TLS für die Verwaltungs-UI konfigurieren

Standardmäßig greifen Sie über HTTP auf die Edge-Benutzeroberfläche mithilfe der IP-Adresse der Verwaltungsserverknoten und Port 9000. Beispiel:

http://ms_IP:9000

Alternativ können Sie den TLS-Zugriff auf die Edge-Benutzeroberfläche konfigurieren, sodass Sie darauf zugreifen können in das Formular:

https://ms_IP:9443

In diesem Beispiel konfigurieren Sie den TLS-Zugriff für die Verwendung von Port 9443. Diese Portnummer muss jedoch nicht für Edge erforderlich: Sie können den Verwaltungsserver so konfigurieren, dass andere Portwerte verwendet werden. Die einzige Voraussetzung ist, dass Ihre Firewall Traffic über den angegebenen Port zulässt.

Achten Sie darauf, dass der TLS-Port geöffnet ist

Mit dem Verfahren in diesem Abschnitt wird TLS für die Verwendung von Port 9443 auf dem Verwaltungsserver konfiguriert. Unabhängig von dem verwendeten Port müssen Sie darauf achten, dass der Port auf der Verwaltungsseite geöffnet ist. Server. Sie können sie beispielsweise mit dem folgenden Befehl öffnen:

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose
 <ph type="x-smartling-placeholder">

TLS konfigurieren

So konfigurieren Sie den TLS-Zugriff auf die Verwaltungsbenutzeroberfläche:

  1. Generieren Sie die Schlüsselspeicher-JKS-Datei mit Ihrer TLS-Zertifizierung und Ihrem privaten Schlüssel und kopieren Sie sie an den Verwaltungsserverknoten. Weitere Informationen finden Sie unter TLS/SSL für Edge On Premises konfigurieren.
  2. Führen Sie den folgenden Befehl aus, um TLS zu konfigurieren: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl
  3. Geben Sie die HTTPS-Portnummer ein, z. B. 9443.
  4. Geben Sie an, ob Sie den HTTP-Zugriff auf die Verwaltungsoberfläche deaktivieren möchten. Standardmäßig legt die Verwaltung Die UI ist über HTTP an Port 9000 zugänglich.
  5. Geben Sie den Schlüsselspeicheralgorithmus ein. Die Standardeinstellung ist JKS.
  6. Geben Sie den absoluten Pfad zur JKS-Datei des Schlüsselspeichers ein.

    Das Skript kopiert die Datei in das Verzeichnis /opt/apigee/customer/conf der Verwaltungsserverknoten und ändert die Eigentümerschaft der Datei in „apigee“.

  7. Geben Sie das Klartextpasswort für den Schlüsselspeicher ein.
  8. Das Skript startet dann die Edge-Management-Benutzeroberfläche neu. Nach dem Neustart zeigt die Verwaltungsoberfläche unterstützt den Zugriff über TLS.

    Diese Einstellungen findest du unter /opt/apigee/etc/edge-ui.d/SSL.sh.

TLS mit einer Konfigurationsdatei konfigurieren

Alternativ zum obigen Verfahren können Sie eine Konfigurationsdatei an den Befehl übergeben. in Schritt 2 des Verfahrens. Sie müssen diese Methode verwenden, Legen Sie optionale TLS-Attribute fest.

Wenn Sie eine Konfigurationsdatei verwenden möchten, erstellen Sie eine neue Datei und fügen Sie die folgenden Attribute hinzu:

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

Speichern Sie die Datei in einem lokalen Verzeichnis unter einem beliebigen Namen. Konfigurieren Sie dann TLS mit dem folgenden Befehl:

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

Dabei ist configFile der vollständige Pfad zu der von Ihnen gespeicherten Datei.

Konfigurieren Sie die Edge-Benutzeroberfläche bei TLS wird auf dem Load-Balancer beendet.

