Standardmäßig greifen Sie über HTTP über die IP-Adresse des Management Server-Knotens und den Port 9000 auf die Edge-Benutzeroberfläche zu. Beispiel:
http://ms_IP:9000
Alternativ können Sie den TLS-Zugriff auf die Edge-Benutzeroberfläche so konfigurieren, dass Sie in folgendem Format darauf zugreifen können:
https://ms_IP:9443
In diesem Beispiel konfigurieren Sie den TLS-Zugriff für die Verwendung von Port 9443. Diese Portnummer ist für Edge jedoch nicht erforderlich – Sie können den Management Server so konfigurieren, dass andere Portwerte verwendet werden. Die einzige Voraussetzung besteht darin, dass Ihre Firewall Traffic über den angegebenen Port zulässt.
Achten Sie darauf, dass Ihr TLS-Port offen ist
Mit der Anleitung in diesem Abschnitt wird TLS für die Verwendung von Port 9443 auf dem Verwaltungsserver konfiguriert. Unabhängig vom verwendeten Port muss der Port auf dem Verwaltungsserver offen sein. Sie können sie beispielsweise mit dem folgenden Befehl öffnen:
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose
TLS konfigurieren
Gehen Sie so vor, um den TLS-Zugriff auf die Verwaltungs-UI zu konfigurieren:
- Generieren Sie die Schlüsselspeicher-JKS-Datei mit Ihrer TLS-Zertifizierung und Ihrem privaten Schlüssel und kopieren Sie sie in den Knoten des Verwaltungsservers. Weitere Informationen finden Sie unter TLS/SSL für lokale Edge-Geräte konfigurieren.
- Führen Sie den folgenden Befehl aus, um TLS zu konfigurieren:
/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl
- Geben Sie die HTTPS-Portnummer ein, z. B. 9443.
- Geben Sie an, ob Sie den HTTP-Zugriff auf die Verwaltungsoberfläche deaktivieren möchten. Standardmäßig ist die Verwaltungs-UI über HTTP an Port 9000 zugänglich.
- Geben Sie den Schlüsselspeicher-Algorithmus ein. Der Standardwert ist JKS.
- Geben Sie den absoluten Pfad zur Keystore-JKS-Datei ein.
Das Skript kopiert die Datei in das Verzeichnis
/opt/apigee/customer/conf
auf dem Management Server-Knoten und ändert die Eigentümerschaft der Datei in „apigee“. - Geben Sie das Klartext-Keystore-Passwort ein.
- Das Skript startet dann die Edge-Verwaltungs-UI neu. Nach dem Neustart unterstützt die Verwaltungs-UI den Zugriff über TLS.
Du kannst diese Einstellungen unter
/opt/apigee/etc/edge-ui.d/SSL.sh
einsehen.
TLS mit einer Konfigurationsdatei konfigurieren
Alternativ zum oben beschriebenen Verfahren können Sie eine Konfigurationsdatei an den Befehl in Schritt 2 des Verfahrens übergeben. Sie benötigen diese Methode, wenn Sie optionale TLS-Attribute festlegen möchten.
Um eine Konfigurationsdatei zu verwenden, erstellen Sie eine neue Datei und fügen Sie die folgenden Attribute hinzu:
HTTPSPORT=9443 DISABLE_HTTP=y KEY_ALGO=JKS KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks KEY_PASS=clearTextKeystorePWord
Speichern Sie die Datei unter einem beliebigen Namen in einem lokalen Verzeichnis. Verwenden Sie dann den folgenden Befehl, um TLS zu konfigurieren:
/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile
Dabei ist configFile der vollständige Pfad zu der von Ihnen gespeicherten Datei.
Konfigurieren Sie die Edge-UI, wenn TLS auf dem Load-Balancer beendet wird
Wenn Sie einen Load-Balancer haben, der Anfragen an die Edge-UI weiterleitet, können Sie die TLS-Verbindung auf dem Load-Balancer beenden und Anfragen dann über HTTP an die Edge-UI weiterleiten lassen. Diese Konfiguration wird unterstützt, aber Sie müssen den Load-Balancer und die Edge-UI entsprechend konfigurieren.
Die zusätzliche Konfiguration ist erforderlich, wenn die Edge-Benutzeroberfläche bei der Erstellung des Nutzers E-Mails zum Festlegen ihres Passworts sendet oder wenn der Nutzer das Zurücksetzen eines verlorenen Passworts anfordert. Diese E-Mail enthält eine URL, die der Nutzer zum Festlegen oder Zurücksetzen eines Passworts auswählt. Wenn die Edge-Benutzeroberfläche nicht für die Verwendung von TLS konfiguriert ist, verwendet die URL in der generierten E-Mail standardmäßig das HTTP-Protokoll und nicht HTTPS. Sie müssen den Load-Balancer und die Edge-UI so konfigurieren, dass eine E-Mail-Adresse generiert wird, die HTTPS verwendet.
Achten Sie beim Konfigurieren des Load-Balancers darauf, dass er den folgenden Header für Anfragen festlegt, die an die Edge-Benutzeroberfläche weitergeleitet werden:
X-Forwarded-Proto: https
So konfigurieren Sie die Edge-Benutzeroberfläche:
- Öffnen Sie die Datei
/opt/apigee/customer/application/ui.properties
in einem Editor. Wenn die Datei nicht vorhanden ist, erstellen Sie sie:vi /opt/apigee/customer/application/ui.properties
- Legen Sie in
ui.properties
die folgende Property fest:conf/application.conf+trustxforwarded=true
- Speichern Sie die Änderungen in
ui.properties
. - Starten Sie die Edge-Benutzeroberfläche neu:
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Optionale TLS-Attribute festlegen
Die Edge-Benutzeroberfläche unterstützt optionale TLS-Konfigurationsattribute, mit denen Sie Folgendes festlegen können:
- Standard-TLS-Protokoll
- Liste der unterstützten TLS-Protokolle
- Unterstützte TLS-Algorithmen
- Unterstützte TLS-Chiffren
Diese optionalen Parameter sind nur verfügbar, wenn Sie das folgende Konfigurationsattribut in einer Konfigurationsdatei festlegen, wie unter Konfigurationsdatei zum Konfigurieren von TLS verwenden beschrieben:
TLS_CONFIGURE=y
In der folgenden Tabelle werden diese Attribute beschrieben:
Property | Beschreibung |
---|---|
TLS_PROTOCOL
|
Definiert das Standard-TLS-Protokoll für die Edge-Benutzeroberfläche. Standardmäßig wird TLS 1.2 verwendet. Gültige Werte sind TLSv1.2, TLSv1.1 und TLSv1. |
TLS_ENABLED_PROTOCOL
|
Definiert die Liste der aktivierten Protokolle als durch Kommas getrenntes Array. Beispiel: TLS_ENABLED_PROTOCOL=[\"TLSv1.2\", \"TLSv1.1\", \"TLSv1\"] Beachten Sie, dass Sie das Zeichen " maskieren müssen.
Standardmäßig sind alle Protokolle aktiviert. |
TLS_DISABLED_ALGO
|
Definiert die deaktivierten Chiffresammlungen und kann auch verwendet werden, um zu verhindern, dass kleine Schlüsselgrößen für TLS-Handshake verwendet werden. Es gibt keinen Standardwert. Die an
TLS_DISABLED_ALGO=EC\ keySize\ <\ 160,RSA\ keySize\ <\ 2048 |
TLS_ENABLED_CIPHERS
|
Definiert die Liste der verfügbaren TLS-Chiffren als durch Kommas getrenntes Array. Beispiel: TLS_ENABLED_CIPHERS=[\"TLS_DHE_RSA_WITH_AES_128_CBC_SHA\", \"TLS_DHE_DSS_WITH_AES_128_CBC_SHA\"] Beachten Sie, dass Sie das Zeichen " maskieren müssen.
