Bu sayfa, Cloud Translation API ile çevrilmiştir.

Management API için TLS'yi yapılandırma

Varsayılan olarak TLS, Management API için devre dışıdır. Yönetim Sunucusu düğümünün IP adresi ile 8080 bağlantı noktasının IP adresini kullanarak HTTP üzerinden Edge Management API'ye erişirsiniz. Örneğin:

http://ms_IP:8080

Alternatif olarak, TLS'nin Management API'ye erişimini aşağıdaki biçimde yapılandırabilirsiniz:

https://ms_IP:8443

Bu örnekte, TLS erişimini 8443 bağlantı noktasını kullanacak şekilde yapılandırıyorsunuz. Ancak bu bağlantı noktası numarası Edge için gerekli değildir. Yönetim Sunucusu'nu diğer bağlantı noktası değerlerini kullanacak şekilde yapılandırabilirsiniz. Tek şart, güvenlik duvarınızın belirtilen bağlantı noktası üzerinden trafiğe izin vermesidir.

Management API'nize gelen ve bu API'den giden trafik şifrelemesi sağlamak için /opt/apigee/customer/application/management-server.properties dosyasındaki ayarları yapılandırın.

TLS yapılandırmasına ek olarak, management-server.properties dosyasını değiştirerek şifre doğrulamasını (şifre uzunluğu ve gücü) kontrol edebilirsiniz.

TLS bağlantı noktanızın açık olduğundan emin olun

Bu bölümdeki prosedür, TLS'yi Yönetim Sunucusu'nda 8443 numaralı bağlantı noktasını kullanacak şekilde yapılandırır. Kullandığınız bağlantı noktası ne olursa olsun, Yönetim Sunucusu'nda bağlantı noktasının açık olduğundan emin olmanız gerekir. Örneğin, dosyayı açmak için aşağıdaki komutu kullanabilirsiniz:

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose

NOT: Bu örnekte, TLS bağlantı noktası için 8443 numaralı bağlantı noktası kullanılır, daha yaygın olan 443 numaralı bağlantı noktası kullanılmaz.

Bunun nedeni, 1024'ün altındaki bağlantı noktalarının genellikle işletim sistemi tarafından korunması ve bunlara erişen işlemin, kök erişiminin olmasını gerektirmesidir. Uç Yönetim Sunucusu, "Apigee" kullanıcısı olarak çalışır ve bu nedenle genellikle 1024'ün altındaki bağlantı noktalarına erişimi yoktur.

Alternatif olarak, Edge API ile bir yük dengeleyici kullanmak ve 443 numaralı bağlantı noktasında yük dengeleyicide TLS'yi sonlandırmaktır. Daha sonra yük dengeleyici ile Edge API arasında HTTP veya HTTPS kullanabilirsiniz.

Diğer bir alternatif de istekleri 443 bağlantı noktasına 8443 bağlantı noktasına yönlendirmek için iptables kullanmaktır. Örneğin:

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 8443

TLS'yi yapılandırın

Management API'nize gelen ve bu API'den giden trafikteki TLS kullanımını kontrol etmek için /opt/apigee/customer/application/management-server.properties dosyasını düzenleyin. Bu dosya yoksa oluşturun.

Yönetim API'sine TLS erişimini yapılandırmak için:

TLS sertifikanızı ve özel anahtarınızı içeren anahtar deposu JKS dosyasını oluşturun. Daha fazla bilgi için Edge Şirketi İçin TLS/SSL'yi Yapılandırma bölümüne bakın.
Anahtar deposu JKS dosyasını Yönetim Sunucusu düğümündeki /opt/apigee/customer/application gibi bir dizine kopyalayın.
JKS dosyasının sahipliğini "Apigee" kullanıcısı olarak değiştirin:
```
chown apigee:apigee keystore.jks
```
Burada keystore.jks, anahtar deposu dosyanızın adıdır.
Aşağıdaki özellikleri ayarlamak için /opt/apigee/customer/application/management-server.properties öğesini düzenleyin. Dosya yoksa oluşturun:
```
conf_webserver_ssl.enabled=true
# Leave conf_webserver_http.turn.off set to false
# because many Edge internal calls use HTTP.
conf_webserver_http.turn.off=false
conf_webserver_ssl.port=8443
conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks
# Enter the obfuscated keystore password below.
conf_webserver_keystore.password=OBF:obfuscatedPassword
```
Burada keyStore.jks, anahtar deposu dosyanız, obfuscatedPassword ise karartılmış anahtar deposu şifrenizdir. Kodu karartılmış şifre oluşturma hakkında bilgi edinmek için Edgede Şirket için TLS/SSL'yi yapılandırma bölümüne bakın.

Şu komutu kullanarak Uç Yönetim Sunucusu'nu yeniden başlatın:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Management API artık TLS üzerinden erişimi desteklemektedir.

