Bu sayfa, Cloud Translation API ile çevrilmiştir.

Yönetim kullanıcı arayüzü için TLS'yi yapılandırma

Varsayılan olarak Edge kullanıcı arayüzüne HTTP üzerinden erişirken Yönetim Sunucusu düğümü ve bağlantı noktası 9000. Örneğin:

http://ms_IP:9000

Alternatif olarak, Edge kullanıcı arayüzüne TLS erişimini yapılandırarak şu formu kullanın:

https://ms_IP:9443

Bu örnekte, TLS erişimini 9443 numaralı bağlantı noktasını kullanacak şekilde yapılandıracaksınız. Ancak bu bağlantı noktası numarası Yönetim Sunucusu'nu diğer bağlantı noktası değerlerini kullanacak şekilde yapılandırabilirsiniz. Tek güvenlik duvarınızın belirtilen bağlantı noktası üzerinden trafiğe izin vermesidir.

TLS bağlantı noktanızın açık olduğundan emin olun

Bu bölümdeki prosedür, TLS'yi Yönetim Sunucusu'nda bağlantı noktası 9443'ü kullanacak şekilde yapılandırır. Kullandığınız bağlantı noktası ne olursa olsun, Management'ta bağlantı noktasının açık olduğundan emin olmanız gerekir. Sunucu. Örneğin, dosyayı açmak için aşağıdaki komutu kullanabilirsiniz:

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose

NOT: Bu örnekte, TLS bağlantı noktası için bağlantı noktası 9443 kullanılmaktadır, daha yaygın olan 443 bağlantı noktası kullanılmaz. Bunun nedeni, 1024'ün altındaki bağlantı noktalarının genellikle işletim sistemi tarafından korunması ve kök erişimi için erişimi kolaylaştıran bir süreçtir. Edge kullanıcı arayüzü, "Apigee" olarak çalışır kullanıcı ve Dolayısıyla, genellikle 1024'ün altındaki bağlantı noktalarına erişimi yoktur.

Alternatif olarak, Edge kullanıcı arayüzü ile bir yük dengeleyici kullanmak ve yükte TLS'yi sonlandırmak bağlantı noktası 443'teki dengeleyicidir. Ardından yük dengeleyici ile Edge kullanıcı arayüzü.

Diğer bir alternatif de istekleri 443 numaralı bağlantı noktasına yönlendirmek için iptables işlevini kullanmaktır. bağlantı noktası 9443'tür. Örneğin:

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 9443

TLS'yi yapılandırın

Yönetim kullanıcı arayüzüne TLS erişimini yapılandırmak için aşağıdaki prosedürü kullanın:

TLS sertifikanızı ve özel anahtarınızı içeren anahtar deposu JKS dosyasını oluşturun ve kopyayı Yönetim Sunucusu düğümüne aktarır. Daha fazla bilgi için Edge Şirket İçi Ortam için TLS/SSL'yi Yapılandırma başlıklı makaleye bakın.

TLS'yi yapılandırmak için aşağıdaki komutu çalıştırın:

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl

HTTPS bağlantı noktası numarasını girin (ör. 9443).
Yönetim kullanıcı arayüzüne HTTP erişimini devre dışı bırakmak isteyip istemediğinizi belirtin. Varsayılan olarak, yönetim Kullanıcı arayüzüne 9000 numaralı bağlantı noktası üzerinden HTTP üzerinden erişilebilir.
Anahtar deposu algoritmasını girin. Varsayılan değer JKS'dir.
Anahtar deposu JKS dosyasının mutlak yolunu girin.
Komut dosyası, dosyayı/opt/apigee/customer/conf Yönetim Sunucusu düğümünü seçer ve dosyanın sahipliğini "Apigee" olarak değiştirir.
Temiz metin anahtar deposu şifresini girin.
Komut dosyası, daha sonra Edge yönetim kullanıcı arayüzünü yeniden başlatır. Yeniden başlatma sonrasında, yönetim arayüzü TLS üzerinden erişimi destekler.
Bu ayarları /opt/apigee/etc/edge-ui.d/SSL.sh bölümünde görebilirsiniz.

TLS'yi yapılandırmak için yapılandırma dosyası kullanma

Yukarıdaki prosedüre alternatif olarak, komut dosyasına bir yapılandırma dosyası bölümünde değineceğiz. Aşağıdaki durumlarda bu yöntemi kullanmanız gerekir: isteğe bağlı TLS özelliklerini ayarlayın.