Wenn Sie einen Load-Balancer haben, der Anfragen an die Edge-Benutzeroberfläche weiterleitet, können Sie beenden Sie die TLS-Verbindung auf dem Load-Balancer und lassen Sie den Load-Balancer dann weiterleiten. Anfragen an die Edge-Benutzeroberfläche über HTTP. Diese Konfiguration wird unterstützt, Sie müssen jedoch die den Load-Balancer und die Edge-Benutzeroberfläche.

Die zusätzliche Konfiguration ist erforderlich, wenn die Edge-Benutzeroberfläche Benutzer-E-Mails sendet, um ihre Passwort, wenn der Nutzer erstellt wird oder wenn der Nutzer das Zurücksetzen eines verlorenen Passworts anfordert. Diese E-Mail enthält eine URL, über die der Nutzer ein Passwort festlegen oder zurücksetzen kann. Wenn die Edge-Benutzeroberfläche standardmäßig nicht für TLS konfiguriert ist, wird für die URL in der generierten E-Mail das HTTP-Protokoll anstelle von HTTPS verwendet. Sie müssen den Load-Balancer und die Edge-Benutzeroberfläche so konfigurieren, dass eine E-Mail-Adresse generiert wird, die HTTPS

Zum Konfigurieren des Load-Balancers muss der folgende Header für weitergeleitete Anfragen festgelegt werden zur Edge-Benutzeroberfläche:

X-Forwarded-Proto: https

So konfigurieren Sie die Edge-Benutzeroberfläche:

  1. Öffne /opt/apigee/customer/application/ui.properties in einem Editor öffnen. Wenn die Datei nicht vorhanden ist, erstellen Sie sie: 
    vi /opt/apigee/customer/application/ui.properties
  2. Legen Sie das folgende Attribut in ui.properties fest: 
    conf/application.conf+trustxforwarded=true
  3. Speichern Sie die Änderungen in ui.properties.
  4. Starten Sie die Edge-Benutzeroberfläche neu: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

Optionale TLS-Attribute festlegen

Die Edge-Benutzeroberfläche unterstützt optionale TLS-Konfigurationseigenschaften, mit denen Sie Folgendes festlegen können:

  • Standard-TLS-Protokoll
  • Liste der unterstützten TLS-Protokolle
  • Unterstützte TLS-Algorithmen
  • Unterstützte TLS-Chiffren

Diese optionalen Parameter sind nur verfügbar, wenn Sie das folgende Konfigurationsattribut festlegen in einer Konfigurationsdatei, wie unter Konfigurieren Sie TLS mithilfe einer Konfigurationsdatei:

TLS_CONFIGURE=y

In der folgenden Tabelle werden diese Attribute beschrieben:

Attribut Beschreibung
TLS_PROTOCOL Definiert das Standard-TLS-Protokoll für die Edge-Benutzeroberfläche. Standardmäßig wird TLS 1.2 verwendet. Gültige Werte sind TLSv1.2, TLSv1.1 und TLSv1.
TLS_ENABLED_PROTOCOL

Definiert die Liste der aktivierten Protokolle als kommagetrenntes Array. Beispiel:

TLS_ENABLED_PROTOCOL=[\"TLSv1.2\", \"TLSv1.1\", \"TLSv1\"]

Beachten Sie, dass Sie den Code Zeichen.

Standardmäßig sind alle Protokolle aktiviert.
TLS_DISABLED_ALGO

Definiert die deaktivierten Cipher Suites und kann auch verwendet werden, um zu verhindern, dass kleine Schlüsselgrößen für TLS Handshake verwendet wird. Es gibt keinen Standardwert.

Die an TLS_DISABLED_ALGO übergebenen Werte entsprechen den zulässigen Werten für jdk.tls.disabledAlgorithms, wie hier beschrieben. Beim Festlegen von TLS_DISABLED_ALGO müssen Leerzeichen jedoch maskiert werden:

TLS_DISABLED_ALGO=EC\ keySize\ <\ 160,RSA\ keySize\ <\ 2048
TLS_ENABLED_CIPHERS

Definiert die Liste der verfügbaren TLS-Chiffren als kommagetrenntes Array. Beispiel: 

TLS_ENABLED_CIPHERS=[\"TLS_DHE_RSA_WITH_AES_128_CBC_SHA\",
\"TLS_DHE_DSS_WITH_AES_128_CBC_SHA\"]

Beachten Sie, dass Sie den Code Zeichen.

Die Standardliste der aktivierten Chiffren lautet:

"TLS_DHE_RSA_WITH_AES_256_CBC_SHA",
"TLS_DHE_RSA_WITH_AES_128_CBC_SHA",
"TLS_DHE_DSS_WITH_AES_128_CBC_SHA",
"TLS_RSA_WITH_AES_256_CBC_SHA",
"TLS_RSA_WITH_AES_128_CBC_SHA",
"SSL_RSA_WITH_RC4_128_SHA",
"SSL_RSA_WITH_RC4_128_MD5",
"TLS_EMPTY_RENEGOTIATION_INFO_SCSV"

Liste der verfügbaren Chiffren aufrufen hier.

TLS-Protokolle deaktivieren

Zum Deaktivieren von TLS-Protokollen müssen Sie die Konfigurationsdatei bearbeiten, wie unter TLS mithilfe einer Konfigurationsdatei konfigurieren wie folgt:

  1. Öffnen Sie die Konfigurationsdatei in einem Editor.
  2. Wenn Sie ein einzelnes TLS-Protokoll deaktivieren möchten, z. B. TLSv1.0, fügen Sie Folgendes hinzu: in die Konfigurationsdatei ein: 
    TLS_CONFIGURE=y
TLS_DISABLED_ALGO="tlsv1"

    So deaktivieren Sie mehrere Protokolle, z. B. TLSv1.0 und TLSv1.1: Fügen Sie der Konfigurationsdatei Folgendes hinzu:

    TLS_CONFIGURE=y
TLS_DISABLED_ALGO="tlsv1, tlsv1.1"
  3. Speichern Sie die Änderungen an der Konfigurationsdatei.
  4. Führen Sie den folgenden Befehl aus, um TLS zu konfigurieren: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

    Dabei ist configFile der vollständige Pfad zur Konfigurationsdatei.

  5. Starten Sie die Edge-Benutzeroberfläche neu: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

Sichere Cookies verwenden

Apigee Edge for Private Cloud unterstützt das Hinzufügen des Flags secure zum Header Set-Cookie für Antworten von der Edge-Benutzeroberfläche. Wenn dieses Flag vorhanden ist, kann das Cookie nur TLS-fähige Kanäle. Ist dies nicht der Fall, kann das Cookie über jeden Kanal gesendet werden, unabhängig davon, ob es sicher ist oder nicht.

Cookies ohne das Flag secure können einem Angreifer möglicherweise ermöglichen, das Cookie wiederverwenden oder eine aktive Sitzung zu hacken. Daher empfiehlt es sich, diese Funktion Einstellung.

So legen Sie das Flag secure für Edge-UI-Cookies fest:

  1. Öffnen Sie die folgende Datei in einem Texteditor: 
    /opt/apigee/customer/application/ui.properties

    Wenn die Datei nicht vorhanden ist, erstellen Sie sie.

  2. Setzen Sie das Attribut conf_application_session.secure auf true in der ui.properties wie im folgenden Beispiel gezeigt: 
    conf_application_session.secure=true
  3. Speichern Sie die Änderungen.
  4. Starten Sie die Edge-Benutzeroberfläche mit dem Dienstprogramm apigee-serice wie im folgenden Beispiel neu: Shows: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

Um zu bestätigen, dass die Änderung funktioniert, überprüfen Sie die Antwortheader in der Edge-Benutzeroberfläche mithilfe von ein Dienstprogramm wie curl; Beispiel:

curl -i -v https://edge_UI_URL

Die Kopfzeile sollte eine Zeile enthalten, die etwa so aussieht:

Set-Cookie: secure; ...

Deaktivieren von TLS in der Edge-Benutzeroberfläche

Verwenden Sie den folgenden Befehl, um TLS in der Edge-Benutzeroberfläche zu deaktivieren:

/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl