Configura TLS para la API de administración

Edge for Private Cloud v4.18.01

De forma predeterminada, TLS está inhabilitado para la API de administración y puedes acceder a la API de Edge Management mediante HTTP con la dirección IP del nodo del servidor de administración y el puerto 8080. Por ejemplo:

http://ms_IP:8080

De manera alternativa, puedes configurar el acceso TLS a la API de administración para poder acceder a ella en el formulario:

https://ms_IP:8443

En este ejemplo, se configura el acceso TLS para usar el puerto 8443. Sin embargo, ese número de puerto no es que requiere Edge. Puedes configurar el servidor de administración para que use otros valores de puerto. El único es que tu firewall permita el tráfico en el puerto especificado.

Para garantizar la encriptación del tráfico desde y hacia tu API de administración, establece la configuración en /opt/apigee/customer/application/management-server.properties .

Además de la configuración de TLS, también puede controlar la validación de la contraseña (longitud de la contraseña) y la calidad) modificando el archivo management-server.properties.

Asegúrate de que el puerto TLS esté abierto

El procedimiento de esta sección configura TLS para usar el puerto 8443 en el servidor de administración. Sin importar el puerto que uses, debes asegurarte de que esté abierto en la consola de administración Servidor. Por ejemplo, puedes usar el siguiente comando para abrirlo:

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose

Configura TLS

Edita el /opt/apigee/customer/application/management-server.properties para controlar el uso de TLS en el tráfico desde y hacia tu API de administración. Si este archivo no existe, crearla.

Usa el siguiente procedimiento para configurar el acceso TLS a la API de administración:

  1. Genera el archivo JKS de almacén de claves que contiene tu certificación TLS y tu clave privada. Para ver más consulta Configura TLS/SSL para Edge On Instalaciones.
  2. Copia el archivo JKS del almacén de claves en un directorio en el nodo del servidor de administración, como como /opt/apigee/customer/application.
  3. Cambia la propiedad del archivo JKS a Apigee:
    chown apigee:apigee keystore.jks
    En el ejemplo anterior, keystore.jks es el nombre del archivo del almacén de claves.
  4. Editar /opt/apigee/customer/application/management-server.properties para establecer las siguientes propiedades. Si ese archivo no existe, créalo:
    conf_webserver_ssl.enabled=true
    # Leave conf_webserver_http.turn.off set to false
    # because many Edge internal calls use HTTP.
    conf_webserver_http.turn.off=false
    conf_webserver_ssl.port=8443
    conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks
    # Enter the obfuscated keystore password below.
    conf_webserver_keystore.password=OBF:obfuscatedPassword
    conf_webserver_cert.alias=apigee-devtest
    En el ejemplo anterior, keyStore.jks es el archivo del almacén de claves. obfuscatedPassword es la contraseña de tu almacén de claves ofuscada. Consulta Configura TLS/SSL para Edge On-Local información para generar contraseñas ofuscadas.
  5. Reinicia el servidor de administración perimetral con el siguiente comando:
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

La API de Management ahora admite el acceso a través de TLS.

Configurar la IU de Edge para que use TLS para acceder la API de Edge

En el procedimiento anterior, Apigee recomendó dejar conf_webserver_http.turn.off=false para que la IU de Edge puede seguir haciendo llamadas a la API de Edge a través de HTTP.

Usa el siguiente procedimiento para configurar la IU de Edge y realizar estas llamadas solo a través de HTTPS:

  1. Configura el acceso TLS a la API de administración como se describió anteriormente.
  2. Después de confirmar que TLS funciona para la API de administración, edita /opt/apigee/customer/application/management-server.properties en establece la siguiente propiedad: conf_webserver_http.turn.off=true
  3. Reinicia el servidor de administración perimetral con el siguiente comando:
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart 
  4. Editar /opt/apigee/customer/application/ui.properties para configurar la siguiente propiedad de la IU de Edge. Si ese archivo no existe, créalo: conf_apigee_apigee.mgmt.baseurl="https://FQDN:8443/v1" En el ejemplo anterior, FQDN es el nombre de dominio completo, según tu certificado. del servidor de administración, y el número de puerto es el que especifica arriba conf_webserver_ssl.port
  5. Solo si usaste un certificado autofirmado (no se recomienda en una producción) ) cuando configures el acceso TLS a la API de administración anterior, agrega siguiente propiedad como ui.properties: conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true De lo contrario, la IU de Edge rechazará un certificado autofirmado.
  6. Reinicia la IU de Edge con el siguiente comando:
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

Propiedades de TLS para el servidor de administración

En la siguiente tabla, se enumeran todas las propiedades TLS/SSL que puedes configurar en management-server.properties:

Propiedades

Descripción

conf_webserver_http.port=8080

El valor predeterminado es 8080.

conf_webserver_ssl.enabled=false

Habilitar o inhabilitar TLS/SSL Cuando TLS/SSL está habilitado (verdadero), también debes configurar el parámetro ssl.port y keystore.path.

conf_webserver_http.turn.off=true

Habilitar/inhabilitar HTTP junto con HTTPS Si solo quieres usar HTTPS, deja el valor predeterminado en true.

conf_webserver_ssl.port=8443

El puerto TLS/SSL.

Obligatorio cuando TLS/SSL está habilitado (conf_webserver_ssl.enabled=true).

conf_webserver_keystore.path=<path>

La ruta de acceso al archivo de almacén de claves.

Obligatorio cuando TLS/SSL está habilitado (conf_webserver_ssl.enabled=true).

conf_webserver_keystore.password=

Usa una contraseña ofuscada en el siguiente formato: OBF:xxxxxxxxxx

conf_webserver_cert.alias=

Alias de certificado del almacén de claves opcional

conf_webserver_keymanager.password=

Si tu administrador de claves tiene una contraseña, ingresa una versión ofuscada de la contraseña en este formato: OBF:xxxxxxxxxx

conf_webserver_trust.all= <false | true>

conf_webserver_trust.store.path=<path>

conf_webserver_trust.store.password=

Establece la configuración para tu almacén de confianza. Determina si deseas aceptar todas Certificados TLS/SSL (por ejemplo, para aceptar tipos no estándar) La ruta predeterminada es false. Proporciona la ruta a tu almacén de confianza y, luego, ingresa una contraseña de almacén de confianza ofuscada en este formato: OBF:xxxxxxxxxx

conf_webserver_exclude.cipher.suites=<CIPHER_SUITE_1 CIPHER_SUITE_2>

conf_webserver_include.cipher.suites=

Indica los conjuntos de algoritmos de cifrado que deseas incluir o excluir. Por ejemplo, si descubres la vulnerabilidad en un algoritmo de cifrado, puedes excluirla aquí. Separa varios algoritmos de cifrado con un espacio.

Para obtener más información sobre los conjuntos de algoritmos de cifrado y la arquitectura de criptografía, consulta lo siguiente:

http://docs.oracle.com/javase/8/docs/technotes/guides/security/SunProviders.html#SunJSSE

conf_webserver_ssl.session.cache.size=

conf_webserver_ssl.session.timeout=

Números enteros que determinan lo siguiente:

  • El tamaño de caché de la sesión TLS/SSL (en bytes) para almacenar la información de la sesión de varios clientes.
  • La cantidad de tiempo que pueden durar las sesiones TLS/SSL antes de que se agote el tiempo de espera (en milisegundos).