Edge for Private Cloud v. 4.17.05
Varsayılan olarak TLS, Management API için devre dışıdır. Yönetim Sunucusu düğümünün IP adresi ile 8080 bağlantı noktasının IP adresini kullanarak HTTP üzerinden Edge Management API'ye erişirsiniz. Örneğin:
http://ms_IP:8080
Alternatif olarak, TLS'nin Management API'ye erişimini aşağıdaki biçimde yapılandırabilirsiniz:
https://ms_IP:8443
Bu örnekte, TLS erişimini 8443 bağlantı noktasını kullanacak şekilde yapılandırıyorsunuz. Ancak bu bağlantı noktası numarası Edge için gerekli değildir. Yönetim Sunucusu'nu diğer bağlantı noktası değerlerini kullanacak şekilde yapılandırabilirsiniz. Tek şart, güvenlik duvarınızın belirtilen bağlantı noktası üzerinden trafiğe izin vermesidir.
Yönetim API'nize gelen ve yönetim API'nizden gelen trafik şifrelemesini sağlamak için /opt/apigee/customer/application/management-server.properties dosyasındaki ayarları yapılandırın.
TLS yapılandırmasına ek olarak, management-server.properties dosyasını değiştirerek şifre doğrulamasını (şifre uzunluğu ve gücü) kontrol edebilirsiniz.
TLS bağlantı noktanızın açık olduğundan emin olun
Bu bölümdeki prosedür, TLS'yi Yönetim Sunucusu'nda 8443 numaralı bağlantı noktasını kullanacak şekilde yapılandırır. Kullandığınız bağlantı noktası ne olursa olsun, Yönetim Sunucusu'nda bağlantı noktasının açık olduğundan emin olmanız gerekir. Örneğin, dosyayı açmak için aşağıdaki komutu kullanabilirsiniz:
$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose
TLS'yi yapılandırın
Yönetim API'nize gelen ve bu API'den giden trafikteki TLS kullanımını kontrol etmek için /opt/apigee/customer/application/management-server.properties dosyasını düzenleyin. Bu dosya yoksa oluşturun.
Yönetim API'sine TLS erişimini yapılandırmak için aşağıdaki prosedürü kullanın:
- TLS sertifikanızı ve özel anahtarınızı içeren anahtar deposu JKS dosyasını oluşturun. Daha fazla bilgi için Uç Şirket İçin TLS/SSL'yi Yapılandırma bölümüne bakın.
- Anahtar deposu JKS dosyasını Yönetim Sunucusu düğümündeki /opt/apigee/customer/application gibi bir dizine kopyalayın.
- JKS dosyasının sahipliğini Apigee olarak değiştirin:
$ chown Apigee:Apigee keystore.jks
Buradaki keystore.jks, anahtar deposu dosyanızın adıdır. - Aşağıdaki özellikleri ayarlamak için /opt/apigee/customer/application/management-server.properties dosyasını düzenleyin. Söz konusu dosya mevcut değilse dosyayı oluşturun:
conf_webserver_ssl.enabled=true
# conf_webserver_http.turn.off değerini false olarak bırakın
# Bunun nedeni birçok Edge dahili çağrısının HTTP kullanmasıdır.
conf_webserver_http.turn.off=false
conf_webserver_ssl.port=8443
conf_webserver_keystore.path=/opt/impression/customer/application/keystore.jks
# Karartılmış anahtar deposu şifresini aşağıya girin.
conf_webserver_keystore.password=OBF:obfuscatedPassword
conf_webserver_cert.alias=become-devtest
Burada keyStore.jks anahtar deposu dosyanız, obfuscatedPassword ise karartılmış anahtar deposu şifrenizdir. Kodu karartılmış şifre oluşturma hakkında bilgi edinmek için Web'de Edge üzerinde TLS/SSL'yi yapılandırma başlıklı makaleye bakın. - Şu komutu kullanarak Uç Yönetim Sunucusu'nu yeniden başlatın:
$ /opt/../..//../../-service/bin/Apigee-service Edge-management-server restart
Management API artık TLS üzerinden erişimi desteklemektedir.
TLS'nin doğru çalıştığından emin olduktan sonra, örneğin Edge kullanıcı arayüzü için çalıştığından emin olduktan sonra yönetim API'sine HTTP erişimini sonraki bölümde açıklandığı şekilde devre dışı bırakabilirsiniz.
Edge API'ye erişmek için TLS'yi kullanmak üzere Edge kullanıcı arayüzünü yapılandırma
Yukarıdaki prosedürde Apigee, Edge kullanıcı arayüzünün HTTP üzerinden Edge API çağrıları yapmaya devam edebilmesi için conf_webserver_http.turn.off=false değerinin bırakılmasını önerdi.
Edge kullanıcı arayüzünü, bu çağrıları yalnızca HTTPS üzerinden yapacak şekilde yapılandırmak için aşağıdaki prosedürü kullanın:
- Yönetim API'sine TLS erişimini yukarıda açıklandığı gibi yapılandırın.
- TLS'nin yönetim API'si için çalıştığını onayladıktan sonra /opt/../..//customer/application/management-server.properties dosyasını düzenleyerek aşağıdaki özelliği ayarlayın:
conf_webserver_http.turn.off=true - Şu komutu kullanarak Uç Yönetim Sunucusu'nu yeniden başlatın:
$ /opt/../..//../../-service/bin/Apigee-service Edge-management-server restart - /opt/Apigee/customer/application/ui.properties değerini düzenleyerek Edge kullanıcı arayüzü için aşağıdaki özelliği ayarlayın. Bu dosya mevcut değilse oluşturun:
conf_Apigee_Apigee.mgmt.baseurl="https://FQDN:8443/v1"
Buradaki FQDN, yönetim sunucusunun sertifika adresinize göre tam alan adıdır.Bağlantı noktası numarası ise yukarıda conf_webserver_ssl tarafından belirtilen bağlantı noktasıdır. - Yukarıdaki yönetim API'sine TLS erişimini yapılandırırken yalnızca kendinden imzalı bir sertifika kullandıysanız (üretim ortamında önerilmez) ui.properties öğesine şu özelliği ekleyin:
conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true
Aksi takdirde Edge kullanıcı arayüzü, kendinden imzalı bir sertifikayı reddeder. - Şu komutu kullanarak Edge kullanıcı arayüzünü yeniden başlatın:
$ /opt/Apigee/Apigee-service/bin/Apigee-service Edge-ui restart
Yönetim Sunucusu için TLS özellikleri
Aşağıdaki tabloda, management-server.properties içinde ayarlayabileceğiniz tüm TLS/SSL özellikleri listelenmiştir:
Mülkler |
Açıklama |
---|---|
conf_webserver_http.port=8080 |
Varsayılan değer 8080'dir. |
conf_webserver_ssl.enabled=false |
TLS/SSL'yi etkinleştirmek/devre dışı bırakmak için TLS/SSL etkinken (true) ssl.port ve keystore.path özelliklerini de ayarlamanız gerekir. |
conf_webserver_http.turn.off=true |
https ile birlikte http'yi etkinleştirmek/devre dışı bırakmak için. Yalnızca HTTPS kullanmak istiyorsanız varsayılan değeri true olarak bırakın. |
conf_webserver_ssl.port=8443 |
TLS/SSL bağlantı noktası. TLS/SSL etkinleştirildiğinde gereklidir (conf_webserver_ssl.enabled=true). |
conf_webserver_keystore.path=<path> |
Anahtar deposu dosyanızın yolu. TLS/SSL etkinleştirildiğinde gereklidir (conf_webserver_ssl.enabled=true). |
conf_webserver_keystore.password= |
Şu biçimde karartılmış bir şifre kullanın: OBF:xxxxxxxxxx |
conf_webserver_cert.alias= |
İsteğe bağlı anahtar deposu sertifikası takma adı |
conf_webserver_keymanager.password= |
Anahtar yöneticinizin şifresi varsa bu şifrenin gizlenmiş bir versiyonunu şu biçimde girin: OBF:xxxxxxxxxx |
conf_webserver_trust.all= <false | true> conf_webserver_trust.store.path=<path> conf_webserver_trust.store.password= |
Güven deponuzun ayarlarını yapılandırın. Tüm TLS/SSL sertifikalarını kabul etmek (örneğin, standart olmayan türleri kabul etmek) isteyip istemediğinizi belirleyin. Varsayılan değer, false (yanlış) değeridir. Güven deponuzun yolunu girin ve şu biçimde karartılmış bir güven deposu şifresi girin: OBF:xxxxxxxxxx |
conf_webserver_excl.cipher.suites=<CIPHER_SUITE_1 CIPHER_SUITE_2> conf_webserver_include.cipher.suites= |
Dahil etmek veya hariç tutmak istediğiniz şifre paketlerini belirtin. Örneğin, bir şifrede güvenlik açığı bulursanız buradan hariç tutabilirsiniz. Birden çok şifreyi boşlukla ayırın. Şifreleme paketleri ve kriptografi mimarisi hakkında bilgi edinmek için aşağıdaki sayfalara göz atın:
http://docs.oracle.com/javase/8/docs/technotes/ |
conf_webserver_ssl.session.cache.size= conf_webserver_ssl.session.timeout= |
Şunları belirleyen tam sayılar:
|