Yapılandırma dosyası kullanmak için yeni bir dosya oluşturun ve aşağıdaki özellikleri ekleyin:

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

Dosyayı istediğiniz adla yerel bir dizine kaydedin. Ardından TLS'yi yapılandırmak için aşağıdaki komutu kullanın:

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

Burada configFile, kaydettiğiniz dosyanın tam yoludur.

TLS olduğunda Edge kullanıcı arayüzünü yapılandırma yük dengeleyicide sonlandırılır

İstekleri Edge kullanıcı arayüzüne yönlendiren bir yük dengeleyiciniz varsa yük dengeleyicide TLS bağlantısını sonlandırıp ardından yük dengeleyicinin HTTP üzerinden Edge Kullanıcı Arayüzü'ne gönderilen istekleri geri alabilir. Bu yapılandırma desteklenir ancak yük dengeleyici ve Edge kullanıcı arayüzü oluşturmalıdır.

Edge Kullanıcı Arayüzü, kullanıcıların cihazlarını ayarlamak için e-postalar gönderdiğinde Şifre oluşturulduğunda veya kullanıcı kayıp bir şifreyi sıfırlama isteğinde bulunduğunda. Bu e-posta Kullanıcının şifre ayarlamak veya sıfırlamak için seçtiği bir URL'yi içerir. Edge kullanıcı arayüzü TLS kullanacak şekilde yapılandırılmadıysa oluşturulan e-postadaki URL HTTPS değil, HTTP protokolünü kullanır. HTTPS'ye dokunun.

Yük dengeleyiciyi yapılandırmak için, yönlendirilen isteklerde aşağıdaki başlığı ayarladığından emin olun yeni bir:

X-Forwarded-Proto: https

Edge kullanıcı arayüzünü yapılandırmak için:

/opt/apigee/customer/application/ui.properties uygulamasını açın bir düzenleyiciye yükleyin. Dosya yoksa, oluşturun:
```
vi /opt/apigee/customer/application/ui.properties
```
ui.properties içinde aşağıdaki özelliği ayarlayın:
```
conf/application.conf+trustxforwarded=true
```
ui.properties için yaptığınız değişiklikleri kaydedin.

Edge kullanıcı arayüzünü yeniden başlatın:

/opt/apigee/apigee-service/bin/apigee-service edge-ui restart

İsteğe bağlı TLS özelliklerini ayarlama

Edge kullanıcı arayüzü, aşağıdakileri ayarlamak için kullanabileceğiniz isteğe bağlı TLS yapılandırma özelliklerini destekler:

Varsayılan TLS protokolü
Desteklenen TLS protokollerinin listesi
Desteklenen TLS algoritmaları
Desteklenen TLS şifreleri

Bu isteğe bağlı parametreler yalnızca aşağıdaki yapılandırma özelliğini ayarladığınızda kullanılabilir bölümünde açıklandığı gibi bir yapılandırma dosyasında TLS'yi yapılandırmak için bir yapılandırma dosyası kullanma:

TLS_CONFIGURE=y

NOT: Bu isteğe bağlı parametreleri yalnızca komutu apigee-service edge-ui configure-ssl komutuna ekler. Bu özellikleri, etkileşimli komut kullanarak ayarlayamazsınız.

Aşağıdaki tabloda bu özellikler açıklanmaktadır:

