管理 UI に対する TLS の構成

デフォルトでは、Edge UI へのアクセスには、Management Server ノードの IP アドレスとポート 9000 を介した HTTP を使用します。次に例を示します。

http://ms_IP:9000

別の方法として、TLS を使用して Edge UI にアクセスするよう構成することもできます。その場合は次の形式を使用します。

https://ms_IP:9443

この例では、TLS アクセスにポート 9443 を使用しています。ただし、Edge ではこのポート番号を使う必要はありません。他のポート番号を使うように Management Server を構成することもできます。唯一の要件は、ファイアウォールが指定のポートでトラフィックを許可していることです。

TLS ポートが開いていることを確認する

このセクションの手順では、Management Server のポート 9443 を使用するように TLS を構成します。使用するポートにかかわらず、Management Server でそのポートが開いている必要があります。たとえば、次のコマンドを使用してポートを開きます。

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose

TLS を構成する

管理 UI への TLS アクセスを構成するには、次の手順に従います。

  1. TLS 証明書と秘密鍵を含むキーストア JKS ファイルを生成し、Management Server ノードにコピーします。詳細については、オンプレミスの Edge での TLS / SSL の構成を参照してください。
  2. 次のコマンドを実行して、TLS を構成します。
    /opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl
  3. HTTPS ポート番号を入力します(例: 9443)。
  4. 管理 UI への HTTP アクセスを無効にするかどうかを指定します。デフォルトでは、ポート 9000 の HTTP で管理 UI にアクセスできます。
  5. キーストア アルゴリズムを入力します。デフォルトは JKS です。
  6. キーストア JKS ファイルの絶対パスを入力します。

    このファイルは Management Server ノードの /opt/apigee/customer/conf ディレクトリにコピーされ、所有者が「apigee」に変更されます。

  7. 平文のキーストア パスワードを入力します。
  8. Edge 管理 UI が自動的に再起動します。再起動した後、Edge 管理 UI に TLS でアクセスできるようになります。

    これらの設定は /opt/apigee/etc/edge-ui.d/SSL.sh で確認できます。

プロンプトに応答するのではなく、コマンドに構成ファイルを渡すこともできます。構成ファイルは、次のプロパティを含みます。

HTTPSPORT=9443
    DISABLE_HTTP=y
    KEY_ALGO=JKS
    KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
    KEY_PASS=clearTextKeystorePWord

次のコマンドを使用して、Edge UI の TLS を構成します。

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

TLS をロードバランサで終端させる場合の Edge UI の構成

Egde UI へリクエストを転送するロードバランサを配置している場合、ロードバランサで TLS 接続を終端させて、ロードバランサが HTTP で Edge UI にリクエストを転送するように選択できます。この構成はサポートされていますが、この構成に応じてロードバランサと Edge UI を構成する必要があります。

ユーザーが作成されたとき、またはユーザーがパスワードの再設定をリクエストしたときに Edge UI からユーザーにパスワード設定メールを送信する場合は、追加の構成が必要です。このメールには、パスワードを設定または再設定するための URL が記載されています。デフォルトでは、Edge UI が TLS を使用するように構成されていない場合、生成されたメールの URL で使用されるプロトコルは HTTPS ではなく HTTP になります。HTTPS を使用したメールアドレスが生成されるようにロードバランサと Edge UI を構成する必要があります。

ロードバランサを構成するには、Edge UI に転送するリクエストに次のヘッダーが設定されるようにします。

X-Forwarded-Proto: https

Edge UI を構成するには:

  1. /opt/apigee/customer/application/ui.properties ファイルをエディタで開きます。このファイルが存在しない場合は作成します。
    vi /opt/apigee/customer/application/ui.properties
  2. ui.properties で次のプロパティを設定します。
    conf/application.conf+trustxforwarded=true
  3. 変更を ui.properties に保存します。
  4. Edge UI を再起動します。
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

オプションの TLS プロパティの設定

Edge UI では、次の設定に使用できるオプションの TLS 構成プロパティがサポートされています。

  • デフォルトの TLS プロトコル
  • サポートされている TLS プロトコルのリスト
  • サポートされている TLS アルゴリズム
  • サポートされている TLS 暗号

