Edge untuk Private Cloud v4.19.01
Secara default, TLS dinonaktifkan untuk API pengelolaan dan Anda mengakses Edge Management API melalui HTTP menggunakan alamat IP node Management Server dan port 8080. Contoh:
http://ms_IP:8080
Atau, Anda dapat mengonfigurasi akses TLS ke Management API sehingga Anda dapat mengaksesnya dalam bentuk:
https://ms_IP:8443
Dalam contoh ini, Anda mengonfigurasi akses TLS untuk menggunakan port 8443. Namun, nomor port tersebut tidak diperlukan oleh Edge. Anda dapat mengonfigurasi Server Pengelolaan untuk menggunakan nilai port lain. Satu-satunya persyaratan adalah firewall Anda mengizinkan traffic melalui port yang ditentukan.
Untuk memastikan enkripsi traffic ke dan dari API pengelolaan Anda, konfigurasikan setelan dalam file /opt/apigee/customer/application/management-server.properties
.
Selain konfigurasi TLS, Anda juga dapat mengontrol validasi sandi (panjang dan kekuatan sandi) dengan mengubah file management-server.properties
.
Pastikan port TLS Anda terbuka
Prosedur di bagian ini mengonfigurasi TLS untuk menggunakan port 8443 di Server Pengelolaan. Terlepas dari port yang digunakan, Anda harus memastikan bahwa port terbuka di Server Pengelolaan. Misalnya, Anda dapat menggunakan perintah berikut untuk membukanya:
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose
Mengonfigurasi TLS
Edit file /opt/apigee/customer/application/management-server.properties
untuk mengontrol penggunaan TLS pada traffic ke dan dari Management API Anda. Jika file ini tidak ada, buatlah file tersebut.
Untuk mengonfigurasi akses TLS ke API pengelolaan:
- Buat file JKS keystore yang berisi sertifikasi TLS dan kunci pribadi Anda. Untuk informasi selengkapnya, lihat Mengonfigurasi TLS/SSL untuk Edge On Premises.
- Salin file JKS keystore ke direktori di node Management Server, seperti
/opt/apigee/customer/application
. - Ubah kepemilikan file JKS ke pengguna "apigee":
chown apigee:apigee keystore.jks
Dengan keystore.jks adalah nama file keystore Anda.
- Edit
/opt/apigee/customer/application/management-server.properties
untuk menetapkan properti berikut. Jika file tersebut tidak ada, buat file tersebut:conf_webserver_ssl.enabled=true # Leave conf_webserver_http.turn.off set to false # because many Edge internal calls use HTTP. conf_webserver_http.turn.off=false conf_webserver_ssl.port=8443 conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks # Enter the obfuscated keystore password below. conf_webserver_keystore.password=OBF:obfuscatedPassword
Dengan keyStore.jks adalah file keystore Anda, dan obfuscatedPassword adalah sandi keystore yang di-obfuscate. Lihat Mengonfigurasi TLS/SSL untuk Edge On Premises untuk mendapatkan informasi tentang cara membuat sandi yang di-obfuscate.
- Mulai ulang Server Pengelolaan Edge menggunakan perintah:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
Management API kini mendukung akses melalui TLS.
Mengonfigurasi UI Edge untuk menggunakan TLS untuk mengakses Edge API
Dalam prosedur di atas, Apigee merekomendasikan untuk keluar dari
conf_webserver_http.turn.off=false
agar
UI Edge dapat terus melakukan panggilan Edge API melalui HTTP.
Gunakan prosedur berikut untuk mengonfigurasi UI Edge guna melakukan panggilan ini hanya melalui HTTPS:
- Konfigurasikan akses TLS ke API pengelolaan seperti yang dijelaskan di atas.
- Setelah mengonfirmasi bahwa TLS berfungsi untuk API pengelolaan, edit
/opt/apigee/customer/application/management-server.properties
untuk menetapkan properti berikut:conf_webserver_http.turn.off=true
- Mulai ulang Server Pengelolaan Edge dengan menjalankan perintah berikut:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- Edit
/opt/apigee/customer/application/ui.properties
untuk menetapkan properti berikut bagi UI Edge:conf_apigee_apigee.mgmt.baseurl="https://FQ_domain_name:port/v1"
Dengan FQ_domain_name adalah nama domain lengkap, sesuai dengan alamat sertifikat Server Pengelolaan Anda, dan port adalah port yang ditentukan di atas oleh
conf_webserver_ssl.port
.Jika ui.properties tidak ada, buat properti tersebut.
- Hanya jika Anda menggunakan sertifikat yang ditandatangani sendiri (tidak direkomendasikan di lingkungan produksi) saat mengonfigurasi akses TLS ke API pengelolaan di atas, tambahkan properti berikut ke
ui.properties
:conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true
Jika tidak, UI Edge akan menolak sertifikat yang ditandatangani sendiri.
- Mulai ulang UI Edge dengan menjalankan perintah berikut:
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Properti TLS untuk Server Pengelolaan
Tabel berikut mencantumkan semua properti TLS/SSL yang dapat Anda tetapkan di
management-server.properties
:
Properti | Deskripsi |
---|---|
|
Defaultnya adalah 8080. |
|
Untuk mengaktifkan/menonaktifkan TLS/SSL. Dengan mengaktifkan TLS/SSL (true), Anda juga harus menetapkan properti ssl.port dan keystore.path. |
|
Untuk mengaktifkan/menonaktifkan http beserta https. Jika Anda hanya ingin menggunakan HTTPS, biarkan
nilai default ke |
|
Porta TLS/SSL. Wajib jika TLS/SSL diaktifkan ( |
|
Jalur ke file keystore Anda. Wajib jika TLS/SSL diaktifkan ( |
|
Gunakan sandi yang disamarkan dalam format ini: OBF:xxxxxxxxxx |
|
Alias sertifikat keystore opsional |
|
Jika key manager Anda memiliki sandi, masukkan versi sandi yang di-obfuscate dalam format ini: OBF:xxxxxxxxxx |
|
Konfigurasi setelan untuk trust store Anda. Tentukan apakah Anda ingin menerima semua
sertifikat TLS/SSL (misalnya, untuk menerima jenis non-standar). Nilai defaultnya adalah OBF:xxxxxxxxxx |
|
Tentukan cipher suite yang ingin Anda sertakan atau kecualikan. Misalnya, jika Anda menemukan kerentanan dalam sebuah penyandian, Anda dapat mengecualikannya di sini. Pisahkan beberapa cipher dengan spasi. Untuk informasi tentang rangkaian penyandian dan arsitektur kriptografi, lihat Dokumentasi Penyedia Oracle Arsitektur Kriptografi Java untuk JDK 8. |
|
Bilangan bulat yang menentukan:
|