此页面由 Cloud Translation API 翻译。

为 Management API 配置 TLS

适用于私有云的 Edge v4.19.01

默认情况下，Management API 的 TLS 处于停用状态，并且您可以通过使用管理服务器节点的 IP 地址和端口 8080 进行 HTTP 连接。例如：

http://ms_IP:8080

或者，您也可以为 Management API 配置 TLS 访问，以便表单：

https://ms_IP:8443

在此示例中，您将 TLS 访问配置为使用端口 8443。但是，该端口号您可以将管理服务器配置为使用其他端口值。唯一您的防火墙允许通过指定端口传输流量。

如需确保对传入和传出 Management API 的流量进行加密，请在 /opt/apigee/customer/application/management-server.properties 文件。

除了 TLS 配置外，您还可以控制密码验证（密码长度）和强度）通过修改 management-server.properties 文件确定。

确保您的 TLS 端口已打开

本部分中的步骤将 TLS 配置为使用管理服务器上的端口 8443。无论您使用哪个端口，都必须确保该端口在 Management API 计算机上服务器。例如，您可以使用以下命令将其打开：

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose

注意：此示例对 TLS 端口使用端口 8443，而不是更常用的端口 443

这是因为 1024 以下的端口通常受操作系统的保护，访问它们以拥有 root 访问权限的进程。边缘管理服务器作为 “apigee”用户，因此通常无法访问 1024 以下的端口。

另一种方法是将负载平衡器与 Edge API 搭配使用，并在负载上终止 TLS 进行负载均衡然后，您可以在负载平衡器和 Edge API。

另一种替代方案是使用 iptables 将请求转发到端口 443 8443 端口例如：

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 8443

配置 TLS

修改/opt/apigee/customer/application/management-server.properties 文件来控制进出 Management API 的流量对 TLS 的使用。如果此文件不存在，创建它。

要为 Management API 配置 TLS 访问权限，请执行以下操作：

生成包含 TLS 证书和私钥的密钥库 JKS 文件。有关请参阅为边缘本地配置 TLS/SSL。
将密钥库 JKS 文件复制到管理服务器节点上的某个目录中，例如名称：/opt/apigee/customer/application。
将 JKS 文件的所有权更改为“apigee”用户：
```
chown apigee:apigee keystore.jks
```
其中，keystore.jks 是您的密钥库文件的名称。

修改“/opt/apigee/customer/application/management-server.properties” 来设置以下属性。如果该文件不存在，请创建它：

conf_webserver_ssl.enabled=true
# Leave conf_webserver_http.turn.off set to false
# because many Edge internal calls use HTTP.
conf_webserver_http.turn.off=false
conf_webserver_ssl.port=8443
conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks
# Enter the obfuscated keystore password below.
conf_webserver_keystore.password=OBF:obfuscatedPassword

其中，keyStore.jks 是您的密钥库文件。 obfuscatedPassword 是您经过混淆处理的密钥库密码。请参阅为边缘本地部署配置 TLS/SSL：了解如何生成经过混淆处理的密码。

使用以下命令重启边缘管理服务器：

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Management API 现在支持通过 TLS 访问。

将 Edge 界面配置为使用 TLS 访问 Edge API

在上面的流程中，Apigee 建议 conf_webserver_http.turn.off=false，以便 Edge 界面可以继续通过 HTTP 进行 Edge API 调用。

请按照以下步骤配置 Edge 界面，使其仅通过 HTTPS 进行调用：

按照上述说明配置对 Management API 的 TLS 访问。
确认 TLS 对管理 API 有效后，请修改 /opt/apigee/customer/application/management-server.properties至请设置以下属性：
```
conf_webserver_http.turn.off=true
```

通过执行以下命令重启边缘管理服务器：

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

修改“/opt/apigee/customer/application/ui.properties” 为 Edge 界面设置以下属性：
```
conf_apigee_apigee.mgmt.baseurl="https://FQ_domain_name:port/v1"
```
其中，FQ_domain_name 是您的证书中的完整域名 port 是上述由 conf_webserver_ssl.port。

如果 ui.properties 不存在，请创建。
仅适用于自签名证书的情况（不建议在生产环境中使用）环境），请在配置对上述管理 API 的 TLS 访问权限时，将以下属性设为 ui.properties：
```
conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true
```
否则，Edge 界面将拒绝自签名证书。

通过执行以下命令重启 Edge 界面：

/opt/apigee/apigee-service/bin/apigee-service edge-ui restart

管理服务器的 TLS 属性

下表列出了您可在 management-server.properties:

属性	说明
`conf_webserver_http.port=8080`	默认值为 8080。
`conf_webserver_ssl.enabled=false`	要启用/停用 TLS/SSL。启用 TLS/SSL 后 (true)，您还必须设置 ssl.port 和 keystore.path 属性
`conf_webserver_http.turn.off=true`	要启用/停用 http 和 https。如果您只想使用 HTTPS，请将默认值为 `true`。
`conf_webserver_ssl.port=8443`	TLS/SSL 端口。如果启用了 TLS/SSL (`conf_webserver_ssl.enabled=true`)，则必须启用。
`conf_webserver_keystore.path=path`	密钥库文件的路径。如果启用了 TLS/SSL (`conf_webserver_ssl.enabled=true`)，则必须启用。
`conf_webserver_keystore.password=password`	使用经过混淆处理的密码，格式如下：OBF:xxxxxxxxxx
`conf_webserver_cert.alias=alias`	可选的密钥库证书别名
`conf_webserver_keymanager.password=password`	如果您的密钥管理器设有密码，请在此输入密码的混淆版本格式： OBF:xxxxxxxxxx
`conf_webserver_trust.all=[false \| true]` `conf_webserver_trust.store.path=path` `conf_webserver_trust.store.password=password`	为您的受信任证书存储区配置设置。确定是否要接受 TLS/SSL 证书（例如，接受非标准类型的证书）。默认值为 `false`。提供路径您的受信任证书存储区，并按以下格式输入经过混淆处理的受信任证书存储区密码： OBF:xxxxxxxxxx
`conf_webserver_exclude.cipher.suites=CIPHER_SUITE_1 CIPHER_SUITE_2` `conf_webserver_include.cipher.suites=`	指明要包含或排除的任何加密套件。例如，如果您发现加密中的漏洞，可以在此处排除。拆分多个加密方式以及空格。如需了解加密套件和加密架构，请参阅 <ph type="x-smartling-placeholder"></ph> 适用于 JDK 8 的 Java 加密架构 Oracle 提供程序文档。
`conf_webserver_ssl.session.cache.size=` `conf_webserver_ssl.session.timeout=`	用于确定以下各项的整数：用于存储以下对象的会话信息的 TLS/SSL 会话缓存大小（以字节为单位）多个客户端。 TLS/SSL 会话在超时之前可以持续的时长（毫秒）。