Özellik	Açıklama
`TLS_PROTOCOL`	Edge kullanıcı arayüzü için varsayılan TLS protokolünü tanımlar. Varsayılan olarak TLS 1.2'dir. Geçerli değerler TLSv1.2, TLSv1.1, TLSv1'dir.
`TLS_ENABLED_PROTOCOL`	Etkin protokollerin listesini virgülle ayrılmış bir dizi olarak tanımlar. Örneğin: TLS_ENABLED_PROTOCOL=[\"TLSv1.2\", \"TLSv1.1\", \"TLSv1\"] " karakteriyle ayrılır. Varsayılan olarak tüm protokoller etkindir.
`TLS_DISABLED_ALGO`	Devre dışı bırakılan şifre paketlerini tanımlar ve küçük anahtar boyutlarının TLS el sıkışması için kullanılır. Varsayılan bir değer yok. `TLS_DISABLED_ALGO` işlevine iletilen değerler, Burada açıklandığı gibi `jdk.tls.disabledAlgorithms`. Ancak `TLS_DISABLED_ALGO` değerini ayarlarken boşluk karakterlerini kullanmamanız gerekir: TLS_DISABLED_ALGO=EC\ keySize\ <\ 160,RSA\ keySize\ <\ 2048
`TLS_ENABLED_CIPHERS`	Kullanılabilir TLS şifreleri listesini virgülle ayrılmış bir dizi olarak tanımlar. Örneğin: TLS_ENABLED_CIPHERS=[\"TLS_DHE_RSA_WITH_AES_128_CBC_SHA\", \"TLS_DHE_DSS_WITH_AES_128_CBC_SHA\"] " karakteriyle ayrılır. Etkin şifrelerin varsayılan listesi şöyledir: "TLS_DHE_RSA_WITH_AES_256_CBC_SHA", "TLS_DHE_RSA_WITH_AES_128_CBC_SHA", "TLS_DHE_DSS_WITH_AES_128_CBC_SHA", "TLS_RSA_WITH_AES_256_CBC_SHA", "TLS_RSA_WITH_AES_128_CBC_SHA", "SSL_RSA_WITH_RC4_128_SHA", "SSL_RSA_WITH_RC4_128_MD5", "TLS_EMPTY_RENEGOTIATION_INFO_SCSV" Mevcut şifrelerin listesini bulma burada bulabilirsiniz.

TLS protokolleri devre dışı bırakılıyor

TLS protokollerini devre dışı bırakmak için yapılandırma dosyasını şu sayfada açıklandığı şekilde düzenlemeniz gerekir: TLS'yi yapılandırmak için bir yapılandırma dosyası kullanarak şu şekilde:

Yapılandırma dosyasını bir düzenleyicide açın.
Tek bir TLS protokolünü (örneğin, TLSv1.0) devre dışı bırakmak için aşağıdaki kodu ekleyin ekleyin:
```
TLS_CONFIGURE=y
TLS_DISABLED_ALGO="tlsv1"
```
Birden çok protokolü (örneğin, TLSv1.0 ve TLSv1.1) devre dışı bırakmak için yapılandırma dosyasına şunu ekleyin:
```
TLS_CONFIGURE=y
TLS_DISABLED_ALGO="tlsv1, tlsv1.1"
```
Yapılandırma dosyasında yaptığınız değişiklikleri kaydedin.
TLS'yi yapılandırmak için aşağıdaki komutu çalıştırın:
```
/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile
```
Burada configFile, yapılandırma dosyasının tam yoludur.

Edge kullanıcı arayüzünü yeniden başlatın:

/opt/apigee/apigee-service/bin/apigee-service edge-ui restart

Güvenli çerezler kullan

Private Cloud için Apigee Edge, şunun için Set-Cookie başlığına secure işaretinin eklenmesini destekliyor: yanıt vermediğini görebilirsiniz. Bu işaret mevcutsa çerez yalnızca üzerinden gönderilebilir TLS'nin etkin olduğu kanallar. Bu mevcut değilse çerez, konum bilgisi olsun veya olmasın herhangi bir kanal üzerinden gönderilebilir. olup olmadığını kontrol edin.

secure işareti olmayan çerezler, saldırganın veya etkin bir oturumu ele geçiremez. Bu nedenle, en iyi uygulama, bunu mümkün olduğunca ayarını değiştirebilirsiniz.

Edge kullanıcı arayüzü çerezlerinin secure işaretini ayarlamak için:

Aşağıdaki dosyayı bir metin düzenleyicide açın:
```
/opt/apigee/customer/application/ui.properties
```
Dosya yoksa, oluşturun.
conf_application_session.secure özelliğini true ui.properties dosyası yükleyin:
```
conf_application_session.secure=true
```
Değişikliklerinizi kaydedin.
Aşağıdaki örnekte gösterildiği gibi apigee-serice yardımcı programını kullanarak Edge kullanıcı arayüzünü yeniden başlatın gösterir:
```
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
```

Değişikliğin çalıştığından emin olmak için şunu kullanarak Edge kullanıcı arayüzünden yanıt başlıklarını kontrol edin: curl gibi bir yardımcı program; örneğin:

curl -i -v https://edge_UI_URL

Başlık, aşağıdaki gibi bir satır içermelidir:

Set-Cookie: secure; ...

Uç kullanıcı arayüzünde TLS'yi devre dışı bırak

Uç kullanıcı arayüzünde TLS'yi devre dışı bırakmak için aşağıdaki komutu kullanın:

/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl