Bu sayfa, Cloud Translation API ile çevrilmiştir.

Management API için TLS'yi yapılandırma

Edge for Private Cloud 4.18.05 sürümü

Varsayılan olarak TLS, Management API için devre dışıdır. Yönetim Sunucusu düğümünün IP adresi ile 8080 bağlantı noktasının IP adresini kullanarak HTTP üzerinden Edge Management API'ye erişirsiniz. Örneğin:

http://ms_IP:8080

Alternatif olarak, TLS'nin Management API'ye erişimini aşağıdaki biçimde yapılandırabilirsiniz:

https://ms_IP:8443

Bu örnekte, TLS erişimini 8443 bağlantı noktasını kullanacak şekilde yapılandırıyorsunuz. Ancak bu bağlantı noktası numarası Edge için gerekli değildir. Yönetim Sunucusu'nu diğer bağlantı noktası değerlerini kullanacak şekilde yapılandırabilirsiniz. Tek şart, güvenlik duvarınızın belirtilen bağlantı noktası üzerinden trafiğe izin vermesidir.

Management API'nize gelen ve bu API'den giden trafik şifrelemesi sağlamak için /opt/apigee/customer/application/management-server.properties dosyasındaki ayarları yapılandırın.

TLS yapılandırmasına ek olarak, management-server.properties dosyasını değiştirerek şifre doğrulamasını (şifre uzunluğu ve gücü) kontrol edebilirsiniz.

TLS bağlantı noktanızın açık olduğundan emin olun

Bu bölümdeki prosedür, TLS'yi Yönetim Sunucusu'nda 8443 numaralı bağlantı noktasını kullanacak şekilde yapılandırır. Kullandığınız bağlantı noktası ne olursa olsun, Yönetim Sunucusu'nda bağlantı noktasının açık olduğundan emin olmanız gerekir. Örneğin, dosyayı açmak için aşağıdaki komutu kullanabilirsiniz:

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose

Not: Bu örnekte, TLS bağlantı noktası için 8443 numaralı bağlantı noktası kullanılmaktadır, daha yaygın olan 443 numaralı bağlantı noktası kullanılmaz. Bunun nedeni, 1024'ün altındaki bağlantı noktalarının genellikle işletim sistemi tarafından korunması ve bunlara erişen işlemin, kök erişiminin olmasını gerektirmesidir. Uç Yönetim Sunucusu, "Apigee" kullanıcısı olarak çalışır ve bu nedenle genellikle 1024'ün altındaki bağlantı noktalarına erişimi yoktur.

Alternatif olarak, Edge API ile bir yük dengeleyici kullanmak ve 443 numaralı bağlantı noktasında yük dengeleyicide TLS'yi sonlandırmaktır. Daha sonra yük dengeleyici ile Edge API arasında HTTP veya HTTPS kullanabilirsiniz.

Diğer bir alternatif de istekleri 443 bağlantı noktasına 8443 bağlantı noktasına yönlendirmek için iptables kullanmaktır. Örneğin:

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 8443

TLS'yi yapılandırın

Management API'nize gelen ve bu API'den giden trafikteki TLS kullanımını kontrol etmek için /opt/apigee/customer/application/management-server.properties dosyasını düzenleyin. Bu dosya yoksa oluşturun.

Yönetim API'sine TLS erişimini yapılandırmak için aşağıdaki prosedürü kullanın:

TLS sertifikanızı ve özel anahtarınızı içeren anahtar deposu JKS dosyasını oluşturun. Daha fazla bilgi için Uç Şirket İçin TLS/SSL'yi Yapılandırma bölümüne bakın.
Anahtar deposu JKS dosyasını Yönetim Sunucusu düğümündeki /opt/apigee/customer/application gibi bir dizine kopyalayın.
JKS dosyasının sahipliğini Apigee olarak değiştirin:
```
chown apigee:apigee keystore.jks
```
Burada keystore.jks, anahtar deposu dosyanızın adıdır.
Aşağıdaki özellikleri ayarlamak için /opt/apigee/customer/application/management-server.properties öğesini düzenleyin. Dosya yoksa oluşturun:
```
conf_webserver_ssl.enabled=true
# Leave conf_webserver_http.turn.off set to false
# because many Edge internal calls use HTTP.
conf_webserver_http.turn.off=false
conf_webserver_ssl.port=8443
conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks
# Enter the obfuscated keystore password below.
conf_webserver_keystore.password=OBF:obfuscatedPassword
```
Buradaki keyStore.jks anahtar deposu dosyanız, obfuscatedPassword ise karartılmış anahtar deposu şifrenizdir. Kodu karartılmış şifre oluşturma hakkında bilgi edinmek için Web'de Edge üzerinde TLS/SSL'yi yapılandırma başlıklı makaleye bakın.

Şu komutu kullanarak Uç Yönetim Sunucusu'nu yeniden başlatın:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Management API artık TLS üzerinden erişimi desteklemektedir.

Edge API'ye erişmek için TLS'yi kullanmak üzere Edge kullanıcı arayüzünü yapılandırma

Yukarıdaki prosedürde Apigee, Edge kullanıcı arayüzünün HTTP üzerinden Edge API çağrıları yapmaya devam edebilmesi için conf_webserver_http.turn.off=false ürününden ayrılmanızı önerdi.

Edge kullanıcı arayüzünü, bu çağrıları yalnızca HTTPS üzerinden yapacak şekilde yapılandırmak için aşağıdaki prosedürü kullanın:

Yönetim API'sine TLS erişimini yukarıda açıklandığı gibi yapılandırın.
TLS'nin Management API için çalıştığını onayladıktan sonra /opt/apigee/customer/application/management-server.properties özelliğini düzenleyerek şu özelliği ayarlayın: conf_webserver_http.turn.off=true

Şu komutu kullanarak Uç Yönetim Sunucusu'nu yeniden başlatın:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Edge kullanıcı arayüzünde aşağıdaki özelliği ayarlamak için /opt/apigee/customer/application/ui.properties politikasını düzenleyin. Dosya yoksa oluşturun: conf_apigee_apigee.mgmt.baseurl="https://FQDN:8443/v1" Burada FQDN, Yönetim Sunucusu sertifika adresinize göre tam alan adıdır ve bağlantı noktası numarası conf_webserver_ssl.port tarafından yukarıda belirtilen bağlantı noktasıdır.
Yalnızca kendinden imzalı bir sertifika kullandıysanız (üretim ortamında önerilmez) yukarıdaki yönetim API'sine TLS erişimini yapılandırırken aşağıdaki özelliği ui.properties öğesine ekleyin: conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true Aksi takdirde, Edge kullanıcı arayüzü kendinden imzalı bir sertifikayı reddeder.
Şu komutu kullanarak Edge kullanıcı arayüzünü yeniden başlatın:
```
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
```

Yönetim Sunucusu için TLS özellikleri

Aşağıdaki tabloda, management-server.properties ürününde ayarlayabileceğiniz tüm TLS/SSL özellikleri listelenmiştir:

Mülkler	Açıklama
`conf_webserver_http.port=8080`	Varsayılan değer 8080'dir.
`conf_webserver_ssl.enabled=false`	TLS/SSL'yi etkinleştirmek/devre dışı bırakmak için TLS/SSL etkinken (true) ssl.port ve keystore.path özelliklerini de ayarlamanız gerekir.
`conf_webserver_http.turn.off=true`	https ile birlikte http'yi etkinleştirmek/devre dışı bırakmak için. Yalnızca HTTPS kullanmak istiyorsanız varsayılan değeri `true` olarak bırakın.
`conf_webserver_ssl.port=8443`	TLS/SSL bağlantı noktası. TLS/SSL etkinleştirildiğinde gereklidir (`conf_webserver_ssl.enabled=true`).
`conf_webserver_keystore.path=<path>`	Anahtar deposu dosyanızın yolu. TLS/SSL etkinleştirildiğinde gereklidir (`conf_webserver_ssl.enabled=true`).
`conf_webserver_keystore.password=`	Şu biçimde karartılmış bir şifre kullanın: OBF:xxxxxxxxxx
`conf_webserver_cert.alias=`	İsteğe bağlı anahtar deposu sertifikası takma adı
`conf_webserver_keymanager.password=`	Anahtar yöneticinizin şifresi varsa bu şifrenin gizlenmiş bir versiyonunu şu biçimde girin: OBF:xxxxxxxxxx
`conf_webserver_trust.all= <false \| true>` `conf_webserver_trust.store.path=<path>` `conf_webserver_trust.store.password=`	Güven deponuzun ayarlarını yapılandırın. Tüm TLS/SSL sertifikalarını kabul etmek (örneğin, standart olmayan türleri kabul etmek) isteyip istemediğinizi belirleyin. Varsayılan değer: `false`. Güven deponuzun yolunu girin ve şu biçimde karartılmış bir güven deposu şifresi girin: OBF:xxxxxxxxxx
`conf_webserver_exclude.cipher.suites=<CIPHER_SUITE_1 CIPHER_SUITE_2>` `conf_webserver_include.cipher.suites=`	Dahil etmek veya hariç tutmak istediğiniz şifre paketlerini belirtin. Örneğin, bir şifrede güvenlik açığı bulursanız buradan hariç tutabilirsiniz. Birden çok şifreyi boşlukla ayırın. Şifreleme paketleri ve kriptografi mimarisi hakkında bilgi edinmek için aşağıdaki sayfalara göz atın: http://docs.oracle.com/javase/8/docs/technotes/guides/security/SunProviders.html#SunJSSE
`conf_webserver_ssl.session.cache.size=` `conf_webserver_ssl.session.timeout=`	Şunları belirleyen tam sayılar: Birden fazla istemcinin oturum bilgilerini depolamak için kullanılan TLS/SSL oturum önbelleği boyutu (bayt cinsinden). TLS/SSL oturumlarının zaman aşımına uğramadan önce sürebileceği süre (milisaniye cinsinden).