これらのオプション パラメータは、構成ファイルで次の構成プロパティを設定した場合にのみ使用できます。

TLS_CONFIGURE=y

次の表に、これらのプロパティの説明を示します。

プロパティ 説明
TLS_PROTOCOL Edge UI のデフォルトの TLS プロトコルを定義します。デフォルトは TLS 1.2 です。有効な値は、TLSv1.2、TLSv1.1、TLSv1 です。
TLS_ENABLED_PROTOCOL

有効なプロトコルのリストをカンマ区切りの配列として定義します。次に例を示します。


TLS_ENABLED_PROTOCOL=[\"TLSv1.2\", \"TLSv1.1\", \"TLSv1\"]

「"」文字をエスケープする必要があります。

デフォルトでは、すべてのプロトコルが有効になっています。

TLS_DISABLED_ALGO

無効な暗号スイートを定義します。TLS handshake に小さなキーサイズが使用されないようにするためにも使用できます。デフォルト値はありません。

TLS_DISABLED_ALGO に渡される値は、このページで説明されているように、jdk.tls.disabledAlgorithms に対して使用可能な値に対応しています。ただし、TLS_DISABLED_ALGO を設定するときはスペース文字をエスケープする必要があります。


TLS_DISABLED_ALGO=EC\ keySize\ <\ 160,RSA\ keySize\ <\ 2048
TLS_ENABLED_CIPHERS

使用可能な TLS 暗号のリストをカンマ区切りの配列として定義します。次に例を示します。


TLS_DISABLED_ALGO=[\"TLS_DHE_RSA_WITH_AES_128_CBC_SHA\",
    \"TLS_DHE_DSS_WITH_AES_128_CBC_SHA\"]

「"」文字をエスケープする必要があります。

有効な暗号のデフォルトのリストは次のとおりです。


"TLS_DHE_RSA_WITH_AES_256_CBC_SHA",
    "TLS_DHE_RSA_WITH_AES_128_CBC_SHA",
    "TLS_DHE_DSS_WITH_AES_128_CBC_SHA",
    "TLS_RSA_WITH_AES_256_CBC_SHA",
    "TLS_RSA_WITH_AES_128_CBC_SHA",
    "SSL_RSA_WITH_RC4_128_SHA",
    "SSL_RSA_WITH_RC4_128_MD5",
    "TLS_EMPTY_RENEGOTIATION_INFO_SCSV"

使用可能な暗号のリストについては、こちらをご覧ください。

Apigee Edge for Private Cloud では、Edge UI からのレスポンスの Set-Cookie ヘッダーに secure フラグを追加できます。このフラグが存在する Cookie は、TLS が有効なチャネルを通じてのみ送信できます。このフラグが存在しない Cookie は、チャネルがセキュアかどうかに関係なく、どのチャネルでも送信できます。

secure フラグのない Cookie を使用すると、攻撃者が Cookie を盗んで再利用したり、アクティブなセッションを乗っ取ったりする可能性があります。そのため、この設定を有効にすることをおすすめします。

Edge UI Cookie の secure フラグを設定するには:

  1. テキスト エディタで次のファイルを開きます。
    /opt/apigee/customer/application/ui.properties

    このファイルが存在しない場合は作成します。

  2. 次の例のように、ui.properties ファイルの conf_application_session.secure プロパティを true に設定します。
    conf_application_session.secure=true
  3. 変更を保存します。
  4. 次の例のように、apigee-serice ユーティリティを使用して Edge UI を再起動します。
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

変更が機能していることを確認するには、curl などのユーティリティを使用して Edge UI からのレスポンスのヘッダーを確認します。次に例を示します。

curl -i -v https://edge_UI_URL

ヘッダーに次のような行が含まれていれば、正しく機能しています。

Set-Cookie: secure; ...

Edge UI で TLS を無効にする

Edge UI で TLS を無効にするには、次のコマンドを使用します。

/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl