Se usó la API de Cloud Translation para traducir esta página.

Cómo configurar TLS para BaaS de API

Edge para la nube privada v4.18.01

TLS (seguridad de la capa de transporte, cuyo predecesor es SSL) es la tecnología de seguridad estándar para garantizar la mensajería segura y encriptada en todo el entorno de la API. Puedes configurar TLS en el portal de BaaS de la API y en los nodos de la pila de BaaS de la API.

En la siguiente imagen, se muestra un diagrama de implementación típico de BaaS de API con un solo nodo del portal de BaaS y tres nodos de pila de BaaS de la API.

Los desarrolladores usan un navegador para realizar solicitudes al portal. De forma predeterminada, las solicitudes usan el protocolo HTTP en el puerto 9000 del nodo del portal.

Esta implementación incluye un balanceador de cargas entre los nodos del portal y la pila. En esta configuración, el Portal realiza solicitudes HTTP al balanceador de cargas, y este luego reenvía las solicitudes a uno de los nodos de Stack. Este es el entorno de implementación recomendado para un sistema de producción.

Opciones de configuración de TLS

Cuando configuras TLS para BaaS de API, tienes varias opciones:

Configura TLS en el portal y en el balanceador de cargas para los nodos de Stack

En esta configuración, los desarrolladores usan el protocolo HTTPS para acceder al portal, y el portal que se ejecuta en el navegador usa HTTPS para realizar solicitudes a los nodos de pila a través del balanceador de cargas. El balanceador de cargas usa HTTP para acceder a los nodos de Stack.
Configura TLS en el portal, el balanceador de cargas y los nodos de Stack

Para mayor seguridad, configura el balanceador de cargas a fin de que use TLS para acceder a los nodos de Stack.
Configura TLS en el portal y en un solo nodo de Stack

En un entorno pequeño, como un entorno de pruebas o de desarrollo, es posible que solo tengas un nodo de Stack único, lo que significa que no es necesario incluir un balanceador de cargas. En esta configuración, configura TLS en los nodos del portal y la pila.
Configura TLS en un balanceador de cargas para el portal

Una de las opciones que no se muestran arriba es usar un balanceador de cargas frente al nodo del portal. En esa configuración, puedes configurar TLS en el balanceador de cargas y, de manera opcional, en la conexión entre el balanceador de cargas y el portal.

Asegúrate de que el puerto TLS esté abierto

Los siguientes procedimientos configuran TLS en el puerto predeterminado del portal de 9000 y el nodo de pila de 8080. Sin embargo, puedes cambiar este puerto si lo deseas.

Sin importar el puerto que use, debe asegurarse de que el puerto esté abierto en el nodo. Por ejemplo, puedes usar el siguiente comando para abrir el puerto 8443:

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose

Nota: En este ejemplo, se usan los puertos 8080 y 9443 para el puerto TLS, y no el más común 443. El motivo es que los puertos por debajo de 1,024 suelen estar protegidos por el sistema operativo y requieren que el proceso que accede a ellos tenga acceso a la raíz. El portal y la Pila se ejecutan como el usuario “apigee” y, por lo tanto, generalmente no tienen acceso a los puertos por debajo de 1024.

Una alternativa es usar un balanceador de cargas y finalizar TLS en el balanceador de cargas en el puerto 443. Luego, puedes usar HTTP o HTTPS entre el balanceador de cargas, el portal y la pila.

Otra alternativa es usar iptables para reenviar solicitudes. Por ejemplo, para reenviar la solicitud al puerto 443, haz lo siguiente:

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 9443

Configura TLS en la pila de BaaS de la API

De forma predeterminada, TLS está inhabilitado para la pila de BaaS de la API. Luego, puedes acceder a la API de BaaS a través de HTTP mediante la dirección IP o el nombre de DNS del nodo de Stack y del puerto 8080. Por ejemplo:

http://stack_IP:8080

Como alternativa, puedes configurar el acceso de TLS a la API de BaaS para poder acceder a él de la siguiente manera:

https://stack_IP:8080

En este ejemplo, configurarás el acceso TLS para usar el puerto 8080. Sin embargo, el puerto 8080 no es obligatorio. Puedes configurar la pila para usar un puerto diferente. El único requisito es que el firewall permita el tráfico a través del puerto especificado.

La pila solo puede admitir un tipo de solicitud (HTTP o HTTPS) en un solo puerto. Por lo tanto, si configuras el acceso HTTPS en el puerto 8080, no podrás usar HTTP para acceder al puerto 8080. Si configuras la pila para usar el puerto 8443 con HTTPS, ya no escuchará en el puerto 8080.

Usa el siguiente procedimiento para configurar el acceso TLS a la pila:

Genera el archivo JKS del almacén de claves que contiene tu certificación TLS y clave privada. Si deseas obtener más información, consulta Configura TLS/SSL para las instalaciones perimetrales.
Nota: Asegúrate de que la contraseña del almacén de claves y de la clave sea la misma.
Copia el archivo JKS del almacén de claves en un directorio en el nodo de Stack, como /opt/apigee/customer/application. El usuario "apigee" debe poder acceder al directorio.
Cambia la propiedad del archivo JKS al usuario “apigee”:
> chown apigee:apigee /opt/apigee/customer/application/keystore.jks

donde keystore.jks es el nombre del archivo del almacén de claves.
Edita el archivo /opt/apigee/customer/application/usergrid.properties para establecer las siguientes propiedades, incluida la ruta del archivo JKS y la contraseña en el almacén de claves y la clave. Si ese archivo no existe, créalo:
tomcat-server_scheme=https
tomcat-server_secure=true
tomcat-server_ssl.enabled=true
tomcat-server_keystore.type=JKS
tomcat-server_keystore.file=/opt/apigee/customer/application/keystore.jk.server td.txt_server.default.server

Usa esta propiedad para especificar un puerto diferente.
# tomcat-server_port=8080

Advertencia: El valor de la contraseña debe ser de texto no encriptado. Por lo tanto, debes proteger usergrid.properties del acceso no autorizado.

Usa la propiedad tomcat-server_keyalias para especificar el alias del almacén de claves. Estableciste el alias de clave en el momento en que creaste la clave. Por ejemplo, puede configurar la opción -alias para el comando keytool.

Usa tomcat-server_ssl.protocols para establecer los protocolos TLS compatibles con la Pila. Para obtener una lista de los protocolos compatibles con Java 8, consulta http://docs.oracle.com/javase/8/docs/technotes/guides/security/StandardNames.html#jssename.
Configura el nodo de pila:
> /opt/apigee/apigee-service/bin/apigee-service baas-usergrid configure
Reinicia la pila de BaaS:
> /opt/apigee/apigee-service/bin/apigee-service baas-usergrid restart
Para confirmar que TLS funcione, ejecuta el siguiente comando cURL en el nodo de Stack mediante HTTPS:
> curl -k https://localhost:8080/status -v

Si TLS está configurado correctamente, deberías ver una respuesta que contenga información de estado.

Si configuraste el acceso TLS en un puerto distinto a 8080, modifica el comando anterior para usar el puerto correcto.
Repita en todos los nodos de Stack.
Si tienes un balanceador de cargas frente a los nodos de Stack, configúralo para realizar solicitudes a los nodos de Stack a través de HTTPS. Consulta la documentación sobre tu balanceador de cargas para obtener más información.

Si el portal realiza solicitudes directas a la pila, configúralo para acceder a la pila a través de HTTPS como se describe en la siguiente sección.
Usa el procedimiento que aparece a continuación en “Configura los nodos de la pila de BaaS de la API para TLS en la pila o el portal” a fin de asegurarte de que el nodo de Stack tenga las URL TLS correctas cuando se generen respuestas de los usuarios.

Configura el portal para acceder a la pila mediante TLS

El portal de BaaS que se ejecuta en un navegador funciona mediante llamadas a la API de la pila de BaaS. Si configuras la pila de BaaS para usar TLS, también debes configurar el portal a fin de realizar esas llamadas a través de HTTPS.

Por lo general, una instalación de API de BaaS se configura de las siguientes maneras:

Usa un balanceador de cargas entre los nodos del portal y la pila

Configura el balanceador de cargas para realizar solicitudes a los nodos de la pila a través de HTTPS. Consulta la documentación sobre tu balanceador de cargas para obtener más información.

En esta configuración, el portal puede acceder al balanceador de cargas a través de HTTP o HTTPS, según cómo lo configures. Si el balanceador de cargas usa TLS, usa el siguiente procedimiento para configurar el portal a fin de realizar solicitudes al balanceador de cargas de HTTPS.
Haz que el portal realice solicitudes directas a la pila

Configura el portal para acceder a la pila a través de HTTPS como se describe a continuación.

Usa el siguiente procedimiento para configurar el portal de BaaS de la API a fin de realizar llamadas a la API a través de HTTPS:

Configura el acceso TLS en la pila de BaaS como se describió antes o en el balanceador de cargas para los nodos de la pila, como se describe en la documentación de tu balanceador de cargas.
Edita /opt/apigee/customer/application/portal.properties para configurar la siguiente propiedad. Si ese archivo no existe, créalo:
baas.portal.config.overrideUrl=https://stackIP:port

Especifica el valor de esta propiedad como el nombre de DNS o la dirección IP y el puerto del nodo de la pila de API para una instalación de nodo único, o del balanceador de cargas si tienes un balanceador de cargas frente a los nodos de la pila de API.
Configura el nodo del portal:
> /opt/apigee/apigee-service/bin/apigee-service baas-portal configure
Reinicia el portal con el siguiente comando:
> /opt/apigee/apigee-service/bin/apigee-service baas-portal restart
Si usaste un certificado autofirmado cuando configuraste el acceso de TLS a la pila anterior, es posible que tu navegador no permita solicitudes a la pila desde el portal. Si ves un error en el navegador que indica que no se permite el acceso HTTPS a la pila, solicita la siguiente URL en tu navegador y agrega una excepción de seguridad para permitir el acceso:
https://stackIP:port/status

Especifica la dirección IP o el nombre de DNS y el puerto del nodo de la pila de API o del balanceador de cargas.

Configura TLS en el portal de BaaS de la API

De forma predeterminada, los usuarios acceden al portal mediante solicitudes HTTP sin encriptar a través del puerto 9000 en el servidor del portal. Puedes configurar el portal para usar HTTPS a fin de encriptar los datos que se envíen desde y hacia el portal.

De forma predeterminada, puedes acceder al portal a través de HTTP mediante la dirección IP o el nombre de DNS del nodo del portal y el puerto 9000. Por ejemplo:

http://portal_IP:9000

Como alternativa, puedes configurar el acceso de TLS al portal de modo que puedas acceder a él de la siguiente manera:

https://portal_IP:9443

En este ejemplo, configurarás el acceso TLS para usar el puerto 9443. Sin embargo, el puerto 9443 no es obligatorio. Puedes configurar el portal para usar un puerto diferente.

El portal solo puede admitir un tipo de solicitud (HTTP o HTTPS) en un solo puerto. Por lo tanto, si configuras el acceso HTTPS en el puerto 9000, no puedes usar HTTP para acceder al puerto 9000. Si configuras el portal para usar el puerto 9443 con HTTPS, este ya no escuchará en el puerto 9000.

