Ta strona została przetłumaczona przez Cloud Translation API.

Konfigurowanie protokołu TLS dla interfejsu API zarządzania

Edge for Private Cloud w wersji 4.19.01

Domyślnie protokół TLS jest wyłączony w przypadku interfejsu Management API, a dostęp do interfejsu Edge Management API uzyskujesz przez HTTP przy użyciu adresu IP węzła serwera zarządzania i portu 8080. Na przykład:

http://ms_IP:8080

Możesz też skonfigurować dostęp TLS do interfejsu API zarządzania, aby mieć do niego dostęp w formularz:

https://ms_IP:8443

W tym przykładzie skonfigurujesz dostęp TLS tak, aby używał portu 8443. Ten numer portu nie jest jednak wymagane przez serwer Edge – możesz skonfigurować serwer zarządzania tak, aby używał innych wartości portów. Jedyna wymaganiem jest, aby zapora sieciowa zezwalała na ruch przez określony port.

Aby zapewnić szyfrowanie ruchu przychodzącego i wychodzącego z interfejsu API zarządzania, skonfiguruj ustawienia /opt/apigee/customer/application/management-server.properties .

Oprócz konfiguracji TLS możesz też kontrolować sprawdzanie poprawności (długość hasła) i siłę), modyfikując plik management-server.properties.

Sprawdź, czy port TLS jest otwarty

Procedura opisana w tej sekcji pozwala skonfigurować protokół TLS tak, aby używał portu 8443 na serwerze zarządzania. Niezależnie od używanego portu musisz sprawdzić, czy port jest otwarty w sekcji zarządzania Serwer Możesz na przykład otworzyć je za pomocą tego polecenia:

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose

UWAGA: w tym przykładzie użyto portu 8443 jako portu TLS, a nie bardziej wspólny port 443.

Porty poniżej 1024 są zwykle chronione przez system operacyjny i wymagają czyli procesu uzyskiwania do nich dostępu na poziomie roota. Serwer zarządzania brzegiem działa jako „apigee” użytkownika i dlatego zwykle nie ma dostępu do portów poniżej 1024.

Można też użyć systemu równoważenia obciążenia z interfejsem Edge API i wyłączyć TLS podczas wczytywania. system równoważenia obciążenia na porcie 443. Następnie możesz użyć protokołu HTTP lub HTTPS między systemem równoważenia obciążenia a tagiem Interfejs Edge API.

Inną możliwością jest użycie iptables do przekierowania żądań do portu 443 na przez port 8443. Na przykład:

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 8443

Konfigurowanie TLS

Edytuj /opt/apigee/customer/application/management-server.properties w celu kontrolowania użycia protokołu TLS w ruchu do i z interfejsu API zarządzania. Jeśli ten plik nie istnieje, i ją utworzyć.

Aby skonfigurować dostęp TLS do interfejsu API zarządzania:

Wygeneruj plik JKS magazynu kluczy zawierający certyfikat TLS i klucz prywatny. Więcej Więcej informacji znajdziesz w artykule Konfigurowanie TLS/SSL w Edge On Premises (w języku angielskim).
Skopiuj plik JKS magazynu kluczy do katalogu w węźle serwera zarządzania, na przykład jako /opt/apigee/customer/application.
Zmień własność pliku JKS na „apigee” użytkownik:
```
chown apigee:apigee keystore.jks
```
Gdzie keystore.jks to nazwa pliku magazynu kluczy.

Edytuj /opt/apigee/customer/application/management-server.properties na potrzeby skonfigurowania tych właściwości. Jeśli plik nie istnieje, utwórz go:

conf_webserver_ssl.enabled=true
# Leave conf_webserver_http.turn.off set to false
# because many Edge internal calls use HTTP.
conf_webserver_http.turn.off=false
conf_webserver_ssl.port=8443
conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks
# Enter the obfuscated keystore password below.
conf_webserver_keystore.password=OBF:obfuscatedPassword

Gdzie keyStore.jks to plik magazynu kluczy, obfuscatedPassword to zaciemnione hasło magazynu kluczy. Zobacz Konfigurowanie TLS/SSL dla usługi Edge On dla domeny jak wygenerować zaciemnione hasło.

Ponownie uruchom serwer zarządzania brzegiem serwera za pomocą polecenia:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Interfejs API zarządzania obsługuje teraz dostęp przez protokół TLS.

Konfigurowanie interfejsu Edge tak, aby uzyskiwać dostęp przy użyciu protokołu TLS interfejs Edge API

W ramach powyższej procedury Apigee zaleca opuszczenie strony conf_webserver_http.turn.off=false, tak aby interfejs Edge może nadal wywoływać interfejs Edge API przez HTTP.

