تمت ترجمة هذه الصفحة بواسطة Cloud Translation API‏.

ضبط بروتوكول أمان طبقة النقل لواجهة برمجة التطبيقات للإدارة

Edge for Private Cloud ‏v4.18.05

تكون طبقة النقل الآمنة (TLS) غير مفعّلة تلقائيًا لواجهة برمجة التطبيقات الخاصة بالإدارة، ويمكنك الوصول إلى واجهة برمجة التطبيقات الخاصة بإدارة Edge عبر بروتوكول HTTP باستخدام عنوان IP الخاص بعقدة خادم الإدارة والمنفذ 8080. على سبيل المثال:

http://ms_IP:8080

بدلاً من ذلك، يمكنك ضبط إمكانية الوصول إلى طبقة النقل الآمنة (TLS) لواجهة برمجة التطبيقات الخاصة بالإدارة حتى تتمكّن من الوصول إليها في الشكل التالي:

https://ms_IP:8443

في هذا المثال، يتم ضبط إذن الوصول إلى بروتوكول أمان طبقة النقل (TLS) لاستخدام المنفذ 8443. ومع ذلك، لا يحتاج Edge إلى رقم المنفذ هذا، ويمكنك ضبط "خادم الإدارة" لاستخدام قيم منافذ أخرى. إنّ الشرط الوحيد هو أن يسمح جدار الحماية بحركة البيانات عبر المنفذ المحدّد.

لضمان تشفير الزيارات من وإلى Management API، اضبط الإعدادات في ملف /opt/apigee/customer/application/management-server.properties.

بالإضافة إلى إعدادات بروتوكول TLS، يمكنك أيضًا التحكّم في عملية التحقّق من كلمة المرور (طول كلمة المرور وقوتها) من خلال تعديل ملف management-server.properties.

التأكّد من أنّ منفذ بروتوكول أمان طبقة النقل (TLS) مفتوح

تعمل الخطوات الواردة في هذا القسم على ضبط بروتوكول أمان طبقة النقل (TLS) لاستخدام المنفذ 8443 على "خادم الإدارة". بغض النظر عن المنفذ الذي تستخدمه، يجب التأكّد من أنّ المنفذ مفتوح على "خادم الإدارة". على سبيل المثال، يمكنك استخدام الأمر التالي لفتحه:

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose

ملاحظة: يستخدم هذا المثال المنفذ 8443 لاتّصال طبقة النقل الآمنة، وليس المنفذ 443 الأكثر شيوعًا. والسبب هو أنّ نظام التشغيل يحمي عادةً المنافذ التي تقلّ عن 1024 ويتطلّب من العملية التي تصل إليها أن يكون لديها إذن وصول الجذر. يتم تشغيل Edge Management Server باستخدام حساب مستخدم "apigee"، وبالتالي لا يمكنه عادةً الوصول إلى المنافذ التي تقل عن 1024.

أحد البدائل هو استخدام جهاز موازنة الحمولة مع Edge API وإنهاء بروتوكول أمان طبقة النقل (TLS) على جهاز موازنة حمولة على المنفذ 443. يمكنك بعد ذلك استخدام بروتوكول HTTP أو HTTPS بين جهاز موازنة الحمل و Edge API.

يمكنك أيضًا استخدام iptables لإعادة توجيه الطلبات إلى المنفذ 443 إلى 8443. على سبيل المثال:

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 8443

ضبط بروتوكول أمان طبقة النقل (TLS)

عدِّل ملف /opt/apigee/customer/application/management-server.properties للتحكّم في استخدام بروتوكول أمان طبقة النقل (TLS) في الزيارات الواردة والصادرة من واجهة برمجة التطبيقات Management API. إذا لم يكن هذا الملف متوفّرًا، أنشِئه.

