Edge for Private Cloud w wersji 4.19.01
Domyślnie protokół TLS jest wyłączony w interfejsie API zarządzania. Dostęp do interfejsu Edge Management API uzyskuje się przez HTTP przy użyciu adresu IP węzła serwera zarządzania i portu 8080. Na przykład:
http://ms_IP:8080
Możesz też skonfigurować dostęp TLS do interfejsu API zarządzania w taki sposób, aby móc uzyskać do niego dostęp w tej formie:
https://ms_IP:8443
W tym przykładzie skonfigurujesz dostęp TLS tak, aby używać portu 8443. Jednak ten numer portu nie jest wymagany przez Edge. Możesz skonfigurować serwer zarządzania, aby używał innych wartości portów. Jedynym wymaganiem jest to, aby zapora sieciowa zezwalała na ruch przez określony port.
Aby zapewnić szyfrowanie ruchu do i z interfejsu API zarządzania, skonfiguruj ustawienia w pliku /opt/apigee/customer/application/management-server.properties
.
Oprócz konfiguracji TLS możesz też kontrolować weryfikację hasła (długość i siłę hasła), modyfikując plik management-server.properties
.
Upewnij się, że port TLS jest otwarty
Procedura podana w tej sekcji pozwala skonfigurować protokół TLS do używania portu 8443 na serwerze zarządzania. Niezależnie od używanego portu musisz się upewnić, że port na serwerze zarządzania musi być otwarty. Aby go otworzyć, możesz na przykład użyć tego polecenia:
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose
Konfigurowanie TLS
Edytuj plik /opt/apigee/customer/application/management-server.properties
, aby kontrolować użycie TLS w ruchu do i z interfejsu API zarządzania. Jeśli ten plik nie istnieje, utwórz go.
Aby skonfigurować dostęp TLS do interfejsu API do zarządzania:
- Wygeneruj plik JKS magazynu kluczy zawierający certyfikat TLS i klucz prywatny. Więcej informacji znajdziesz w artykule o konfigurowaniu TLS/SSL w środowisku Edge On.
- Skopiuj plik JKS magazynu kluczy do katalogu w węźle serwera zarządzania, np.
/opt/apigee/customer/application
. - Zmień własność pliku JKS na użytkownika „apigee”:
chown apigee:apigee keystore.jks
Gdzie keystore.jks to nazwa pliku magazynu kluczy.
- Edytuj
/opt/apigee/customer/application/management-server.properties
, aby ustawić poniższe właściwości. Jeśli ten plik nie istnieje, utwórz go:conf_webserver_ssl.enabled=true # Leave conf_webserver_http.turn.off set to false # because many Edge internal calls use HTTP. conf_webserver_http.turn.off=false conf_webserver_ssl.port=8443 conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks # Enter the obfuscated keystore password below. conf_webserver_keystore.password=OBF:obfuscatedPassword
Gdzie keyStore.jks to plik magazynu kluczy, a obfuscatedPassword to zaciemnione hasło do magazynu kluczy. Informacje o generowaniu zaciemnionego hasła znajdziesz w artykule o konfigurowaniu TLS/SSL dla przeglądarki Edge On.
- Ponownie uruchom serwer zarządzania brzegowymi przy użyciu polecenia:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
Interfejs API zarządzania obsługuje teraz dostęp przez protokół TLS.
Skonfiguruj interfejs Edge tak, aby używał TLS do uzyskiwania dostępu do interfejsu Edge API
W powyższej procedurze Apigee zaleca opuszczenie conf_webserver_http.turn.off=false
, aby interfejs Edge nadal mógł wykonywać wywołania interfejsu Edge API przez HTTP.
Skorzystaj z poniższej procedury, aby skonfigurować interfejs Edge w taki sposób, aby wywołania te były wykonywane tylko przez HTTPS:
- Skonfiguruj dostęp TLS do interfejsu API zarządzania w sposób opisany powyżej.
- Gdy potwierdzisz, że protokół TLS działa w interfejsie API zarządzania, edytuj
/opt/apigee/customer/application/management-server.properties
, aby ustawić tę właściwość:conf_webserver_http.turn.off=true
- Ponownie uruchom serwer zarządzania brzegowymi, wykonując to polecenie:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- Edytuj
/opt/apigee/customer/application/ui.properties
, aby ustawić tę właściwość interfejsu Edge:conf_apigee_apigee.mgmt.baseurl="https://FQ_domain_name:port/v1"
Gdzie FQ_domain_name to pełna nazwa domeny zgodnie z adresem certyfikatu serwera zarządzania, a port to port określony powyżej przez
conf_webserver_ssl.port
.Jeśli ui.properties nie istnieje, utwórz ją.
- Tylko jeśli używasz samodzielnie podpisanego certyfikatu (niezalecanego w środowisku produkcyjnym) podczas konfigurowania dostępu TLS do powyższego interfejsu API zarządzania dodaj do
ui.properties
tę właściwość:conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true
W przeciwnym razie interfejs Edge odrzuci certyfikat podpisany samodzielnie.
- Ponownie uruchom interfejs Edge, wykonując to polecenie:
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Właściwości TLS serwera zarządzania
W tabeli poniżej znajdziesz wszystkie właściwości TLS/SSL, które możesz ustawić w management-server.properties
:
Właściwości | Opis |
---|---|
|
Wartość domyślna to 8080. |
|
Aby włączyć/wyłączyć TLS/SSL. Przy włączonym TLS/SSL (prawda) musisz też ustawić właściwości ssl.port i keystore.path. |
|
Aby włączyć/wyłączyć protokół http i https. Jeśli chcesz używać tylko protokołu HTTPS, pozostaw wartość domyślną |
|
Port TLS/SSL. Wymagane, gdy włączony jest protokół TLS/SSL ( |
|
Ścieżka do pliku magazynu kluczy. Wymagane, gdy włączony jest protokół TLS/SSL ( |
|
Użyj zaciemnionego hasła w formacie OBF:xxxxxxxxxx |
|
Opcjonalny alias certyfikatu magazynu kluczy |
|
Jeśli Twój menedżer kluczy ma hasło, wpisz zaciemnioną wersję hasła w tym formacie: OBF:xxxxxxxxxx |
|
Skonfiguruj ustawienia magazynu zaufania. Określ, czy chcesz akceptować wszystkie certyfikaty TLS/SSL (na przykład niestandardowe typy). Wartość domyślna to OBF:xxxxxxxxxx |
|
Wskaż zestawy szyfrów, które chcesz uwzględnić lub wykluczyć. Jeśli na przykład wykryjesz lukę w zabezpieczeniach szyfru, możesz go tutaj wykluczyć. Poszczególne mechanizmy szyfrowania rozdziel spacją. Informacje o pakietach szyfrów i architekturze kryptografii znajdziesz w dokumentacji Java Cryptography Architecture Providers Dokumentacja dostawcy oprogramowania JDK 8. |
|
Liczba całkowite, które określają:
|