Wykonaj poniższe czynności, aby skonfigurować interfejs Edge, aby wykonywać te wywołania tylko przez HTTPS:

Skonfiguruj dostęp TLS do interfejsu API zarządzania w sposób opisany powyżej.
Gdy potwierdzisz, że TLS działa dla interfejsu API zarządzania, edytuj /opt/apigee/customer/application/management-server.properties do ustaw tę właściwość:
```
conf_webserver_http.turn.off=true
```

Ponownie uruchom serwer zarządzania brzegiem, wykonując to polecenie:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Edytuj /opt/apigee/customer/application/ui.properties ustaw tę właściwość interfejsu Edge:
```
conf_apigee_apigee.mgmt.baseurl="https://FQ_domain_name:port/v1"
```
Gdzie FQ_domain_name to pełna nazwa domeny, zgodnie z certyfikatem. adresu serwera zarządzania, a port to port określony powyżej przez conf_webserver_ssl.port

Jeśli plik ui.properties nie istnieje, utwórz go.
Tylko w przypadku korzystania z certyfikatu podpisanego samodzielnie (niezalecane w wersji produkcyjnej (środowisko), podczas konfigurowania dostępu TLS do interfejsu zarządzania API powyżej dodaj tę usługę do usługi ui.properties:
```
conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true
```
W przeciwnym razie interfejs Edge odrzuci certyfikat podpisany samodzielnie.

Ponownie uruchom interfejs Edge, wykonując to polecenie:

/opt/apigee/apigee-service/bin/apigee-service edge-ui restart

Właściwości TLS serwera zarządzania

Poniższa tabela zawiera wszystkie właściwości TLS/SSL, które można ustawić management-server.properties:

Właściwości	Opis
`conf_webserver_http.port=8080`	Wartość domyślna to 8080.
`conf_webserver_ssl.enabled=false`	Aby włączyć lub wyłączyć TLS/SSL. Gdy protokół TLS/SSL jest włączony (prawda), musisz też ustawić atrybut ssl.port i keystore.path.
`conf_webserver_http.turn.off=true`	Aby włączyć lub wyłączyć protokół HTTP razem z https. Jeśli chcesz używać tylko protokołu HTTPS, pozostaw pole domyślna wartość to `true`.
`conf_webserver_ssl.port=8443`	Port TLS/SSL. Wymagane, gdy włączone jest szyfrowanie TLS/SSL (`conf_webserver_ssl.enabled=true`).
`conf_webserver_keystore.path=path`	Ścieżka do pliku magazynu kluczy. Wymagane, gdy włączone jest szyfrowanie TLS/SSL (`conf_webserver_ssl.enabled=true`).
`conf_webserver_keystore.password=password`	Użyj zaciemnionego hasła w formacie OBF:xxxxxxxxxx
`conf_webserver_cert.alias=alias`	Opcjonalny alias certyfikatu magazynu kluczy
`conf_webserver_keymanager.password=password`	Jeśli menedżer kluczy ma hasło, wpisz zaciemnioną wersję hasła w format: OBF:xxxxxxxxxx
`conf_webserver_trust.all=[false \| true]` `conf_webserver_trust.store.path=path` `conf_webserver_trust.store.password=password`	Skonfiguruj ustawienia magazynu zaufania. Zdecyduj, czy chcesz zaakceptować wszystkie Certyfikaty TLS/SSL (np. do akceptowania typów niestandardowych). Wartość domyślna to `false`. Podaj ścieżkę do magazynu zaufania i wpisz zaciemnione hasło tego magazynu w tym formacie: OBF:xxxxxxxxxx
`conf_webserver_exclude.cipher.suites=CIPHER_SUITE_1 CIPHER_SUITE_2` `conf_webserver_include.cipher.suites=`	Wskaż zestawy szyfrów, które chcesz uwzględnić lub wykluczyć. Jeśli na przykład wykryć lukę w zabezpieczeniach za pomocą algorytmu, możesz ją tutaj wykluczyć. Rozdziel mechanizmy szyfrowania ze spacją. Informacje na temat zestawów szyfrów i architektury kryptografii można znaleźć na stronie Dokumentacja dostawców Oracle w architekturze Java Cryptography Architecture dla JDK 8
`conf_webserver_ssl.session.cache.size=` `conf_webserver_ssl.session.timeout=`	Liczba całkowita określająca: Rozmiar pamięci podręcznej sesji TLS/SSL (w bajtach), która jest używana do przechowywania informacji o sesji dla wielu klientów. Czas trwania sesji TLS/SSL przed upływem limitu czasu (w milisekund).