De forma predeterminada, TLS está inhabilitado para la API de Management y puedes acceder a la API de Edge Management a través de HTTP mediante la dirección IP del nodo del servidor de administración y el puerto 8080. Por ejemplo:
http://ms_IP:8080
Como alternativa, puedes configurar el acceso TLS a la API de administración para poder acceder a ella con el siguiente formato:
https://ms_IP:8443
En este ejemplo, se configurará el acceso TLS para usar el puerto 8443. Sin embargo, Edge no requiere ese número de puerto; puedes configurar el servidor de administración para que use otros valores de puerto. El único requisito es que tu firewall permita el tráfico a través del puerto especificado.
Para garantizar la encriptación de tráfico desde y hacia tu API de administración, establece la configuración en el archivo
/opt/apigee/customer/application/management-server.properties
.
Además de la configuración de TLS, también puedes controlar la validación de contraseñas (longitud y seguridad de la contraseña) mediante la modificación del archivo management-server.properties
.
Asegúrate de que el puerto TLS esté abierto
El procedimiento de esta sección configura TLS para que use el puerto 8443 en el servidor de administración. Sin importar el puerto que uses, debes asegurarte de que esté abierto en el servidor de administración. Por ejemplo, puedes usar el siguiente comando para abrirlo:
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose
Configura TLS
Edita el archivo /opt/apigee/customer/application/management-server.properties
para controlar el uso de TLS en el tráfico desde y hacia tu API de administración. Si el archivo no existe, créalo.
Para configurar el acceso TLS a la API de Management, haz lo siguiente:
- Genera el archivo JKS del almacén de claves que contiene tu certificación TLS y tu clave privada. Para obtener más información, consulta Configura TLS/SSL para dispositivos perimetrales locales.
- Copia el archivo JKS del almacén de claves en un directorio en el nodo del servidor de administración, como
/opt/apigee/customer/application
. - Cambia la propiedad del archivo JKS al usuario de “apigee”:
chown apigee:apigee keystore.jks
En el ejemplo anterior, keystore.jks es el nombre del archivo del almacén de claves.
- Edita
/opt/apigee/customer/application/management-server.properties
para establecer las siguientes propiedades. Si ese archivo no existe, créalo:conf_webserver_ssl.enabled=true # Leave conf_webserver_http.turn.off set to false # because many Edge internal calls use HTTP. conf_webserver_http.turn.off=false conf_webserver_ssl.port=8443 conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks # Enter the obfuscated keystore password below. conf_webserver_keystore.password=OBF:obfuscatedPassword
En la que keyStore.jks es el archivo del almacén de claves y obfuscatedPassword es tu contraseña ofuscada del almacén de claves. Consulta Configura TLS/SSL para dispositivos perimetrales locales a fin de obtener información sobre cómo generar una contraseña ofuscada.
- Reinicia el servidor de administración perimetral con el siguiente comando:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
.
La API de administración ahora admite el acceso a través de TLS.
Configurar la IU de Edge para usar TLS y acceder a la API de Edge
En el procedimiento anterior, Apigee recomendó dejar conf_webserver_http.turn.off=false
para que la IU de Edge pueda continuar realizando llamadas a la API de Edge mediante HTTP.
Usa el siguiente procedimiento para configurar la IU de Edge de modo que realice estas llamadas solo a través de HTTPS:
- Configura el acceso TLS a la API de Management como se describió anteriormente.
- Después de confirmar que TLS funciona para la API de administración, edita
/opt/apigee/customer/application/management-server.properties
a fin de configurar la siguiente propiedad:conf_webserver_http.turn.off=true
- Ejecuta el siguiente comando para reiniciar el servidor de administración perimetral:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- Edita
/opt/apigee/customer/application/ui.properties
a fin de establecer la siguiente propiedad para la IU de Edge:conf_apigee_apigee.mgmt.baseurl="https://FQ_domain_name:port/v1"
Donde FQ_domain_name es el nombre de dominio completo, según la dirección del certificado del servidor de administración, y port es el puerto especificado anteriormente por
conf_webserver_ssl.port
.Si ui.properties no existe, créalo.
- Solo si usaste un certificado autofirmado (no se recomienda en un entorno de producción) cuando configuraste el acceso de TLS a la API de administración anterior, agrega la siguiente propiedad a
ui.properties
:conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true
De lo contrario, la IU de Edge rechazará los certificados autofirmados.
- Ejecuta el siguiente comando para reiniciar la IU de Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Propiedades de TLS para el servidor de administración
En la siguiente tabla, se enumeran todas las propiedades TLS/SSL que puedes configurar en management-server.properties
:
Propiedades | Descripción |
---|---|
|
El valor predeterminado es 8080. |
|
Habilitar o inhabilitar TLS/SSL. Con TLS/SSL habilitado (verdadero), también debes configurar las propiedades ssl.port y keystore.path. |
|
Para habilitar o inhabilitar HTTP junto con HTTPS Si solo deseas usar HTTPS, deja el valor predeterminado en |
|
El puerto TLS/SSL. Obligatorio cuando TLS/SSL está habilitado ( |
|
Es la ruta de acceso al archivo del almacén de claves. Obligatorio cuando TLS/SSL está habilitado ( |
|
Usa una contraseña ofuscada en este formato: OBF:xxxxxxxxxx |
|
Alias opcional del certificado del almacén de claves |
|
Si tu administrador de claves tiene una contraseña, ingresa una versión ofuscada de la contraseña en este formato: OBF:xxxxxxxxxx |
|
Establece la configuración de tu almacén de confianza. Determina si deseas aceptar todos
los certificados TLS/SSL (por ejemplo, para aceptar tipos no estándar). La ruta predeterminada es OBF:xxxxxxxxxx |
|
Indica los conjuntos de cifrado que deseas incluir o excluir. Por ejemplo, si descubres una vulnerabilidad en un algoritmo de cifrado, puedes excluirla aquí. Separa varios algoritmos de cifrado con un espacio. Para obtener información sobre conjuntos de cifrado y arquitectura de criptografía, consulta la documentación de proveedores de Oracle de arquitectura de criptografía de Java para JDK 8. |
|
Números enteros que determinan lo siguiente:
|