Si deseas configurar TLS para el portal, haz lo siguiente:

Crea un archivo de claves y un certificado en formato PEM.
Nota: Asegúrate de que no haya contraseñas ni frases de contraseña en la clave o el certificado.
Copia los archivos PEM a un directorio en el nodo del portal, como /opt/apigee/customer/application. El usuario "apigee" debe poder acceder al directorio.
Cambie la propiedad de los archivos PEM al usuario “apigee”:
> chown apigee:apigee /opt/apigee/customer/application/*.PEM
Edita el archivo /opt/apigee/customer/application/portal.properties para configurar las siguientes propiedades. Si no existe ese archivo, créalo:
baas.portal.ssl=on
baas.portal.ssl.certificate=/opt/apigee/customer/application/defaultcert.pem
baas.portal.ssl.key=/opt/apigee/customer/application/defaultkey.pem
baas.portal.ssl.protocol0 TLS1.

Usa esta propiedad para especificar un puerto diferente.
# baas.portal.listen=9000

Usa baas.portal.ssl.protocols para configurar los protocolos TLS compatibles con el portal. Para obtener una lista de los protocolos admitidos, consulta la lista de nombres de protocolos SSL definidos por Nginx: http://nginx.org/en/docs/http/ngx_http_ssl_module.html#ssl_protocols.
Configura el nodo del portal:
> /opt/apigee/apigee-service/bin/apigee-service baas-portal configure
Reinicia el portal:
> /opt/apigee/apigee-service/bin/apigee-service baas-portal restart
Usa el procedimiento que aparece a continuación en “Configura los nodos de la API de BaaS de la API para TLS en la pila o el portal” a fin de asegurarte de que tenga la URL de TLS correcta para el portal.

Configura nodos de API BaaS para TLS en Stack o Portal.

Si incluyes un balanceador de cargas frente a los nodos de la pila o del portal, o si habilitas TLS directamente en el nodo del portal o la pila, debes configurar los nodos con las URL correctas para acceder a ellos. Por ejemplo, los nodos de Stack requieren esta información en los siguientes casos:

Incluir una URL en las respuestas de las solicitudes a la API de BaaS.
Agregar vínculos en las plantillas de correo electrónico cuando se restablece una contraseña o enviar otras notificaciones
Redireccionar usuarios a páginas específicas del portal

Si usas un balanceador de cargas frente a los nodos de Stack o configuras TLS en el nodo de Stack, configura la siguiente propiedad en /opt/apigee/customer/application/usergrid.properties:

usergrid-deployment_usergrid.api.url.base=http://localhost:8080

Reemplaza http://localhost:8080 por la URL del balanceador de cargas. Si el balanceador de cargas está configurado para usar TLS, usa el protocolo HTTPS. Solo debes incluir el puerto si usas un puerto no estándar, lo que significa que no es el puerto 80 para HTTP y el puerto 443 para HTTPS.

También debes configurar la siguiente propiedad en /opt/apigee/customer/application/portal.properties si usas un balanceador de cargas frente a los nodos de Stack:

baas.portal.config.overrideUrl=http://localhost:8080

Reemplaza http://localhost:8080 por la URL del balanceador de cargas para la pila.

Si usas un balanceador de cargas frente al nodo del portal o configuras TLS en el nodo de Stack, configura las siguientes propiedades en usergrid.properties:

usergrid-deployment_portal.url=http://localhost:9000

Reemplaza http://localhost:9000 por la URL del balanceador de cargas. Si el balanceador de cargas está configurado para usar TLS, usa el protocolo HTTPS. Solo debes incluir el puerto si usas un puerto no estándar, lo que significa que no es el puerto 80 para HTTP y el puerto 443 para HTTPS.

Después de editar usergrid.properties:

Configura el nodo de pila:
> /opt/apigee/apigee-service/bin/apigee-service baas-usergrid configure
Reinicia la pila de BaaS:
> /opt/apigee/apigee-service/bin/apigee-service baas-usergrid restart
Si modificaste portal.properties, configura el nodo del portal:??
> /opt/apigee/apigee-service/bin/apigee-service baas-portal configure
Reinicia el portal de BaaS:
> /opt/apigee/apigee-service/bin/apigee-service baas-portal restart