Konfigurowanie protokołu TLS dla interfejsu API zarządzania

Edge for Private Cloud w wersji 4.18.01

Domyślnie protokół TLS jest wyłączony w przypadku interfejsu Management API, a dostęp do interfejsu Edge Management API uzyskujesz przez HTTP przy użyciu adresu IP węzła serwera zarządzania i portu 8080. Na przykład:

http://ms_IP:8080

Możesz też skonfigurować dostęp TLS do interfejsu API zarządzania, aby mieć do niego dostęp w formularz:

https://ms_IP:8443

W tym przykładzie skonfigurujesz dostęp TLS tak, aby używał portu 8443. Ten numer portu nie jest jednak wymagane przez serwer Edge – możesz skonfigurować serwer zarządzania tak, aby używał innych wartości portów. Jedyna wymaganiem jest, aby zapora sieciowa zezwalała na ruch przez określony port.

Aby zapewnić szyfrowanie ruchu przychodzącego i wychodzącego z interfejsu API zarządzania, skonfiguruj ustawienia /opt/apigee/customer/application/management-server.properties .

Oprócz konfiguracji TLS możesz też kontrolować sprawdzanie poprawności (długość hasła) i siłę), modyfikując plik management-server.properties.

Sprawdź, czy port TLS jest otwarty

Procedura opisana w tej sekcji pozwala skonfigurować protokół TLS tak, aby używał portu 8443 na serwerze zarządzania. Niezależnie od używanego portu musisz sprawdzić, czy port jest otwarty w sekcji zarządzania Serwer Możesz na przykład otworzyć je za pomocą tego polecenia:

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose

Konfigurowanie TLS

Edytuj /opt/apigee/customer/application/management-server.properties w celu kontrolowania użycia protokołu TLS w ruchu do i z interfejsu API zarządzania. Jeśli ten plik nie istnieje, i ją utworzyć.

Aby skonfigurować dostęp TLS do interfejsu API zarządzania, wykonaj czynności opisane poniżej:

  1. Wygeneruj plik JKS magazynu kluczy zawierający certyfikat TLS i klucz prywatny. Więcej zobacz Konfigurowanie TLS/SSL dla Edge On Nieruchomość.
  2. Skopiuj plik JKS magazynu kluczy do katalogu w węźle serwera zarządzania, na przykład jako /opt/apigee/customer/application.
  3. Zmień własność pliku JKS na apigee:
    chown apigee:apigee keystore.jks
    gdzie keystore.jks to nazwa pliku magazynu kluczy.
  4. Edytuj /opt/apigee/customer/application/management-server.properties na potrzeby skonfigurowania tych właściwości. Jeśli plik nie istnieje, utwórz go:
    conf_webserver_ssl.enabled=true
    # Leave conf_webserver_http.turn.off set to false
    # because many Edge internal calls use HTTP.
    conf_webserver_http.turn.off=false
    conf_webserver_ssl.port=8443
    conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks
    # Enter the obfuscated keystore password below.
    conf_webserver_keystore.password=OBF:obfuscatedPassword
    conf_webserver_cert.alias=apigee-devtest
    gdzie keyStore.jks to plik magazynu kluczy, obfuscatedPassword to zaciemnione hasło magazynu kluczy. Zapoznaj się z artykułem Konfigurowanie TLS/SSL dla usługi Edge On dla tematów: jak wygenerować zaciemnione hasło.
  5. Ponownie uruchom serwer zarządzania brzegiem serwera za pomocą polecenia:
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Interfejs API zarządzania obsługuje teraz dostęp przez protokół TLS.

Konfigurowanie interfejsu Edge tak, aby uzyskiwać dostęp przy użyciu protokołu TLS interfejs Edge API

W powyższej procedurze Apigee zalecała opuszczenie instancji conf_webserver_http.turn.off=false, aby interfejs Edge może nadal wywoływać interfejs Edge API przez HTTP.

