Edge for Private Cloud 4.19.01 sürümü
Varsayılan olarak Yönetim Sunucusu düğümü ve bağlantı noktası 9000. Örneğin:
http://ms_IP:9000
Alternatif olarak, yönetim kullanıcı arayüzüne TLS erişimini yapılandırabilirsiniz. Böylece, şu formu kullanın:
https://ms_IP:9443
Bu örnekte, TLS erişimini 9443 numaralı bağlantı noktasını kullanacak şekilde yapılandıracaksınız. Ancak bu bağlantı noktası numarası Yönetim Sunucusu'nu diğer bağlantı noktası değerlerini kullanacak şekilde yapılandırabilirsiniz. Tek güvenlik duvarınızın belirtilen bağlantı noktası üzerinden trafiğe izin vermesidir.
TLS bağlantı noktanızın açık olduğundan emin olun
Bu bölümdeki prosedür, TLS'yi Yönetim Sunucusu'nda bağlantı noktası 9443'ü kullanacak şekilde yapılandırır. Kullandığınız bağlantı noktası ne olursa olsun, Management'ta bağlantı noktasının açık olduğundan emin olmanız gerekir. Sunucu. Örneğin, dosyayı açmak için aşağıdaki komutu kullanabilirsiniz:
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose.
TLS'yi yapılandırın
Yönetim kullanıcı arayüzüne TLS erişimini yapılandırmak için aşağıdaki prosedürü kullanın:
- TLS sertifikanızı ve özel anahtarınızı içeren anahtar deposu JKS dosyasını oluşturun ve kopyayı Yönetim Sunucusu düğümüne aktarır. Daha fazla bilgi için Edge Şirket İçi Ortam için TLS/SSL'yi Yapılandırma başlıklı makaleye bakın.
- TLS'yi yapılandırmak için aşağıdaki komutu çalıştırın:
/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl
. - HTTPS bağlantı noktası numarasını girin (ör. 9443).
- Yönetim kullanıcı arayüzüne HTTP erişimini devre dışı bırakmak isteyip istemediğinizi belirtin. Varsayılan olarak, yönetim Kullanıcı arayüzüne 9000 numaralı bağlantı noktası üzerinden HTTP üzerinden erişilebilir.
- Anahtar deposu algoritmasını girin. Varsayılan değer JKS'dir.
- Anahtar deposu JKS dosyasının mutlak yolunu girin.
Komut dosyası, dosyayı
/opt/apigee/customer/conf
Yönetim Sunucusu düğümünü seçer ve dosyanın sahipliğini "Apigee" olarak değiştirir. - Temiz metin anahtar deposu şifresini girin.
- Komut dosyası, daha sonra Edge yönetim kullanıcı arayüzünü yeniden başlatır. Yeniden başlatma sonrasında, yönetim arayüzü
TLS üzerinden erişimi destekler.
Bu ayarları
/opt/apigee/etc/edge-ui.d/SSL.sh
bölümünde görebilirsiniz.
TLS'yi yapılandırmak için yapılandırma dosyası kullanma
Yukarıdaki prosedüre alternatif olarak, komut dosyasına bir yapılandırma dosyası bölümünde değineceğiz. Aşağıdaki durumlarda bu yöntemi kullanmanız gerekir: isteğe bağlı TLS özelliklerini ayarlayın.
Yapılandırma dosyası kullanmak için yeni bir dosya oluşturun ve aşağıdaki özellikleri ekleyin:
HTTPSPORT=9443 DISABLE_HTTP=y KEY_ALGO=JKS KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks KEY_PASS=clearTextKeystorePWord
Dosyayı istediğiniz adla yerel bir dizine kaydedin. Ardından TLS'yi yapılandırmak için aşağıdaki komutu kullanın:
/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile
Burada configFile, kaydettiğiniz dosyanın tam yoludur.