Edge API'ye erişmek için TLS'yi kullanmak üzere Edge kullanıcı arayüzünü yapılandırma

Yukarıdaki prosedürde Apigee, Edge kullanıcı arayüzünün HTTP üzerinden Edge API çağrıları yapmaya devam edebilmesi için conf_webserver_http.turn.off=false ürününden ayrılmanızı önerdi.

Edge kullanıcı arayüzünü, bu çağrıları yalnızca HTTPS üzerinden yapacak şekilde yapılandırmak için aşağıdaki prosedürü kullanın:

Yönetim API'sine TLS erişimini yukarıda açıklandığı gibi yapılandırın.
TLS'nin Management API için çalıştığını onayladıktan sonra /opt/apigee/customer/application/management-server.properties özelliğini düzenleyerek aşağıdaki özelliği ayarlayın:
```
conf_webserver_http.turn.off=true
```
Aşağıdaki komutu çalıştırarak Uç Yönetim Sunucusu'nu yeniden başlatın:
```
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart 
```
Edge kullanıcı arayüzünde aşağıdaki özelliği ayarlamak için /opt/apigee/customer/application/ui.properties politikasını düzenleyin:
```
conf_apigee_apigee.mgmt.baseurl="https://FQ_domain_name:port/v1"
```
Burada FQ_domain_name, Yönetim Sunucusu'nun sertifika adresinize göre tam alan adıdır. port ise yukarıda conf_webserver_ssl.port tarafından belirtilen bağlantı noktasıdır.

ui.properties yoksa oluşturun.
Yalnızca kendinden imzalı bir sertifika kullandıysanız (üretim ortamında önerilmez) yukarıdaki Management API'ye TLS erişimini yapılandırırken aşağıdaki özelliği ui.properties öğesine ekleyin:
```
conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true
```
Aksi takdirde, Edge kullanıcı arayüzü kendinden imzalı sertifikaları reddeder.
Aşağıdaki komutu çalıştırarak Edge kullanıcı arayüzünü yeniden başlatın:
```
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
```

Yönetim Sunucusu için TLS özellikleri

Aşağıdaki tabloda, management-server.properties ürününde ayarlayabileceğiniz tüm TLS/SSL özellikleri listelenmiştir:

Özellikler	Açıklama
`conf_webserver_http.port=8080`	Varsayılan değer 8080'dir.
`conf_webserver_ssl.enabled=false`	TLS/SSL'yi etkinleştirmek/devre dışı bırakmak için TLS/SSL etkinken (true) ssl.port ve keystore.path özelliklerini de ayarlamanız gerekir.
`conf_webserver_http.turn.off=true`	https ile birlikte http'yi etkinleştirmek/devre dışı bırakmak için. Yalnızca HTTPS kullanmak istiyorsanız varsayılan değeri `true` olarak bırakın.
`conf_webserver_ssl.port=8443`	TLS/SSL bağlantı noktası. TLS/SSL etkinleştirildiğinde gereklidir (`conf_webserver_ssl.enabled=true`).
`conf_webserver_keystore.path=path`	Anahtar deposu dosyanızın yolu. TLS/SSL etkinleştirildiğinde gereklidir (`conf_webserver_ssl.enabled=true`).
`conf_webserver_keystore.password=password`	Şu biçimde karartılmış bir şifre kullanın: OBF:xxxxxxxxxx
`conf_webserver_cert.alias=alias`	İsteğe bağlı anahtar deposu sertifikası takma adı
`conf_webserver_keymanager.password=password`	Anahtar yöneticinizin şifresi varsa şifrenin gizlenmiş bir sürümünü şu biçimde girin: OBF:xxxxxxxxxx
`conf_webserver_trust.all=[false \| true]` `conf_webserver_trust.store.path=path` `conf_webserver_trust.store.password=password`	Güven deponuzun ayarlarını yapılandırın. Tüm TLS/SSL sertifikalarını kabul etmek (örneğin, standart olmayan türleri kabul etmek) isteyip istemediğinizi belirleyin. Varsayılan değer: `false`. Güven deponuzun yolunu sağlayın ve şu biçimde karartılmış bir güven deposu şifresi girin: OBF:xxxxxxxxxx
`conf_webserver_exclude.cipher.suites=CIPHER_SUITE_1 CIPHER_SUITE_2` `conf_webserver_include.cipher.suites=`	Dahil etmek veya hariç tutmak istediğiniz şifre paketlerini belirtin. Örneğin, bir şifrede güvenlik açığı bulursanız buradan hariç tutabilirsiniz. Birden çok şifreyi boşlukla ayırın. Şifre paketleri ve kriptografi mimarisi hakkında bilgi edinmek için JDK 8 için Java Kriptografi Mimarisi Oracle Sağlayıcılar Belgeleri'ne bakın.
`conf_webserver_ssl.session.cache.size=` `conf_webserver_ssl.session.timeout=`	Şunları belirleyen tam sayılar: Birden fazla istemcinin oturum bilgilerini depolamak için kullanılan TLS/SSL oturum önbelleği boyutu (bayt cinsinden). TLS/SSL oturumlarının zaman aşımına uğramadan önce sürebileceği süre (milisaniye cinsinden).