Wykonaj poniższe czynności, aby skonfigurować interfejs Edge, aby wykonywać te wywołania tylko przez HTTPS:

  1. Skonfiguruj dostęp TLS do interfejsu API zarządzania w sposób opisany powyżej.
  2. Po potwierdzeniu, że TLS działa w interfejsie API zarządzania, edytuj /opt/apigee/customer/application/management-server.properties na ustaw tę właściwość: conf_webserver_http.turn.off=true
  3. Ponownie uruchom serwer zarządzania brzegiem serwera za pomocą polecenia:
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart 
  4. Edytuj /opt/apigee/customer/application/ui.properties aby ustawić podaną niżej właściwość interfejsu Edge. Jeśli plik nie istnieje, utwórz go: conf_apigee_apigee.mgmt.baseurl="https://FQDN:8443/v1" gdzie FQDN to pełna nazwa domeny, zgodnie z certyfikatem. adresu serwera zarządzania, a numer portu to port określony powyżej przez conf_webserver_ssl.port.
  5. Tylko w przypadku korzystania z certyfikatu podpisanego samodzielnie (niezalecane w wersji produkcyjnej (środowisko), podczas konfigurowania dostępu TLS do interfejsu zarządzania API powyżej dodaj tę usługę do usługi ui.properties: conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true W przeciwnym razie interfejs Edge odrzuci samodzielnie podpisany certyfikat.
  6. Ponownie uruchom interfejs Edge za pomocą polecenia:
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

Właściwości TLS serwera zarządzania

Poniższa tabela zawiera wszystkie właściwości TLS/SSL, które można ustawić w management-server.properties:

Usługi

Opis

conf_webserver_http.port=8080

Wartość domyślna to 8080.

conf_webserver_ssl.enabled=false

Aby włączyć lub wyłączyć TLS/SSL. Gdy protokół TLS/SSL jest włączony (prawda), musisz też ustawić atrybut ssl.port i keystore.path.

conf_webserver_http.turn.off=true

Aby włączyć lub wyłączyć protokół HTTP razem z https. Jeśli chcesz używać tylko protokołu HTTPS, pozostaw pole domyślna wartość to true.

conf_webserver_ssl.port=8443

Port TLS/SSL.

Wymagane, gdy włączone jest szyfrowanie TLS/SSL (conf_webserver_ssl.enabled=true).

conf_webserver_keystore.path=<path>

Ścieżka do pliku magazynu kluczy.

Wymagane, gdy włączone jest szyfrowanie TLS/SSL (conf_webserver_ssl.enabled=true).

conf_webserver_keystore.password=

Użyj zaciemnionego hasła w formacie OBF:xxxxxxxxxx

conf_webserver_cert.alias=

Opcjonalny alias certyfikatu magazynu kluczy

conf_webserver_keymanager.password=

Jeśli menedżer kluczy ma hasło, wpisz zaciemnioną wersję hasła w format: OBF:xxxxxxxxxx

conf_webserver_trust.all= <false | true>

conf_webserver_trust.store.path=<path>

conf_webserver_trust.store.password=

Skonfiguruj ustawienia magazynu zaufania. Zdecyduj, czy chcesz zaakceptować wszystkie Certyfikaty TLS/SSL (np. do akceptowania typów niestandardowych). Wartość domyślna to false. Podaj ścieżkę do magazynu zaufania i wpisz zaciemnione hasło tego magazynu w tym formacie: OBF:xxxxxxxxxx

conf_webserver_exclude.cipher.suites=<CIPHER_SUITE_1 CIPHER_SUITE_2>

conf_webserver_include.cipher.suites=

Wskaż zestawy szyfrów, które chcesz uwzględnić lub wykluczyć. Jeśli na przykład wykryć lukę w zabezpieczeniach za pomocą algorytmu, możesz ją tutaj wykluczyć. Rozdziel mechanizmy szyfrowania ze spacją.

Więcej informacji na temat zestawów szyfrów i architektury kryptografii można znaleźć tutaj:

http://docs.oracle.com/javase/8/docs/technotes/guides/security/SunProviders.html#SunJSSE

conf_webserver_ssl.session.cache.size=

conf_webserver_ssl.session.timeout=

Liczba całkowita określająca:

  • Rozmiar pamięci podręcznej sesji TLS/SSL (w bajtach), która jest używana do przechowywania informacji o sesji dla wielu klientów.
  • Czas trwania sesji TLS/SSL przed upływem limitu czasu (w milisekund).