本頁面由 Cloud Translation API 翻譯而成。

為管理使用者介面設定傳輸層安全標準 (TLS)

私有雲 v4.19.01 的邊緣

根據預設，您可以使用管理伺服器節點和通訊埠 9000 的 IP 位址，透過 HTTP 存取 Edge 管理 UI。例如：

http://ms_IP:9000

或者，您可以設定管理 UI 的傳輸層安全標準 (TLS) 存取權，以便透過下列格式存取：

https://ms_IP:9443

在本範例中，您會將 TLS 存取權設定為使用通訊埠 9443。不過，Edge 不需要該通訊埠編號，您可以將管理伺服器設為使用其他通訊埠值。唯一的要求是防火牆允許通過指定的通訊埠的流量。

確認 TLS 通訊埠已開啟

本節中的程序設定傳輸層安全標準 (TLS) 以在管理伺服器上使用通訊埠 9443。無論您使用何種通訊埠，都必須確保管理伺服器上的通訊埠已開啟。舉例來說，您可以使用下列指令開啟它：

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose

注意：這個範例使用通訊埠 9443 做為傳輸層安全標準 (TLS) 通訊埠，而非較常見的通訊埠 443。這是因為通訊埠 1024 以下的通訊埠通常受作業系統保護，而且需要存取這些通訊埠的程序才能取得 Root 權限。Edge UI 是以「apigee」使用者執行，因此通常無法存取 1024 以下版本的通訊埠。

替代方法是將負載平衡器與 Edge UI 搭配使用，然後在通訊埠 443 上終止負載平衡器的 TLS。接著，您可以在負載平衡器和 Edge UI 之間使用 HTTP 或 HTTPS。

或者，您也可以使用 iptables 將要求轉送至通訊埠 443，並轉送至通訊埠 9443。例如：

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 9443

設定 TLS

請按照下列程序設定管理 UI 的 TLS 存取權：

產生含有傳輸層安全標準 (TLS) 憑證和私密金鑰的 KeyStore JKS 檔案，並將該檔案複製到管理伺服器節點。詳情請參閱為 Edge On Premise 設定 TLS/SSL。

執行下列指令來設定 TLS：

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl

輸入 HTTPS 通訊埠號碼，例如「9443」。
指定是否要停用管理 UI 的 HTTP 存取權。根據預設，管理 UI 可透過通訊埠 9000 的 HTTP 存取。
輸入 KeyStore 演算法。預設值為 JKS。
輸入 KeyStore JKS 檔案的絕對路徑。
這個指令碼會將檔案複製到管理伺服器節點的 /opt/apigee/customer/conf 目錄，並將檔案擁有權變更為「apigee」。
輸入明文 KeyStore 密碼。
接著，指令碼會重新啟動 Edge 管理 UI。重新啟動後，管理 UI 即可支援透過 TLS 存取。
你可以在 /opt/apigee/etc/edge-ui.d/SSL.sh 中查看這些設定。

使用設定檔設定 TLS

除了上述程序之外，您也可以將設定檔傳送至程序步驟 2 中的指令。如要設定選用的 TLS 屬性，必須使用這個方法。

如要使用設定檔，請建立新的檔案並新增下列屬性：

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

將檔案儲存在本機目錄中，並以您偏好的名稱儲存。接著使用以下指令設定 TLS：

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

其中 configFile 是您儲存檔案的完整路徑。

在 TLS 終止於負載平衡器時設定 Edge UI

如果您的負載平衡器會將要求轉送至 Edge UI，您可以選擇終止負載平衡器上的 TLS 連線，然後讓負載平衡器透過 HTTP 將要求轉送至 Edge UI。系統支援這項設定，但您必須據此設定負載平衡器和 Edge UI。

使用者建立或要求重設遺失密碼時，Edge UI 會傳送電子郵件給使用者，要求使用者設定密碼。這封電子郵件包含使用者選擇設定或重設密碼的網址。根據預設，如果 Edge UI 未設定為使用 TLS，則產生的電子郵件中的網址會使用 HTTP 通訊協定，而非 HTTPS。您必須設定負載平衡器和 Edge UI，才能產生使用 HTTPS 的電子郵件地址。

如要設定負載平衡器，請確認負載平衡器為轉送至 Edge UI 的要求設定下列標頭：

X-Forwarded-Proto: https

如何設定 Edge UI：

在編輯器中開啟 /opt/apigee/customer/application/ui.properties 檔案。如果檔案不存在，請建立檔案：
```
vi /opt/apigee/customer/application/ui.properties
```

