Edge pour Private Cloud version 4.17.09
Par défaut, TLS est désactivé pour l'API de gestion et vous accédez à l'API de gestion Edge via HTTP en utilisant l'adresse IP du nœud du serveur de gestion et le port 8080. Exemple :
http://ms_IP:8080
Vous pouvez également configurer l'accès TLS à l'API de gestion afin de pouvoir y accéder dans au format suivant:
https://ms_IP:8443
Dans cet exemple, vous configurez l'accès TLS pour utiliser le port 8443. Cependant, ce numéro de port n'est pas requis par Edge. Vous pouvez configurer le serveur de gestion pour qu'il utilise d'autres valeurs de port. La seule condition est que votre pare-feu autorise le trafic sur le port spécifié.
Pour garantir le chiffrement du trafic vers et depuis votre API de gestion, configurez les paramètres dans le
/opt/apigee/customer/application/management-server.properties
.
Outre la configuration TLS, vous pouvez également contrôler la validation des mots de passe (longueur
et le niveau de sécurité) en modifiant le fichier management-server.properties
.
Vérifiez que votre port TLS est ouvert
La procédure décrite dans cette section permet de configurer le protocole TLS afin qu'il utilise le port 8443 sur le serveur de gestion. Quel que soit le port que vous utilisez, vous devez vous assurer qu'il est ouvert sur la console Google Cloud. Par exemple, vous pouvez utiliser la commande suivante pour l'ouvrir:
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose<ph type="x-smartling-placeholder">
Configurer TLS
Modifier /opt/apigee/customer/application/management-server.properties
pour contrôler l'utilisation de TLS sur le trafic vers et depuis votre API de gestion. Si ce fichier n'existe pas,
le créer.
Pour configurer l'accès TLS à l'API de gestion, procédez comme suit:
- Générez le fichier JKS du keystore contenant votre certification TLS et votre clé privée. Pour plus voir Configuration de TLS/SSL pour Edge On Locaux.
- Copiez le fichier JKS du keystore dans un répertoire du nœud du serveur de gestion, tel que
en tant que
/opt/apigee/customer/application
. - Changez la propriété du fichier JKS pour apigee:
chown apigee:apigee keystore.jks
où keystore.jks est le nom de votre fichier keystore. - Modifier
/opt/apigee/customer/application/management-server.properties
pour définir les propriétés suivantes. Si ce fichier n'existe pas, créez-le:conf_webserver_ssl.enabled=true # Leave conf_webserver_http.turn.off set to false # because many Edge internal calls use HTTP. conf_webserver_http.turn.off=false conf_webserver_ssl.port=8443 conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks # Enter the obfuscated keystore password below. conf_webserver_keystore.password=OBF:obfuscatedPassword conf_webserver_cert.alias=apigee-devtest
où keyStore.jks est votre fichier keystore et obfuscatedPassword correspond au mot de passe de votre keystore obscurci. Pour en savoir plus, consultez la section Configurer TLS/SSL pour Edge On Premises. sur la génération d'un mot de passe obscurci. - Redémarrez le serveur de gestion Edge à l'aide de la commande suivante:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
L'API de gestion est désormais compatible avec l'accès via TLS.
Configurer l'interface utilisateur Edge afin d'utiliser TLS pour accéder l'API Edge
Dans la procédure ci-dessus, Apigee a recommandé de laisser conf_webserver_http.turn.off=false
pour que
l'interface utilisateur Edge peut continuer à effectuer
des appels d'API Edge via HTTP.
Utilisez la procédure suivante pour configurer l'interface utilisateur Edge afin d'effectuer ces appels via HTTPS uniquement:
- Configurez l'accès TLS à l'API de gestion comme décrit ci-dessus.
- Après avoir vérifié que le protocole TLS fonctionne pour l'API de gestion, modifiez
/opt/apigee/customer/application/management-server.properties
pour définissez la propriété suivante:conf_webserver_http.turn.off=true
- Redémarrez le serveur de gestion Edge à l'aide de la commande suivante:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- Modifier
/opt/apigee/customer/application/ui.properties
pour définir la propriété suivante pour l'interface utilisateur Edge. Si ce fichier n'existe pas, créez-le:conf_apigee_apigee.mgmt.baseurl="https://FQDN:8443/v1"
où FQDN correspond au nom de domaine complet, conformément à votre certificat adresse IP du serveur de gestion, et le numéro de port est le port spécifié ci-dessus parconf_webserver_ssl.port
- Uniquement si vous avez utilisé un certificat autosigné (non recommandé dans un
lorsque vous configurez l'accès TLS à l'API de gestion ci-dessus, ajoutez le paramètre
la propriété suivante à
ui.properties
:conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true
Sinon, l'interface utilisateur Edge rejettera un certificat autosigné. - Redémarrez l'interface utilisateur Edge à l'aide de la commande suivante:
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Propriétés TLS pour le serveur de gestion
Le tableau suivant répertorie toutes les propriétés TLS/SSL que vous pouvez définir dans management-server.properties
:
Propriétés |
Description |
---|---|
|
La valeur par défaut est 8080. |
|
Pour activer/désactiver TLS/SSL, Lorsque TLS/SSL est activé (true), vous devez également définir le paramètre ssl.port et keystore.path. |
|
Pour activer/désactiver http avec https. Si vous souhaitez utiliser uniquement HTTPS, laissez la
la valeur par défaut est |
|
Port TLS/SSL. Obligatoire lorsque TLS/SSL est activé ( |
|
Chemin d'accès à votre fichier keystore. Obligatoire lorsque TLS/SSL est activé ( |
|
Utilisez un mot de passe obscurci au format suivant: OBF:xxxxxxxxxx. |
|
Alias de certificat du keystore facultatif |
|
Si votre gestionnaire de clés dispose d'un mot de passe, saisissez une version obscurcie du mot de passe dans ce format: OBF:xxxxxxxxxx |
|
Configurez les paramètres de votre magasin de confiance. Déterminez si vous souhaitez tout accepter
Certificats TLS/SSL (pour accepter les types non standards, par exemple) La valeur par défaut est |
|
Indiquez les suites de chiffrement que vous souhaitez inclure ou exclure. Par exemple, si vous découvrir la vulnérabilité d’un chiffrement, vous pouvez l’exclure ici. Séparer plusieurs algorithmes de chiffrement avec un espace. Pour en savoir plus sur les suites de chiffrement et l'architecture de cryptographie, consultez les pages suivantes: <ph type="x-smartling-placeholder"></ph> http://docs.oracle.com/javase/8/docs/technotes/guides/security/SunProviders.html#SunJSSE |
|
Entiers qui déterminent:
|