Domyślnie protokół TLS jest wyłączony w przypadku interfejsu Management API, a dostęp do interfejsu Edge Management API uzyskujesz przez HTTP przy użyciu adresu IP węzła serwera zarządzania i portu 8080. Na przykład:
http://ms_IP:8080
Możesz też skonfigurować dostęp TLS do interfejsu API zarządzania, aby mieć do niego dostęp w formularz:
https://ms_IP:8443
W tym przykładzie skonfigurujesz dostęp TLS tak, aby używał portu 8443. Ten numer portu nie jest jednak wymagane przez serwer Edge – możesz skonfigurować serwer zarządzania tak, aby używał innych wartości portów. Jedyna wymaganiem jest, aby zapora sieciowa zezwalała na ruch przez określony port.
Aby zapewnić szyfrowanie ruchu przychodzącego i wychodzącego z interfejsu API zarządzania, skonfiguruj ustawienia
/opt/apigee/customer/application/management-server.properties
.
Oprócz konfiguracji TLS możesz też kontrolować weryfikację hasła (długość hasła,
i siłę), modyfikując plik management-server.properties
.
Sprawdź, czy port TLS jest otwarty
Procedura opisana w tej sekcji pozwala skonfigurować protokół TLS tak, aby używał portu 8443 na serwerze zarządzania. Niezależnie od używanego portu musisz sprawdzić, czy port jest otwarty w sekcji zarządzania Serwer Możesz na przykład otworzyć je za pomocą tego polecenia:
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose
Konfigurowanie TLS
Edytuj /opt/apigee/customer/application/management-server.properties
w celu kontrolowania użycia protokołu TLS w ruchu do i z interfejsu API zarządzania. Jeśli ten plik nie istnieje,
i ją utworzyć.
Aby skonfigurować dostęp TLS do interfejsu API zarządzania:
- Wygeneruj plik JKS magazynu kluczy zawierający certyfikat TLS i klucz prywatny. Więcej Więcej informacji znajdziesz w artykule Konfigurowanie TLS/SSL w Edge On Premises (w języku angielskim).
- Skopiuj plik JKS magazynu kluczy do katalogu w węźle serwera zarządzania, na przykład
jako
/opt/apigee/customer/application
. - Zmień własność pliku JKS na „apigee” użytkownik:
chown apigee:apigee keystore.jks
Gdzie keystore.jks to nazwa pliku magazynu kluczy.
- Edytuj
/opt/apigee/customer/application/management-server.properties
na potrzeby skonfigurowania tych właściwości. Jeśli plik nie istnieje, utwórz go:conf_webserver_ssl.enabled=true # Leave conf_webserver_http.turn.off set to false # because many Edge internal calls use HTTP. conf_webserver_http.turn.off=false conf_webserver_ssl.port=8443 conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks # Enter the obfuscated keystore password below. conf_webserver_keystore.password=OBF:obfuscatedPassword
Gdzie keyStore.jks to plik magazynu kluczy, obfuscatedPassword to zaciemnione hasło magazynu kluczy. Zobacz Konfigurowanie TLS/SSL dla usługi Edge On dla domeny jak wygenerować zaciemnione hasło.
- Ponownie uruchom serwer zarządzania brzegiem serwera za pomocą polecenia:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
Interfejs API zarządzania obsługuje teraz dostęp przez protokół TLS.
Konfigurowanie interfejsu Edge tak, aby uzyskiwać dostęp przy użyciu protokołu TLS interfejs Edge API
W ramach powyższej procedury Apigee zaleca opuszczenie strony
conf_webserver_http.turn.off=false
, tak aby
interfejs Edge może nadal wywoływać interfejs Edge API przez HTTP.
Wykonaj poniższe czynności, aby skonfigurować interfejs Edge, aby wykonywać te wywołania tylko przez HTTPS:
- Skonfiguruj dostęp TLS do interfejsu API zarządzania w sposób opisany powyżej.
- Gdy potwierdzisz, że protokół TLS działa dla interfejsu API zarządzania, wprowadź zmiany
/opt/apigee/customer/application/management-server.properties
do ustaw tę właściwość:conf_webserver_http.turn.off=true
- Ponownie uruchom serwer zarządzania brzegiem, wykonując to polecenie:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- Edytuj
/opt/apigee/customer/application/ui.properties
ustaw tę właściwość interfejsu Edge:conf_apigee_apigee.mgmt.baseurl="https://FQ_domain_name:port/v1"
Gdzie FQ_domain_name to pełna nazwa domeny, zgodnie z certyfikatem. adresu serwera zarządzania, a port to port określony powyżej przez
conf_webserver_ssl.port
Jeśli plik ui.properties nie istnieje, utwórz go.
- Tylko w przypadku korzystania z certyfikatu podpisanego samodzielnie (niezalecane w wersji produkcyjnej
(środowisko), podczas konfigurowania dostępu TLS do interfejsu zarządzania API powyżej dodaj
tę usługę do usługi
ui.properties
:conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true
W przeciwnym razie interfejs Edge odrzuci certyfikat podpisany samodzielnie.
- Ponownie uruchom interfejs Edge, wykonując to polecenie:
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Właściwości TLS serwera zarządzania
Poniższa tabela zawiera wszystkie właściwości TLS/SSL, które możesz ustawić
management-server.properties
:
Właściwości | Opis |
---|---|
|
Wartość domyślna to 8080. |
|
Aby włączyć lub wyłączyć TLS/SSL. Gdy protokół TLS/SSL jest włączony (prawda), musisz też ustawić atrybut ssl.port i keystore.path. |
|
Aby włączyć lub wyłączyć protokół HTTP razem z https. Jeśli chcesz używać tylko protokołu HTTPS, pozostaw pole
domyślna wartość to |
|
Port TLS/SSL. Wymagane, gdy włączone jest szyfrowanie TLS/SSL ( |
|
Ścieżka do pliku magazynu kluczy. Wymagane, gdy włączone jest szyfrowanie TLS/SSL ( |
|
Użyj zaciemnionego hasła w formacie OBF:xxxxxxxxxx |
|
Opcjonalny alias certyfikatu magazynu kluczy |
|
Jeśli menedżer kluczy ma hasło, wpisz zaciemnioną wersję hasła w format: OBF:xxxxxxxxxx |
|
Skonfiguruj ustawienia magazynu zaufania. Zdecyduj, czy chcesz zaakceptować wszystkie
Certyfikaty TLS/SSL (np. do akceptowania typów niestandardowych). Wartość domyślna to OBF:xxxxxxxxxx |
|
Wskaż zestawy szyfrów, które chcesz uwzględnić lub wykluczyć. Jeśli na przykład wykryć lukę w zabezpieczeniach za pomocą algorytmu, możesz ją tutaj wykluczyć. Rozdziel mechanizmy szyfrowania ze spacją. Informacje na temat zestawów szyfrów i architektury kryptografii można znaleźć na stronie Dokumentacja dostawców Oracle w architekturze Java Cryptography Architecture dla JDK 8 |
|
Liczba całkowita określająca:
|