在 ui.properties 中設定下列屬性：

conf/application.conf+trustxforwarded=true

儲存您對「ui.properties」所做的變更。

重新啟動 Edge UI：

/opt/apigee/apigee-service/bin/apigee-service edge-ui restart

設定選用的 TLS 屬性

Edge UI 支援選用的 TLS 設定屬性，可用來設定下列項目：

預設 TLS 通訊協定
支援的 TLS 通訊協定清單
支援的 TLS 演算法
支援的 TLS 加密方式

只有在設定檔中設定以下設定屬性時，才能使用這些選用參數，如使用設定檔設定 TLS 中所述：

TLS_CONFIGURE=y

注意： 您只能在傳送至 apigee-service edge-ui configure-ssl 指令的設定檔中設定這些選用參數。您無法使用互動指令設定這些屬性。

下表說明這些屬性：

屬性	說明
`TLS_PROTOCOL`	定義 Edge UI 的預設 TLS 通訊協定。預設值為 TLS 1.2。有效值為 TLSv1.2、TLSv1.1、TLSv1。
`TLS_ENABLED_PROTOCOL`	將已啟用通訊協定的清單定義為以半形逗號分隔的陣列。例如： TLS_ENABLED_PROTOCOL=[\"TLSv1.2\", \"TLSv1.1\", \"TLSv1\"] 請注意，您必須逸出「」字元。根據預設，所有通訊協定都會啟用。
`TLS_DISABLED_ALGO`	定義停用的加密套件，也可用來防止小型金鑰大小用於傳輸層安全標準 (TLS) 雙手攻擊。沒有預設值。傳遞至 `TLS_DISABLED_ALGO` 的值會對應至 `jdk.tls.disabledAlgorithms` 的可用值，如這裡所述。不過，設定 `TLS_DISABLED_ALGO` 時必須逸出空格字元： TLS_DISABLED_ALGO=EC\ keySize\ <\ 160,RSA\ keySize\ <\ 2048
`TLS_ENABLED_CIPHERS`	將可用傳輸層安全標準 (TLS) 加密清單定義為以逗號分隔的陣列。例如： TLS_ENABLED_CIPHERS=[\"TLS_DHE_RSA_WITH_AES_128_CBC_SHA\", \"TLS_DHE_DSS_WITH_AES_128_CBC_SHA\"] 請注意，您必須逸出「」字元。啟用的加密套件預設清單為： "TLS_DHE_RSA_WITH_AES_256_CBC_SHA", "TLS_DHE_RSA_WITH_AES_128_CBC_SHA", "TLS_DHE_DSS_WITH_AES_128_CBC_SHA", "TLS_RSA_WITH_AES_256_CBC_SHA", "TLS_RSA_WITH_AES_128_CBC_SHA", "SSL_RSA_WITH_RC4_128_SHA", "SSL_RSA_WITH_RC4_128_MD5", "TLS_EMPTY_RENEGOTIATION_INFO_SCSV" 如要查看可用的加密套件清單，請按這裡。

正在停用 TLS 通訊協定

如要停用 TLS 通訊協定，您必須編輯設定檔，如使用設定檔設定 TLS，如下所示：

在編輯器中開啟設定檔。
如要停用單一 TLS 通訊協定 (例如 TLSv1.0)，請在設定檔中加入以下內容：
```
TLS_CONFIGURE=y
TLS_DISABLED_ALGO="tlsv1"
```
如要停用多個通訊協定 (例如 TLSv1.0 和 TLSv1.1)，請在設定檔中加入以下內容：
```
TLS_CONFIGURE=y
TLS_DISABLED_ALGO="tlsv1, tlsv1.1"
```
將變更儲存至設定檔。

執行下列指令來設定 TLS：

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

其中 configFile 是設定檔的完整路徑。

重新啟動 Edge UI：

/opt/apigee/apigee-service/bin/apigee-service edge-ui restart

使用安全 Cookie

Apigee Edge for Private Cloud 支援將 secure 標記新增至 Set-Cookie 標頭，以便取得 Edge UI 的回應。如果加上這個標記，Cookie 就只能透過已啟用 TLS 的管道傳送。如不存在，則 Cookie 可以透過任何管道傳送 (無論 Cookie 是否安全)。

沒有 secure 旗標的 Cookie 可能會讓攻擊者擷取並重複使用 Cookie，或盜用運作中的工作階段。因此，最佳做法是啟用這項設定。

如要為 Edge UI Cookie 設定 secure 標記，請按照下列指示操作：

在文字編輯器中開啟下列檔案：
```
/opt/apigee/customer/application/ui.properties
```
如果檔案不存在，請建立一個。
將 ui.properties 檔案中的 conf_application_session.secure 屬性設為 true，如以下範例所示：
```
conf_application_session.secure=true
```
儲存變更。
使用 apigee-serice 公用程式重新啟動 Edge UI，如以下範例所示：
```
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
```

如要確認變更是否正常運作，請使用 curl 等公用程式檢查 Edge UI 的回應標頭，例如：

curl -i -v https://edge_UI_URL

標頭應包含類似下圖的一行：

Set-Cookie: secure; ...

在 Edge UI 上停用 TLS

如要在 Edge UI 上停用 TLS，請使用下列指令：

/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl