Theo mặc định, TLS bị tắt đối với API quản lý và bạn có thể truy cập vào API Quản lý Edge qua HTTP bằng cách sử dụng địa chỉ IP của nút Máy chủ quản lý và cổng 8080. Ví dụ:
http://ms_IP:8080
Ngoài ra, bạn có thể định cấu hình quyền truy cập TLS vào API quản lý để có thể truy cập API đó trong biểu mẫu:
https://ms_IP:8443
Trong ví dụ này, bạn định cấu hình quyền truy cập TLS để sử dụng cổng 8443. Tuy nhiên, số cổng đó không mà Edge yêu cầu – bạn có thể định cấu hình Máy chủ quản lý để sử dụng các giá trị cổng khác. Chỉ là yêu cầu tường lửa của bạn cho phép lưu lượng truy cập qua cổng được chỉ định.
Để đảm bảo mã hoá lưu lượng truy cập đến và đi từ API quản lý, hãy định cấu hình chế độ cài đặt trong
/opt/apigee/customer/application/management-server.properties
.
Ngoài cấu hình TLS, bạn cũng có thể kiểm soát việc xác thực mật khẩu (độ dài mật khẩu
và độ mạnh) bằng cách sửa đổi tệp management-server.properties
.
Đảm bảo rằng cổng TLS đang mở
Quy trình trong phần này định cấu hình TLS để sử dụng cổng 8443 trên Máy chủ quản lý. Bất kể sử dụng cổng là gì, bạn phải đảm bảo rằng cổng đó đang mở trên trang Quản lý Máy chủ. Ví dụ: bạn có thể dùng lệnh sau để mở tệp đó:
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose
Định cấu hình TLS
Chỉnh sửa /opt/apigee/customer/application/management-server.properties
để kiểm soát việc sử dụng TLS đối với lưu lượng truy cập đến và đi từ API quản lý của bạn. Nếu tệp này không tồn tại,
tạo ứng dụng.
Cách định cấu hình quyền truy cập TLS vào API quản lý:
- Tạo tệp JKS trong kho khoá chứa chứng chỉ TLS và khoá riêng tư của bạn. Để biết thêm xem Định cấu hình TLS/SSL cho Edge On Premise.
- Sao chép tệp JKS kho khoá vào một thư mục trên nút Management Server (Máy chủ quản lý), chẳng hạn như
với tên
/opt/apigee/customer/application
. - Thay đổi quyền sở hữu tệp JKS thành "API" người dùng:
chown apigee:apigee keystore.jks
Trong đó keystore.jks là tên của tệp kho khoá.
- Chỉnh sửa
/opt/apigee/customer/application/management-server.properties
để đặt các thuộc tính sau. Nếu tệp đó không tồn tại, hãy tạo tệp:conf_webserver_ssl.enabled=true # Leave conf_webserver_http.turn.off set to false # because many Edge internal calls use HTTP. conf_webserver_http.turn.off=false conf_webserver_ssl.port=8443 conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks # Enter the obfuscated keystore password below. conf_webserver_keystore.password=OBF:obfuscatedPassword
Trong đó keyStore.jks là tệp kho khoá của bạn và obfuscatedPassword là mật khẩu kho khoá đã làm rối mã nguồn của bạn. Xem Định cấu hình TLS/SSL cho Edge On Premise cho thông tin về việc tạo mật khẩu làm rối mã nguồn.
- Khởi động lại Máy chủ quản lý Edge bằng lệnh:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
API quản lý hiện hỗ trợ quyền truy cập qua TLS.
Định cấu hình giao diện người dùng Edge nhằm sử dụng TLS để truy cập API Edge
Trong quy trình trên, bạn nên rời khỏi ứng dụng Apigee
conf_webserver_http.turn.off=false
để
giao diện người dùng Edge có thể tiếp tục thực hiện lệnh gọi API Edge qua HTTP.
Sử dụng quy trình sau để định cấu hình giao diện người dùng Edge nhằm chỉ thực hiện các lệnh gọi này qua HTTPS:
- Định cấu hình quyền truy cập TLS vào API quản lý như mô tả ở trên.
- Sau khi xác nhận rằng TLS đang hoạt động cho API quản lý, hãy chỉnh sửa
/opt/apigee/customer/application/management-server.properties
thành đặt thuộc tính sau:conf_webserver_http.turn.off=true
- Khởi động lại Máy chủ quản lý Edge bằng cách thực thi lệnh sau:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- Chỉnh sửa
/opt/apigee/customer/application/ui.properties
để đặt thuộc tính sau cho giao diện người dùng Edge:conf_apigee_apigee.mgmt.baseurl="https://FQ_domain_name:port/v1"
Trong đó FQ_domain_name là tên miền đầy đủ, theo chứng chỉ của bạn của Máy chủ quản lý và port là cổng được chỉ định ở trên bởi
conf_webserver_ssl.port
.Nếu ui.properties không tồn tại, hãy tạo nó.
- Chỉ khi bạn sử dụng chứng chỉ tự ký (không nên dùng trong phiên bản phát hành công khai
môi trường) khi định cấu hình quyền truy cập TLS vào API quản lý ở trên, hãy thêm thuộc tính
thuộc tính sau vào
ui.properties
:conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true
Nếu không, giao diện người dùng Edge sẽ từ chối chứng chỉ tự ký.
- Khởi động lại giao diện người dùng Edge bằng cách thực thi lệnh sau:
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Thuộc tính TLS cho Máy chủ quản lý
Bảng sau đây liệt kê tất cả các thuộc tính TLS/SSL mà bạn có thể thiết lập
management-server.properties
:
Thuộc tính | Mô tả |
---|---|
|
Mặc định là 8080. |
|
Để bật/tắt TLS/SSL. Khi TLS/SSL được bật (true), bạn cũng phải đặt ssl.port và kho khoá.path. |
|
Để bật/tắt http cùng với https. Nếu bạn chỉ muốn sử dụng HTTPS, hãy để
giá trị mặc định thành |
|
Cổng TLS/SSL. Bắt buộc khi TLS/SSL được bật ( |
|
Đường dẫn đến tệp kho khoá của bạn. Bắt buộc khi TLS/SSL được bật ( |
|
Sử dụng mật khẩu bị làm rối mã nguồn theo định dạng sau: OBF:xxxxxxxxxx |
|
Bí danh chứng chỉ kho khóa tùy chọn |
|
Nếu trình quản lý khoá của bạn có mật khẩu, hãy nhập một phiên bản mật khẩu đã bị làm rối mã nguồn vào định dạng này: OBF:xxxxxxxxxx |
|
Thiết lập chế độ cài đặt cho kho lưu trữ uy tín. Xác định xem bạn có muốn chấp nhận tất cả
Chứng chỉ TLS/SSL (ví dụ: để chấp nhận các loại không theo chuẩn). Mặc định là
OBF:xxxxxxxxxx |
|
Cho biết mọi bộ thuật toán mật mã bạn muốn đưa vào hoặc loại trừ. Ví dụ: nếu bạn phát hiện lỗ hổng bảo mật trong một thuật toán mật mã, bạn có thể loại trừ lỗ hổng đó tại đây. Phân tách nhiều mật mã có không gian. Để biết thông tin về bộ cypher và kiến trúc mật mã học, hãy xem Tài liệu về nhà cung cấp Oracle kiến trúc mã hoá Java dành cho JDK 8. |
|
Số nguyên xác định:
|