Die Standardliste der aktivierten Chiffren ist: "TLS_DHE_RSA_WITH_AES_256_CBC_SHA", "TLS_DHE_RSA_WITH_AES_128_CBC_SHA", "TLS_DHE_DSS_WITH_AES_128_CBC_SHA", "TLS_RSA_WITH_AES_256_CBC_SHA", "TLS_RSA_WITH_AES_128_CBC_SHA", "SSL_RSA_WITH_RC4_128_SHA", "SSL_RSA_WITH_RC4_128_MD5", "TLS_EMPTY_RENEGOTIATION_INFO_SCSV" Eine Liste der verfügbaren Chiffren finden Sie hier. |
TLS-Protokolle deaktivieren
Zum Deaktivieren von TLS-Protokollen müssen Sie die unter Konfigurationsdatei zum Konfigurieren von TLS verwenden beschriebene Konfigurationsdatei so bearbeiten:
- Öffnen Sie die Konfigurationsdatei in einem Editor.
- Wenn Sie ein einzelnes TLS-Protokoll wie TLSv1.0 deaktivieren möchten, fügen Sie der Konfigurationsdatei Folgendes hinzu:
TLS_CONFIGURE=y TLS_DISABLED_ALGO="tlsv1"
Wenn Sie mehrere Protokolle deaktivieren möchten, z. B. TLSv1.0 und TLSv1.1, fügen Sie der Konfigurationsdatei Folgendes hinzu:
TLS_CONFIGURE=y TLS_DISABLED_ALGO="tlsv1, tlsv1.1"
- Speichern Sie die Änderungen an der Konfigurationsdatei.
- Führen Sie den folgenden Befehl aus, um TLS zu konfigurieren:
/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile
Dabei ist configFile der vollständige Pfad zur Konfigurationsdatei.
- Starten Sie die Edge-Benutzeroberfläche neu:
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Sichere Cookies verwenden
Apigee Edge for Private Cloud unterstützt das Hinzufügen des Flags secure
zum Header Set-Cookie
für Antworten von der Edge-Benutzeroberfläche. Wenn dieses Flag vorhanden ist, kann das Cookie nur über TLS-fähige Kanäle gesendet werden. Ist das Cookie nicht vorhanden, kann es über jeden beliebigen Kanal gesendet werden, unabhängig davon, ob er sicher ist oder nicht.
Cookies ohne das Flag secure
können einem Angreifer möglicherweise ermöglichen, das Cookie zu erfassen und wiederzuverwenden oder eine aktive Sitzung zu übernehmen. Daher empfiehlt es sich, diese Einstellung zu aktivieren.
So legen Sie das Flag secure
für Edge-UI-Cookies fest:
- Öffnen Sie die folgende Datei in einem Texteditor:
/opt/apigee/customer/application/ui.properties
Wenn die Datei nicht vorhanden ist, erstellen Sie sie.
- Legen Sie das Attribut
conf_application_session.secure
in der Dateiui.properties
wie im folgenden Beispiel auftrue
fest:conf_application_session.secure=true
- Speichern Sie die Änderungen.
- Starten Sie die Edge-Benutzeroberfläche mit dem Dienstprogramm
apigee-serice
wie im folgenden Beispiel neu:/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Prüfen Sie die Antwortheader der Edge-Benutzeroberfläche mit einem Dienstprogramm wie curl
, um sicherzustellen, dass die Änderung funktioniert. Beispiel:
curl -i -v https://edge_UI_URL
Der Header sollte eine Zeile wie die folgende enthalten:
Set-Cookie: secure; ...
Deaktivieren Sie TLS in der Edge-Benutzeroberfläche
Verwenden Sie den folgenden Befehl, um TLS in der Edge-Benutzeroberfläche zu deaktivieren:
/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl