Edge para nuvem privada v4.19.01
Por padrão, o TLS está desativado para a API de gerenciamento, e você acessa a API de gerenciamento de borda por HTTP usando o endereço IP do nó do servidor de gerenciamento e a porta 8080. Exemplo:
http://ms_IP:8080
Como alternativa, você pode configurar o acesso TLS à API de gerenciamento para acessá-la desta forma:
https://ms_IP:8443
Neste exemplo, você configura o acesso TLS para usar a porta 8443. No entanto, esse número de porta não é exigido pela Edge. Você pode configurar o servidor de gerenciamento para usar outros valores de porta. O único requisito é que o firewall permita o tráfego na porta especificada.
Para garantir a criptografia do tráfego de entrada e saída na API de gerenciamento, defina as configurações no arquivo /opt/apigee/customer/application/management-server.properties
.
Além da configuração do TLS, também é possível controlar a validação da senha (tamanho
e nível de segurança) modificando o arquivo management-server.properties
.
Verifique se a porta TLS está aberta
O procedimento nesta seção configura o TLS para usar a porta 8443 no servidor de gerenciamento. Independentemente da porta usada, você precisa garantir que ela esteja aberta no servidor de gerenciamento. Por exemplo, use o seguinte comando para abri-lo:
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose
Configurar a TLS
Edite o arquivo /opt/apigee/customer/application/management-server.properties
para controlar o uso de TLS no tráfego de entrada e saída da API Management. Se esse arquivo não existir, crie-o.
Para configurar o acesso por TLS à API Management:
- Gere o arquivo JKS do keystore que contém a certificação TLS e a chave privada. Para mais informações, consulte Como configurar o TLS/SSL para o Edge local.
- Copie o arquivo JKS do keystore para um diretório no nó do servidor de gerenciamento, como
/opt/apigee/customer/application
. - Mude a propriedade do arquivo JKS para o usuário "apigee":
chown apigee:apigee keystore.jks
Em que keystore.jks é o nome do arquivo do keystore.
- Edite
/opt/apigee/customer/application/management-server.properties
para definir as propriedades a seguir. Se esse arquivo não existir, crie-o:conf_webserver_ssl.enabled=true # Leave conf_webserver_http.turn.off set to false # because many Edge internal calls use HTTP. conf_webserver_http.turn.off=false conf_webserver_ssl.port=8443 conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks # Enter the obfuscated keystore password below. conf_webserver_keystore.password=OBF:obfuscatedPassword
Em que keyStore.jks é o arquivo do keystore e obfuscatedPassword é a senha do keystore ofuscado. Consulte Como configurar o TLS/SSL para o Edge local para informações sobre como gerar uma senha ofuscada.
- Reinicie o Servidor de Gerenciamento de Borda usando o comando:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
A API de gerenciamento agora oferece suporte ao acesso por TLS.
Configurar a IU do Edge para usar TLS para acessar a API Edge
No procedimento acima, a Apigee recomendou deixar conf_webserver_http.turn.off=false
para que a IU do Edge possa continuar a fazer chamadas da API Edge por HTTP.
Use o procedimento a seguir para configurar a interface do Edge para fazer essas chamadas apenas por HTTPS:
- Configure o acesso por TLS à API de gerenciamento, conforme descrito acima.
- Depois de confirmar que o TLS está funcionando para a API de gerenciamento, edite
/opt/apigee/customer/application/management-server.properties
para definir a seguinte propriedade:conf_webserver_http.turn.off=true
- Execute o seguinte comando para reiniciar o Servidor de gerenciamento de borda:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- Edite
/opt/apigee/customer/application/ui.properties
para definir a seguinte propriedade da IU do Edge:conf_apigee_apigee.mgmt.baseurl="https://FQ_domain_name:port/v1"
Em que FQ_domain_name é o nome completo do domínio, de acordo com o endereço do certificado do servidor de gerenciamento, e port é a porta especificada acima por
conf_webserver_ssl.port
.Se ui.properties não existir, crie-o.
- Somente se você tiver usado um certificado autoassinado (não recomendado em um ambiente de produção) ao configurar o acesso TLS à API de gerenciamento acima, adicione a seguinte propriedade a
ui.properties
:conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true
Caso contrário, a interface do Edge rejeitará um certificado autoassinado.
- Execute o seguinte comando para reiniciar a IU do Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Propriedades de TLS para o servidor de gerenciamento
A tabela a seguir lista todas as propriedades TLS/SSL que podem ser definidas em
management-server.properties
:
Propriedades | Descrição |
---|---|
|
O padrão é 8080. |
|
Para ativar/desativar o TLS/SSL. Com TLS/SSL ativado (verdadeiro), você também precisa definir as propriedades ssl.port e keystore.path. |
|
Para ativar/desativar http com https. Se você quiser usar apenas HTTPS, deixe o
valor padrão como |
|
A porta TLS/SSL. Obrigatório quando TLS/SSL está ativado ( |
|
O caminho para o arquivo do keystore. Obrigatório quando TLS/SSL está ativado ( |
|
Use uma senha ofuscada neste formato: OBF:xxxxxxxxxx |
|
Alias de certificado opcional do keystore |
|
Se o gerenciador de chaves tiver uma senha, insira uma versão ofuscada da senha neste formato: OBF:xxxxxxxxxx |
|
Defina as configurações do seu repositório de confiança. Determine se você quer aceitar todos
os certificados TLS/SSL (por exemplo, para tipos não padrão). O padrão é
OBF:xxxxxxxxxx |
|
Indique todos os pacotes de criptografia que você quer incluir ou excluir. Por exemplo, se você descobrir vulnerabilidade em uma criptografia, é possível excluí-la aqui. Separe várias criptografias com um espaço. Para mais informações sobre pacotes de criptografia e arquitetura de criptografia, consulte a Documentação de provedores Oracle da arquitetura de criptografia Java para JDK 8. |
|
Números inteiros que determinam:
|