TLS olduğunda Edge kullanıcı arayüzünü yapılandırma yük dengeleyicide sonlandırılır
İstekleri Edge kullanıcı arayüzüne yönlendiren bir yük dengeleyiciniz varsa yük dengeleyicide TLS bağlantısını sonlandırıp ardından yük dengeleyicinin HTTP üzerinden Edge Kullanıcı Arayüzü'ne gönderilen istekleri geri alabilir. Bu yapılandırma desteklenir ancak yük dengeleyici ve Edge kullanıcı arayüzü oluşturmalıdır.
Edge Kullanıcı Arayüzü, kullanıcıların cihazlarını ayarlamak için e-postalar gönderdiğinde Şifre oluşturulduğunda veya kullanıcı kayıp bir şifreyi sıfırlama isteğinde bulunduğunda. Bu e-posta Kullanıcının şifre ayarlamak veya sıfırlamak için seçtiği bir URL'yi içerir. Edge kullanıcı arayüzü TLS kullanacak şekilde yapılandırılmadıysa oluşturulan e-postadaki URL HTTPS değil, HTTP protokolünü kullanır. HTTPS'ye dokunun.
Yük dengeleyiciyi yapılandırmak için, yönlendirilen isteklerde aşağıdaki başlığı ayarladığından emin olun yeni bir:
X-Forwarded-Proto: https
Edge kullanıcı arayüzünü yapılandırmak için:
/opt/apigee/customer/application/ui.properties
uygulamasını açın bir düzenleyiciye yükleyin. Dosya yoksa, oluşturun:vi /opt/apigee/customer/application/ui.properties
.ui.properties
içinde aşağıdaki özelliği ayarlayın:conf/application.conf+trustxforwarded=true
ui.properties
için yaptığınız değişiklikleri kaydedin.- Edge kullanıcı arayüzünü yeniden başlatın:
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
.
İsteğe bağlı TLS özelliklerini ayarlama
Edge kullanıcı arayüzü, aşağıdakileri ayarlamak için kullanabileceğiniz isteğe bağlı TLS yapılandırma özelliklerini destekler:
- Varsayılan TLS protokolü
- Desteklenen TLS protokollerinin listesi
- Desteklenen TLS algoritmaları
- Desteklenen TLS şifreleri
Bu isteğe bağlı parametreler yalnızca aşağıdaki yapılandırma özelliğini ayarladığınızda kullanılabilir bölümünde açıklandığı gibi bir yapılandırma dosyasında TLS'yi yapılandırmak için bir yapılandırma dosyası kullanma:
TLS_CONFIGURE=y.
Aşağıdaki tabloda bu özellikler açıklanmaktadır:
Özellik | Açıklama |
---|---|
TLS_PROTOCOL
|
Edge kullanıcı arayüzü için varsayılan TLS protokolünü tanımlar. Varsayılan olarak TLS 1.2'dir. Geçerli değerler TLSv1.2, TLSv1.1, TLSv1'dir. |
TLS_ENABLED_PROTOCOL
|
Etkin protokollerin listesini virgülle ayrılmış bir dizi olarak tanımlar. Örneğin: TLS_ENABLED_PROTOCOL=[\"TLSv1.2\", \"TLSv1.1\", \"TLSv1\"] " karakteriyle ayrılır.
Varsayılan olarak tüm protokoller etkindir. |
TLS_DISABLED_ALGO
|
Devre dışı bırakılan şifre paketlerini tanımlar ve küçük anahtar boyutlarının TLS el sıkışması için kullanılır. Varsayılan bir değer yok.
TLS_DISABLED_ALGO=EC\ keySize\ <\ 160,RSA\ keySize\ <\ 2048 |
TLS_ENABLED_CIPHERS
|
Kullanılabilir TLS şifreleri listesini virgülle ayrılmış bir dizi olarak tanımlar. Örneğin: TLS_ENABLED_CIPHERS=[\"TLS_DHE_RSA_WITH_AES_128_CBC_SHA\", \"TLS_DHE_DSS_WITH_AES_128_CBC_SHA\"] " karakteriyle ayrılır.
Etkin şifrelerin varsayılan listesi şöyledir: "TLS_DHE_RSA_WITH_AES_256_CBC_SHA", "TLS_DHE_RSA_WITH_AES_128_CBC_SHA", "TLS_DHE_DSS_WITH_AES_128_CBC_SHA", "TLS_RSA_WITH_AES_256_CBC_SHA", "TLS_RSA_WITH_AES_128_CBC_SHA", "SSL_RSA_WITH_RC4_128_SHA", "SSL_RSA_WITH_RC4_128_MD5", "TLS_EMPTY_RENEGOTIATION_INFO_SCSV" Mevcut şifrelerin listesini bulma burada bulabilirsiniz. |
TLS protokolleri devre dışı bırakılıyor
TLS protokollerini devre dışı bırakmak için yapılandırma dosyasını şu sayfada açıklandığı şekilde düzenlemeniz gerekir: TLS'yi yapılandırmak için bir yapılandırma dosyası kullanarak şu şekildedir:
- Yapılandırma dosyasını bir düzenleyicide açın.
- Tek bir TLS protokolünü (örneğin, TLSv1.0) devre dışı bırakmak için aşağıdaki kodu ekleyin
ekleyin:
TLS_CONFIGURE=y TLS_DISABLED_ALGO="tlsv1"
.Birden çok protokolü (örneğin, TLSv1.0 ve TLSv1.1) devre dışı bırakmak için yapılandırma dosyasına şunu ekleyin:
TLS_CONFIGURE=y TLS_DISABLED_ALGO="tlsv1, tlsv1.1"
- Yapılandırma dosyasında yaptığınız değişiklikleri kaydedin.
- TLS'yi yapılandırmak için aşağıdaki komutu çalıştırın:
/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile
.Burada configFile, yapılandırma dosyasının tam yoludur.
- Edge kullanıcı arayüzünü yeniden başlatın:
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
.
Güvenli çerezler kullan
Private Cloud için Apigee Edge, şunun için Set-Cookie
başlığına secure
işaretinin eklenmesini destekliyor:
yanıt vermediğini görebilirsiniz. Bu işaret mevcutsa çerez yalnızca
TLS'nin etkin olduğu kanallar. Bu mevcut değilse çerez, konum bilgisi olsun veya olmasın herhangi bir kanal üzerinden gönderilebilir.
olup olmadığını kontrol edin.
secure
işareti olmayan çerezler, saldırganın
veya etkin bir oturumu ele geçiremez. Bu nedenle, en iyi uygulama, bunu mümkün olduğunca
ayarını değiştirebilirsiniz.
Edge kullanıcı arayüzü çerezlerinin secure
işaretini ayarlamak için:
- Aşağıdaki dosyayı bir metin düzenleyicide açın:
/opt/apigee/customer/application/ui.properties
.Dosya yoksa, oluşturun.
conf_application_session.secure
özelliğinitrue
ui.properties
dosyası yükleyin:conf_application_session.secure=true
- Değişikliklerinizi kaydedin.
- Aşağıdaki örnekte gösterildiği gibi
apigee-serice
yardımcı programını kullanarak Edge kullanıcı arayüzünü yeniden başlatın gösterir:/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Değişikliğin çalıştığından emin olmak için şunu kullanarak Edge kullanıcı arayüzünden yanıt başlıklarını kontrol edin:
curl
gibi bir yardımcı program; örneğin:
curl -i -v https://edge_UI_URL
Başlık, aşağıdaki gibi bir satır içermelidir:
Set-Cookie: secure; ...
Uç kullanıcı arayüzünde TLS'yi devre dışı bırak
Uç kullanıcı arayüzünde TLS'yi devre dışı bırakmak için aşağıdaki komutu kullanın:
/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl