden imzalı bir sertifika kullandıysanız (üretim ortamında önerilmez) ui.properties öğesine şu özelliği ekleyin:
    conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true

    Aksi takdirde Edge kullanıcı arayüzü, kendinden imzalı bir sertifikayı reddeder.
  6. Şu komutu kullanarak Edge kullanıcı arayüzünü yeniden başlatın:
    $ /opt/Apigee/Apigee-service/bin/Apigee-service Edge-ui restart

Yönetim Sunucusu için TLS özellikleri

Aşağıdaki tabloda, management-server.properties içinde ayarlayabileceğiniz tüm TLS/SSL özellikleri listelenmiştir:

Mülkler

Açıklama

conf_webserver_http.port=8080

Varsayılan değer 8080'dir.

conf_webserver_ssl.enabled=false

TLS/SSL'yi etkinleştirmek/devre dışı bırakmak için TLS/SSL etkinken (true) ssl.port ve keystore.path özelliklerini de ayarlamanız gerekir.

conf_webserver_http.turn.off=true

https ile birlikte http'yi etkinleştirmek/devre dışı bırakmak için. Yalnızca HTTPS kullanmak istiyorsanız varsayılan değeri true olarak bırakın.

conf_webserver_ssl.port=8443

TLS/SSL bağlantı noktası.

TLS/SSL etkinleştirildiğinde gereklidir (conf_webserver_ssl.enabled=true).

conf_webserver_keystore.path=<path>

Anahtar deposu dosyanızın yolu.

TLS/SSL etkinleştirildiğinde gereklidir (conf_webserver_ssl.enabled=true).

conf_webserver_keystore.password=

Şu biçimde karartılmış bir şifre kullanın: OBF:xxxxxxxxxx

conf_webserver_cert.alias=

İsteğe bağlı anahtar deposu sertifikası takma adı

conf_webserver_keymanager.password=

Anahtar yöneticinizin şifresi varsa bu şifrenin gizlenmiş bir versiyonunu şu biçimde girin: OBF:xxxxxxxxxx

conf_webserver_trust.all= <false | true>

conf_webserver_trust.store.path=<path>

conf_webserver_trust.store.password=

Güven deponuzun ayarlarını yapılandırın. Tüm TLS/SSL sertifikalarını kabul etmek (örneğin, standart olmayan türleri kabul etmek) isteyip istemediğinizi belirleyin. Varsayılan değer, false (yanlış) değeridir. Güven deponuzun yolunu girin ve şu biçimde karartılmış bir güven deposu şifresi girin: OBF:xxxxxxxxxx

conf_webserver_excl.cipher.suites=<CIPHER_SUITE_1 CIPHER_SUITE_2>

conf_webserver_include.cipher.suites=

Dahil etmek veya hariç tutmak istediğiniz şifre paketlerini belirtin. Örneğin, bir şifrede güvenlik açığı bulursanız buradan hariç tutabilirsiniz. Birden çok şifreyi boşlukla ayırın.

Şifreleme paketleri ve kriptografi mimarisi hakkında bilgi edinmek için aşağıdaki sayfalara göz atın:

http://docs.oracle.com/javase/8/docs/technotes/
Guides/security/SunProviders.html#SunJSSE

conf_webserver_ssl.session.cache.size=

conf_webserver_ssl.session.timeout=

Şunları belirleyen tam sayılar:

  • Birden fazla istemcinin oturum bilgilerini depolamak için kullanılan TLS/SSL oturum önbelleği boyutu (bayt cinsinden).
  • TLS/SSL oturumlarının zaman aşımına uğramadan önce sürebileceği süre (milisaniye cinsinden).