اتّبِع الإجراء التالي لضبط إمكانية الوصول إلى واجهة برمجة التطبيقات Management API باستخدام بروتوكول TLS:

أنشئ ملف JKS لتخزين المفاتيح يحتوي على شهادة بروتوكول أمان طبقة النقل (TLS) ومفتاحك الخاص. لمزيد من المعلومات، يُرجى الاطّلاع على ضبط بروتوكول أمان طبقة النقل (TLS) أو طبقة المقابس الآمنة (SSL) لتطبيق Edge On Premises.
انسخ ملف JKS الخاص بملف تخزين المفاتيح إلى دليل على عقدة "خادم الإدارة"، مثل /opt/apigee/customer/application.
غيِّر ملكية ملف JKS إلى apigee:
```
chown apigee:apigee keystore.jks
```
حيث يكون keystore.jks هو اسم ملف ملف تخزين المفاتيح.
عدِّل /opt/apigee/customer/application/management-server.properties لضبط السمات التالية. إذا لم يكن هذا الملف متوفّرًا، أنشِئه:
```
conf_webserver_ssl.enabled=true
# Leave conf_webserver_http.turn.off set to false
# because many Edge internal calls use HTTP.
conf_webserver_http.turn.off=false
conf_webserver_ssl.port=8443
conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks
# Enter the obfuscated keystore password below.
conf_webserver_keystore.password=OBF:obfuscatedPassword
```
حيث يكون keyStore.jks هو ملف ملف تخزين المفاتيح، وobfuscatedPassword هي كلمة مرور ملف تخزين المفاتيح المشفّرة. اطّلِع على مقالة ضبط بروتوكول أمان طبقة النقل (TLS) أو طبقة المقابس الآمنة (SSL) لتطبيق Edge On Premises للحصول على معلومات عن إنشاء كلمة مرور مشوَّهة.

أعِد تشغيل Edge Management Server باستخدام الأمر:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

تتيح الآن Management API الوصول عبر بروتوكول أمان طبقة النقل (TLS).

ضبط واجهة مستخدم Edge لاستخدام بروتوكول أمان طبقة النقل (TLS) للوصول إلى Edge API

في الإجراء أعلاه، اقترحت Apigee ترك conf_webserver_http.turn.off=false لكي تتمكّن واجهة مستخدم Edge من مواصلة إجراء طلبات Edge API عبر HTTP.

اتّبِع الإجراء التالي لضبط واجهة مستخدم Edge لإجراء هذه المكالمات عبر بروتوكول HTTPS فقط:

اضبط إمكانية الوصول إلى واجهة برمجة التطبيقات لإدارة الخدمات باستخدام بروتوكول أمان طبقة النقل (TLS) كما هو موضّح أعلاه.
بعد التأكّد من أنّ بروتوكول أمان طبقة النقل (TLS) يعمل مع واجهة برمجة التطبيقات Management API، عدِّل /opt/apigee/customer/application/management-server.properties لتحديد القيمة التالية للمَعلمة: conf_webserver_http.turn.off=true

أعِد تشغيل Edge Management Server باستخدام الأمر:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

عدِّل /opt/apigee/customer/application/ui.properties لضبط السمة التالية لواجهة مستخدم Edge. إذا لم يكن هذا الملف متوفّرًا، أنشِئه: conf_apigee_apigee.mgmt.baseurl="https://FQDN:8443/v1" حيث يكون FQDN هو اسم النطاق الكامل، وفقًا لشهادتك، عنوان الخادم الإداري، ورقم المنفذ هو المنفذ المحدّد أعلاه باستخدام conf_webserver_ssl.port.
في حال استخدام شهادة موقَّعة ذاتيًا (لا يُنصح بها في بيئة الإنتاج) عند ضبط إذن الوصول إلى واجهة برمجة التطبيقات لإدارة Edge API أعلاه، أضِف السمة التالية إلى ui.properties: conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true بخلاف ذلك، سترفض واجهة مستخدم Edge شهادة موقَّعة ذاتيًا.
أعِد تشغيل واجهة مستخدم Edge باستخدام الأمر:
```
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
```

