Edge for Private Cloud w wersji 4.17.09
Domyślnie protokół TLS jest wyłączony w przypadku interfejsu Management API, a dostęp do interfejsu Edge Management API uzyskujesz przez HTTP przy użyciu adresu IP węzła serwera zarządzania i portu 8080. Na przykład:
http://ms_IP:8080
Możesz też skonfigurować dostęp TLS do interfejsu API zarządzania, aby mieć do niego dostęp w formularz:
https://ms_IP:8443
W tym przykładzie skonfigurujesz dostęp TLS tak, aby używał portu 8443. Ten numer portu nie jest jednak wymagane przez serwer Edge – możesz skonfigurować serwer zarządzania tak, aby używał innych wartości portów. Jedyna wymaganiem jest, aby zapora sieciowa zezwalała na ruch przez określony port.
Aby zapewnić szyfrowanie ruchu przychodzącego i wychodzącego z interfejsu API zarządzania, skonfiguruj ustawienia
/opt/apigee/customer/application/management-server.properties
.
Oprócz konfiguracji TLS możesz też kontrolować weryfikację hasła (długość hasła,
i siłę), modyfikując plik management-server.properties
.
Sprawdź, czy port TLS jest otwarty
Procedura opisana w tej sekcji pozwala skonfigurować protokół TLS tak, aby używał portu 8443 na serwerze zarządzania. Niezależnie od używanego portu musisz sprawdzić, czy port jest otwarty w sekcji zarządzania Serwer Możesz na przykład otworzyć je za pomocą tego polecenia:
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose
Konfigurowanie TLS
Edytuj /opt/apigee/customer/application/management-server.properties
w celu kontrolowania użycia protokołu TLS w ruchu do i z interfejsu API zarządzania. Jeśli ten plik nie istnieje,
i ją utworzyć.
Aby skonfigurować dostęp TLS do interfejsu API zarządzania, wykonaj czynności opisane poniżej:
- Wygeneruj plik JKS magazynu kluczy zawierający certyfikat TLS i klucz prywatny. Więcej zobacz Konfigurowanie TLS/SSL dla Edge On Nieruchomość.
- Skopiuj plik JKS magazynu kluczy do katalogu w węźle serwera zarządzania, na przykład
jako
/opt/apigee/customer/application
. - Zmień własność pliku JKS na apigee:
chown apigee:apigee keystore.jks
gdzie keystore.jks to nazwa pliku magazynu kluczy. - Edytuj
/opt/apigee/customer/application/management-server.properties
na potrzeby skonfigurowania tych właściwości. Jeśli plik nie istnieje, utwórz go:conf_webserver_ssl.enabled=true # Leave conf_webserver_http.turn.off set to false # because many Edge internal calls use HTTP. conf_webserver_http.turn.off=false conf_webserver_ssl.port=8443 conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks # Enter the obfuscated keystore password below. conf_webserver_keystore.password=OBF:obfuscatedPassword conf_webserver_cert.alias=apigee-devtest
gdzie keyStore.jks to plik magazynu kluczy, obfuscatedPassword to zaciemnione hasło magazynu kluczy. Zapoznaj się z artykułem Konfigurowanie TLS/SSL dla usługi Edge On dla tematów: jak wygenerować zaciemnione hasło. - Ponownie uruchom serwer zarządzania brzegiem serwera za pomocą polecenia:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
Interfejs API zarządzania obsługuje teraz dostęp przez protokół TLS.
Konfigurowanie interfejsu Edge tak, aby uzyskiwać dostęp przy użyciu protokołu TLS interfejs Edge API
W powyższej procedurze Apigee zalecała opuszczenie instancji conf_webserver_http.turn.off=false
, aby
interfejs Edge może nadal wywoływać interfejs Edge API przez HTTP.
Wykonaj poniższe czynności, aby skonfigurować interfejs Edge, aby wykonywać te wywołania tylko przez HTTPS:
- Skonfiguruj dostęp TLS do interfejsu API zarządzania w sposób opisany powyżej.
- Po potwierdzeniu, że TLS działa w interfejsie API zarządzania, edytuj
/opt/apigee/customer/application/management-server.properties
na ustaw tę właściwość:conf_webserver_http.turn.off=true
- Ponownie uruchom serwer zarządzania brzegiem serwera za pomocą polecenia:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- Edytuj
/opt/apigee/customer/application/ui.properties
aby ustawić podaną niżej właściwość interfejsu Edge. Jeśli plik nie istnieje, utwórz go:conf_apigee_apigee.mgmt.baseurl="https://FQDN:8443/v1"
gdzie FQDN to pełna nazwa domeny, zgodnie z certyfikatem. adresu serwera zarządzania, a numer portu to port określony powyżej przezconf_webserver_ssl.port
. - Tylko w przypadku korzystania z certyfikatu podpisanego samodzielnie (niezalecane w wersji produkcyjnej
(środowisko), podczas konfigurowania dostępu TLS do interfejsu zarządzania API powyżej dodaj
tę usługę do usługi
ui.properties
:conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true
W przeciwnym razie interfejs Edge odrzuci samodzielnie podpisany certyfikat. - Ponownie uruchom interfejs Edge za pomocą polecenia:
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Właściwości TLS serwera zarządzania
Poniższa tabela zawiera wszystkie właściwości TLS/SSL, które można ustawić w management-server.properties
:
Usługi |
Opis |
---|---|
|
Wartość domyślna to 8080. |
|
Aby włączyć lub wyłączyć TLS/SSL. Gdy protokół TLS/SSL jest włączony (prawda), musisz też ustawić atrybut ssl.port i keystore.path. |
|
Aby włączyć lub wyłączyć protokół HTTP razem z https. Jeśli chcesz używać tylko protokołu HTTPS, pozostaw pole
domyślna wartość to |
|
Port TLS/SSL. Wymagane, gdy włączone jest szyfrowanie TLS/SSL ( |
|
Ścieżka do pliku magazynu kluczy. Wymagane, gdy włączone jest szyfrowanie TLS/SSL ( |
|
Użyj zaciemnionego hasła w formacie OBF:xxxxxxxxxx |
|
Opcjonalny alias certyfikatu magazynu kluczy |
|
Jeśli menedżer kluczy ma hasło, wpisz zaciemnioną wersję hasła w format: OBF:xxxxxxxxxx |
|
Skonfiguruj ustawienia magazynu zaufania. Zdecyduj, czy chcesz zaakceptować wszystkie
Certyfikaty TLS/SSL (np. do akceptowania typów niestandardowych). Wartość domyślna to |
|
Wskaż zestawy szyfrów, które chcesz uwzględnić lub wykluczyć. Jeśli na przykład wykryć lukę w zabezpieczeniach za pomocą algorytmu, możesz ją tutaj wykluczyć. Rozdziel mechanizmy szyfrowania ze spacją. Więcej informacji na temat zestawów szyfrów i architektury kryptografii można znaleźć tutaj: http://docs.oracle.com/javase/8/docs/technotes/guides/security/SunProviders.html#SunJSSE |
|
Liczba całkowita określająca:
|