Edge for Private Cloud v4.18.05
デフォルトでは、Management API の TLS は無効になっており、Management Server ノードの IP アドレスとポート 8080 を使って HTTP で Edge Management API にアクセスします。次に例を示します。
http://ms_IP:8080
あるいは、Management API の TLS アクセスを、以下の形式でアクセスできるように構成することもできます。
https://ms_IP:8443
この例では、TLS アクセスでポート 8443 が使用されるように構成します。ただし、Edge についてこのポート番号が必要というわけではありません。他のポート番号を使うように Management Server を構成することもできます。唯一の要件は、ファイアウォールが指定のポートでトラフィックを許可していることです。
Management API との間のトラフィックを暗号化するには、/opt/apigee/customer/application/management-server.properties ファイル内の設定を構成します。
TLS の構成に加えて、management-server.properties ファイルを変更することで、パスワード検証(パスワードの長さや強度)を制御することもできます。
TLS ポートが開いていることを確認する
このセクションの手順で、Management Server でポート 8443 を使用するように構成します。使用するポートにかかわらず、Management Server 上でポートが開いている必要があります。たとえば、次のコマンドを使用してポートを開きます。
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose
TLS の構成
/opt/apigee/customer/application/management-server.properties ファイルを編集して、Management API との間のトラフィックでの TLS の使用を制御します。このファイルが存在しない場合は作成します。
以下の手順で、Management API への TLS アクセスを構成します。
- TLS 証明書と秘密鍵を含むキーストア JKS ファイルを生成します。詳細については、オンプレミスの Edge での TLS/SSL の構成をご覧ください。
- キーストア JKS ファイルを Management Server ノードのディレクトリ(
/opt/apigee/customer/applicationなど)にコピーします。 - 次のように、JKS ファイルのオーナーを apigee に変更します。
chown apigee:apigee keystore.jks
ここで、keystore.jks はキーストア ファイルの名前です。 /opt/apigee/customer/application/management-server.propertiesを編集して次のプロパティを設定します。このファイルが存在しない場合は作成します。conf_webserver_ssl.enabled=true # Leave conf_webserver_http.turn.off set to false # because many Edge internal calls use HTTP. conf_webserver_http.turn.off=false conf_webserver_ssl.port=8443 conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks # Enter the obfuscated keystore password below. conf_webserver_keystore.password=OBF:obfuscatedPassword
ここで、keyStore.jks はキーストア ファイル、obfuscatedPassword は難読化されたキーストアのパスワードです。難読化されたパスワードの生成については、オンプレミス Edge での TLS/SSL の構成をご覧ください。- 次のコマンドを使用して Edge Management Server を再起動します。
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
これで、Management API が TLS でのアクセスをサポートするようになりました。
TLS で Edge API にアクセスするよう Edge UI を構成する
上記の手順では、Edge UI が HTTP 経由で Edge API 呼び出しを引き続き行えるように conf_webserver_http.turn.off=false を終了することをおすすめしています。
以下の手順で、HTTPS でのみ呼び出しができるように Edge UI を構成します。
- 上記のように、Management API への TLS アクセスを構成します。
- Management API の TLS が機能していることを確認した後、
/opt/apigee/customer/application/management-server.propertiesを編集して次のプロパティを設定します。conf_webserver_http.turn.off=true - 次のコマンドを使用して Edge Management Server を再起動します。
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
/opt/apigee/customer/application/ui.propertiesを編集して、Edge UI の次のプロパティを設定します。このファイルが存在しない場合は、作成します。conf_apigee_apigee.mgmt.baseurl="https://FQDN:8443/v1"FQDN は、Management Server の証明書アドレスに従った完全ドメイン名で、ポート番号は上記のconf_webserver_ssl.portで指定したポートです。- 自己署名証明書を使う場合のみ(本番環境ではおすすめしません)、上記の Management API への TLS アクセスの構成を行うときに、次のプロパティを
ui.propertiesに追加します。conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=trueそれ以外の場合、Edge UI は自己署名証明書を拒否します。 - 次のコマンドを使用して Edge UI を再起動します。
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Management Server の TLS プロパティ
次の表に、management-server.properties に設定できる TLS と SSL のすべてのプロパティを示します。
|
プロパティ |
説明 |
|---|---|
|
|
デフォルトは 8080 です。 |
|
|
TLS / SSL を有効または無効にします。TLS/SSL を有効(true)にした場合、ssl.port プロパティと keystore.path プロパティも設定する必要があります。 |
|
|
https に加えて http も有効/無効にします。HTTPS のみを使用する場合は、デフォルト値を |
|
|
TLS/SSL のポート。 TLS/SSL が有効な場合に必須( |
|
|
キーストア ファイルのパス。 TLS/SSL が有効な場合に必須( |
|
|
OBF:xxxxxxxxxx という形式の難読化されたパスワードを使用します。 |
|
|
キーストア証明書の別名(省略可) |
|
|
キー マネージャーにパスワードがある場合、OBF:xxxxxxxxxx の形式で難読化されたバージョンのパスワードを入力します。 |
|
|
トラストストアの設定を構成します。すべての TLS/SSL 証明書を受け入れるかどうかを決めます(非標準のタイプを受け入れるなど)。デフォルトは |
|
|
使用を許可する暗号スイートと許可しない暗号スイートを指定します。たとえば、ある暗号に脆弱性が発見された場合、ここで除外できます。複数指定する場合は、空白で区切ります。 暗号スイートと暗号化アーキテクチャについては、次の URL をご覧ください。 http://docs.oracle.com/javase/8/docs/technotes/guides/security/SunProviders.html#SunJSSE |
|
|
以下を決める整数値です。
|