Management API için TLS'yi yapılandırma

Private Cloud için Edge v4.18.05

Varsayılan olarak, yönetim API'si için TLS devre dışıdır ve Edge yönetim API'sine, yönetim sunucusu düğümünün IP adresini ve 8080 bağlantı noktasını kullanarak HTTP üzerinden erişirsiniz. Örneğin:

http://ms_IP:8080

Alternatif olarak, yönetim API'sine TLS erişimini aşağıdaki biçimde yapılandırabilirsiniz:

https://ms_IP:8443

Bu örnekte, TLS erişimini 8443 bağlantı noktasını kullanacak şekilde yapılandırırsınız. Ancak bu bağlantı noktası numarası Edge tarafından gerekli değildir. Yönetim sunucusunu diğer bağlantı noktası değerlerini kullanacak şekilde yapılandırabilirsiniz. Tek şart, güvenlik duvarınızın belirtilen bağlantı noktasından trafiğe izin vermesidir.

Yönetim API'nizle gelen ve giden trafiğin şifrelenmesini sağlamak için /opt/apigee/customer/application/management-server.properties dosyasında ayarları yapılandırın.

TLS yapılandırmasına ek olarak, management-server.properties dosyasını değiştirerek şifre doğrulamasını (şifre uzunluğu ve gücü) de kontrol edebilirsiniz.

TLS bağlantı noktanızın açık olduğundan emin olun

Bu bölümdeki prosedür, TLS'yi Yönetim Sunucusu'ndaki 8443 numaralı bağlantı noktasını kullanacak şekilde yapılandırır. Kullandığınız bağlantı noktasından bağımsız olarak, bağlantı noktasının Yönetim Sunucusu'nda açık olduğundan emin olmanız gerekir. Örneğin, dosyayı açmak için aşağıdaki komutu kullanabilirsiniz:

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose

TLS'yi yapılandırma

Yönetim API'nize gelen ve API'nizden gelen trafikte TLS kullanımını kontrol etmek için /opt/apigee/customer/application/management-server.properties dosyasını düzenleyin. Bu dosya yoksa oluşturun.

Yönetim API'sine TLS erişimini yapılandırmak için aşağıdaki prosedürü uygulayın:

  1. TLS sertifikanızı ve özel anahtarınızı içeren anahtar deposu JKS dosyasını oluşturun. Daha fazla bilgi için Şirket İçi Edge için TLS/SSL'yi yapılandırma başlıklı makaleyi inceleyin.
  2. Anahtar mağazası JKS dosyasını Yönetim Sunucusu düğümündeki bir dizine (ör. /opt/apigee/customer/application) kopyalayın.
  3. JKS dosyasının sahipliğini apigee olarak değiştirin: 
    chown apigee:apigee keystore.jks
    Burada keystore.jks, anahtar mağazası dosyanızın adıdır.
  4. Aşağıdaki özellikleri ayarlamak için /opt/apigee/customer/application/management-server.properties öğesini düzenleyin. Bu dosya yoksa dosyayı oluşturun: 
    conf_webserver_ssl.enabled=true
# Leave conf_webserver_http.turn.off set to false
# because many Edge internal calls use HTTP.
conf_webserver_http.turn.off=false
conf_webserver_ssl.port=8443
conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks
# Enter the obfuscated keystore password below.
conf_webserver_keystore.password=OBF:obfuscatedPassword
    Burada keyStore.jks, anahtar mağazası dosyanız, obfuscatedPassword ise karartılmış anahtar mağazası şifrenizdir. Kodu karartılmış şifre oluşturma hakkında bilgi edinmek için Edge On Premises için TLS/SSL'yi yapılandırma başlıklı makaleyi inceleyin.
  5. Aşağıdaki komutu kullanarak Edge Management Server'ı yeniden başlatın: 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Yönetim API'si artık TLS üzerinden erişimi desteklemektedir.

Edge API'ye erişmek için Edge kullanıcı arayüzünü TLS kullanacak şekilde yapılandırma

Yukarıdaki prosedürde Apigee, Edge kullanıcı arayüzünün HTTP üzerinden Edge API çağrıları yapmaya devam edebilmesi için conf_webserver_http.turn.off=false değerini bırakmanızı önermiştir.

Edge kullanıcı arayüzünü, bu çağrıları yalnızca HTTPS üzerinden yapacak şekilde yapılandırmak için aşağıdaki prosedürü uygulayın:

  1. Yönetim API'sine TLS erişimini yukarıda açıklandığı şekilde yapılandırın.
  2. Yönetim API'si için TLS'nin çalıştığını onayladıktan sonra, aşağıdaki özelliği ayarlamak için /opt/apigee/customer/application/management-server.properties dosyasını düzenleyin: conf_webserver_http.turn.off=true
  3. Aşağıdaki komutu kullanarak Edge Management Server'ı yeniden başlatın: 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
  4. Edge kullanıcı arayüzü için aşağıdaki özelliği ayarlamak üzere /opt/apigee/customer/application/ui.properties öğesini düzenleyin. Bu dosya yoksa oluşturun: conf_apigee_apigee.mgmt.baseurl="https://FQDN:8443/v1" Burada FQDN, Yönetim Sunucusunun sertifika adresinize göre tam alan adıdır ve bağlantı noktası sayısı, yukarıda conf_webserver_ssl.port tarafından belirtilen bağlantı noktasıdır.
  5. Yukarıdaki yönetim API'sine TLS erişimini yapılandırırken yalnızca kendinden imzalı sertifika kullandıysanız (üretim ortamında önerilmez) aşağıdaki özelliği ui.properties içine ekleyin: conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true Aksi takdirde Edge kullanıcı arayüzü, kendinden imzalı sertifikayı reddeder.
  6. Aşağıdaki komutu kullanarak Edge kullanıcı arayüzünü yeniden başlatın: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

Yönetim sunucusu için TLS özellikleri

Aşağıdaki tabloda, management-server.properties içinde ayarlayabileceğiniz tüm TLS/SSL özellikleri listelenmiştir:

Mülkler

Açıklama

conf_webserver_http.port=8080

Varsayılan değer 8080'dir.

conf_webserver_ssl.enabled=false

TLS/SSL'yi etkinleştirmek/devre dışı bırakmak için. TLS/SSL etkinken (doğru) ssl.port ve keystore.path özelliklerini de ayarlamanız gerekir.

conf_webserver_http.turn.off=true

https ile birlikte http'yi etkinleştirmek veya devre dışı bırakmak için. Yalnızca HTTPS kullanmak istiyorsanız varsayılan değeri true olarak bırakın.

conf_webserver_ssl.port=8443

TLS/SSL bağlantı noktası.

TLS/SSL etkinleştirildiğinde gereklidir (conf_webserver_ssl.enabled=true).

conf_webserver_keystore.path=<path>

Anahtar deposu dosyanızın yolu.

TLS/SSL etkinleştirildiğinde (conf_webserver_ssl.enabled=true) gereklidir.

conf_webserver_keystore.password=

Şu biçimde karartılmış bir şifre kullanın: OBF:xxxxxxxxxx

conf_webserver_cert.alias=

İsteğe bağlı anahtar deposu sertifikası takma adı

conf_webserver_keymanager.password=

Anahtar yöneticinizin şifresi varsa şifrenin karartılmış sürümünü şu biçimde girin: OBF:xxxxxxxxxx

conf_webserver_trust.all= <false | true>

conf_webserver_trust.store.path=<path>

conf_webserver_trust.store.password=

Güven mağazanız için ayarları yapılandırın. Tüm TLS/SSL sertifikalarını kabul etmek isteyip istemediğinizi (örneğin, standart olmayan türleri kabul etmek için) belirleyin. Varsayılan değer: false. Güven depolama alanınızın yolunu sağlayın ve şu biçimde bir karartılmış güven depolama alanı şifresi girin: OBF:xxxxxxxxxx

conf_webserver_exclude.cipher.suites=<CIPHER_SUITE_1 CIPHER_SUITE_2>

conf_webserver_include.cipher.suites=

Dahil etmek veya hariç tutmak istediğiniz şifre paketlerini belirtin. Örneğin, bir şifrede açık bulursanız bu açık Birden fazla şifreyi boşlukla ayırın.

Şifreleme paketleri ve kriptografi mimarisi hakkında bilgi edinmek için:

http://docs.oracle.com/javase/8/docs/technotes/guides/security/SunProviders.html#SunJSSE

conf_webserver_ssl.session.cache.size=

conf_webserver_ssl.session.timeout=

Aşağıdakileri belirleyen tam sayılar:

  • Birden fazla istemcinin oturum bilgilerini depolamak için TLS/SSL oturum önbelleği boyutu (bayt cinsinden).
  • TLS/SSL oturumlarının zaman aşımı süresi dolmadan önce çalışabileceği süre (milisaniye cinsinden).