سمات بروتوكول أمان طبقة النقل (TLS) لخادم الإدارة

يسرد الجدول التالي جميع خصائص TLS/SSL التي يمكنك ضبطها في management-server.properties:

المواقع	الوصف
`conf_webserver_http.port=8080`	القيمة التلقائية هي 8080.
`conf_webserver_ssl.enabled=false`	لتفعيل/إيقاف بروتوكول أمان طبقة النقل (TLS) أو طبقة المقابس الآمنة (SSL). مع تفعيل بروتوكول TLS/SSL (true)، يجب أيضًا ضبط السمتَين ssl.port وkeystore.path.
`conf_webserver_http.turn.off=true`	لتفعيل/إيقاف http مع https إذا كنت تريد استخدام بروتوكول HTTPS فقط، اترك القيمة التلقائية على `true`.
`conf_webserver_ssl.port=8443`	منفذ بروتوكول أمان طبقة النقل (TLS) أو طبقة المقابس الآمنة (SSL) مطلوب عند تفعيل بروتوكول أمان طبقة النقل (TLS) أو طبقة المقابس الآمنة (`conf_webserver_ssl.enabled=true`).
`conf_webserver_keystore.path=<path>`	المسار إلى ملف تخزين المفاتيح مطلوب عند تفعيل بروتوكول أمان طبقة النقل (TLS) أو طبقة المقابس الآمنة (`conf_webserver_ssl.enabled=true`).
`conf_webserver_keystore.password=`	استخدِم كلمة مرور مشوَّهة بالتنسيق التالي: OBF:xxxxxxxxxx
`conf_webserver_cert.alias=`	الاسم المعرِّف الاختياري لشهادة ملف تخزين المفاتيح
`conf_webserver_keymanager.password=`	إذا كان مدير المفاتيح يتضمّن كلمة مرور، أدخِل نسخة مشوّشة من كلمة المرور بالتنسيق التالي: OBF:xxxxxxxxxx.
`conf_webserver_trust.all= <false \| true>` `conf_webserver_trust.store.path=<path>` `conf_webserver_trust.store.password=`	ضبط إعدادات مخبّر الثقة حدِّد ما إذا كنت تريد قبول جميع الشهادات الخاصة ببروتوكول أمان طبقة النقل أو طبقة المقابس الآمنة (على سبيل المثال، لقبول الأنواع غير العادية). القيمة التلقائية هي `false`. أدخِل المسار إلى متجر الثقة، وأدخِل كلمة مرور مُشفَّرة لمتجر الثقة بالتنسيق التالي: OBF:xxxxxxxxxx
`conf_webserver_exclude.cipher.suites=<CIPHER_SUITE_1 CIPHER_SUITE_2>` `conf_webserver_include.cipher.suites=`	حدِّد أي مجموعات تشفير تريد تضمينها أو استبعادها. على سبيل المثال، إذا اكتشفت ثغرة أمنية في أحد التشفيرات، يمكنك استبعاده هنا. افصل بين التشفيرات المتعدّدة بمسافة. للحصول على معلومات عن مجموعات التشفير وبنية التشفير، يُرجى الاطّلاع على: http://docs.oracle.com/javase/8/docs/technotes/guides/security/SunProviders.html#SunJSSE
`conf_webserver_ssl.session.cache.size=` `conf_webserver_ssl.session.timeout=`	الأعداد الصحيحة التي تحدِّد: حجم ذاكرة التخزين المؤقت لجلسة بروتوكول أمان طبقة النقل/طبقة المقابس الآمنة (بوحدة البايت) لتخزين معلومات الجلسة ل العملاء المتعدّدين مقدار الوقت الذي يمكن أن تستمر فيه جلسات TLS/SSL قبل انتهاء مهلة الاتصال (بالمللي ثانية)