为管理界面配置 TLS

适用于私有云的 Edge v4.19.01

默认情况下，您可以使用 HTTP 请求的 IP 地址 管理服务器节点和端口 9000。例如：

http://ms_IP:9000

或者，您也可以为管理界面配置 TLS 访问权限，以便在 表单：

https://ms_IP:9443

在此示例中，您将 TLS 访问配置为使用端口 9443。但是，该端口号 您可以将管理服务器配置为使用其他端口值。唯一 您的防火墙允许通过指定端口传输流量。

确保您的 TLS 端口已打开

本部分中的步骤将 TLS 配置为使用管理服务器上的端口 9443。 无论您使用哪个端口，都必须确保该端口在 Management API 计算机上 服务器。例如，您可以使用以下命令将其打开：

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose

配置 TLS

请按照以下步骤配置对管理界面的 TLS 访问：

1. 生成包含 TLS 证书和私钥的密钥库 JKS 文件并复制 到管理服务器节点。如需了解详情，请参阅为边缘本地配置 TLS/SSL。
2. 运行以下命令以配置 TLS：

   /opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl

3. 输入 HTTPS 端口号，例如 9443。
4. 指定是否要停用对管理界面的 HTTP 访问权限。默认情况下 可以通过端口 9000 通过 HTTP 访问界面。
5. 输入密钥库算法。默认值为 JKS。
6. 输入密钥库 JKS 文件的绝对路径。

   脚本会将文件复制到/opt/apigee/customer/conf 管理服务器节点，并将文件的所有权更改为“apigee”。

7. 输入明文密钥库密码。
8. 然后，脚本会重启 Edge 管理界面。重启后，管理界面 支持通过传输层安全协议 (TLS) 进行访问。

   您可以在/opt/apigee/etc/edge-ui.d/SSL.sh中查看这些设置。

使用配置文件配置 TLS

除了上述过程，您也可以将配置文件传递给命令 第 2 步中的操作。如果您希望 设置可选的 TLS 属性。

如需使用配置文件，请创建一个新文件并添加以下属性：

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

将文件保存到使用任意名称的本地目录中。 然后，使用以下命令配置 TLS：

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

其中 configFile 是您保存的文件的完整路径。

配置使用 TLS 时的 Edge 界面 在负载平衡器上终止

如果您有将请求转发到 Edge 界面的负载平衡器，您可以选择 终止负载平衡器上的 TLS 连接，然后让负载平衡器转发 通过 HTTP 向 Edge 界面发送请求。此配置受支持，但您需要 和 Edge 界面。

当 Edge 界面向用户发送电子邮件以设置其 或在用户请求重置丢失的密码时保存密码。此电子邮件 包含用户选择用来设置或重置密码的网址。默认情况下，如果 Edge 界面为 未配置为使用 TLS，则生成的电子邮件中的网址使用 HTTP 协议而非 HTTPS。 您必须配置负载平衡器和 Edge 界面，才能生成使用 HTTPS。

如需配置负载平衡器，请确保它在转发的请求上设置以下标头 添加到 Edge 界面：

X-Forwarded-Proto: https

如需配置 Edge 界面，请执行以下操作：

1. 打开 /opt/apigee/customer/application/ui.properties 文件。如果该文件不存在，请创建它：

   vi /opt/apigee/customer/application/ui.properties

2. 在 ui.properties 中设置以下属性：

   conf/application.conf+trustxforwarded=true

3. 将所做的更改保存到 ui.properties。
4. 重启 Edge 界面：

   /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

设置可选的 TLS 属性

Edge 界面支持可选的 TLS 配置属性，可用于设置以下内容：

• 默认 TLS 协议
• 支持的 TLS 协议列表
• 支持的 TLS 算法
• 支持的 TLS 加密方式

这些可选参数仅在您设置以下配置属性时可用 ，如 使用配置文件配置 TLS：

TLS_CONFIGURE=y

下表介绍了这些属性：

TLS_ENABLED_PROTOCOL=[\"TLSv1.2\", \"TLSv1.1\", \"TLSv1\"]

TLS_DISABLED_ALGO=EC\ keySize\ <\ 160,RSA\ keySize\ <\ 2048

TLS_ENABLED_CIPHERS=[\"TLS_DHE_RSA_WITH_AES_128_CBC_SHA\",
\"TLS_DHE_DSS_WITH_AES_128_CBC_SHA\"]

"TLS_DHE_RSA_WITH_AES_256_CBC_SHA",
"TLS_DHE_RSA_WITH_AES_128_CBC_SHA",
"TLS_DHE_DSS_WITH_AES_128_CBC_SHA",
"TLS_RSA_WITH_AES_256_CBC_SHA",
"TLS_RSA_WITH_AES_128_CBC_SHA",
"SSL_RSA_WITH_RC4_128_SHA",
"SSL_RSA_WITH_RC4_128_MD5",
"TLS_EMPTY_RENEGOTIATION_INFO_SCSV"

停用 TLS 协议

要停用 TLS 协议，您需要修改配置文件，具体说明请参阅 使用配置文件配置 TLS 如下所示：

1. 在编辑器中打开配置文件。
2. 如需停用单一 TLS 协议（例如 TLSv1.0），请添加以下内容 添加到配置文件中：

   TLS_CONFIGURE=y
   TLS_DISABLED_ALGO="tlsv1"

   要停用多个协议（例如 TLSv1.0 和 TLSv1.1），请执行以下操作： 将以下内容添加到配置文件中：

   TLS_CONFIGURE=y
   TLS_DISABLED_ALGO="tlsv1, tlsv1.1"

3. 保存对配置文件所做的更改。
4. 运行以下命令以配置 TLS：

   /opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

   其中，configFile 是配置文件的完整路径。

5. 重启 Edge 界面：

   /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

使用安全 Cookie

适用于私有云的 Apigee Edge 支持将 secure 标志添加到 Set-Cookie 标头， 做出响应如果存在此标记，则 Cookie 只能通过 启用了 TLS 的渠道。如果没有，则 Cookie 可通过任意渠道发送，无论其发送对象是 它是否安全。

不带 secure 标志的 Cookie 可能会允许攻击者捕获并 重新使用 Cookie 或劫持活跃会话因此，最佳做法是 设置。

如需为 Edge 界面 Cookie 设置 secure 标志，请执行以下操作：

1. 在文本编辑器中打开以下文件：

   /opt/apigee/customer/application/ui.properties

   如果该文件不存在，请创建该文件。

2. 在conf_application_session.securetrue ui.properties 文件，如以下示例所示：

   conf_application_session.secure=true

3. 保存更改。
4. 使用 apigee-serice 实用程序重启 Edge 界面，如以下示例所示 显示：

   /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

如需确认更改是否有效，请在 Edge 界面中使用以下命令检查响应标头 实用程序，例如 curl；例如：

curl -i -v https://edge_UI_URL

标头应包含如下所示的行：

Set-Cookie: secure; ...

在 Edge 界面上停用 TLS

如需在 Edge 界面上停用 TLS，请使用以下命令：

/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl