管理 UI に対する TLS の構成

デフォルトでは、Edge UI へのアクセスには、Management Server ノードの IP アドレスとポート 9000 を介した HTTP を使用します。次に例を示します。

http://ms_IP:9000

別の方法として、TLS を使用して Edge UI にアクセスするよう構成することもできます。その場合は次の形式を使用します。

https://ms_IP:9443

この例では、TLS アクセスでポート 9443 が使用されるように構成します。ただし、Edge についてこのポート番号が必要というわけではありません。他のポート番号を使うように Management Server を構成することもできます。唯一の要件は、ファイアウォールが指定のポートでトラフィックを許可していることです。

TLS ポートが開いていることを確認する

このセクションの手順で、Management Server でポート 9443 を使用するように TLS を構成します。使用するポートにかかわらず、Management Server 上でポートが開いている必要があります。たとえば、次のコマンドを使用してポートを開きます。

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose

注: この例では、TLS ポートにポート 9443 を使用しており、より一般的なポート 443 を使用していません。その理由は、1024 未満のポートは通常オペレーティングシステムによって保護されており、それらのポートにアクセスするには root アクセス権が必要であるためです。Edge UI は「apigee」ユーザーで実行されるため、基本的には 1024 未満のポートにアクセスできません。

他の方法として、Edge UI とともにロードバランサを使用し、TLS をロードバランサのポート 443 で終端させる方法もあります。ロードバランサと Edge UI の間では HTTP または HTTPS を使用できます。

あるいは、iptables を使用してポート 443 へのリクエストをポート 9443 に転送することも可能です。次に例を示します。

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 9443

TLS を構成する

管理 UI への TLS アクセスを構成するには、次の手順に従います。

TLS 証明書と秘密鍵を含むキーストア JKS ファイルを生成し、Management Server ノードにコピーします。詳細については、オンプレミスの Edge での TLS / SSL の構成を参照してください。

次のコマンドを実行して、TLS を構成します。

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl

HTTPS ポート番号を入力します（例: 9443）。
管理 UI への HTTP アクセスを無効にするかどうかを指定します。デフォルトでは、ポート 9000 の HTTP で管理 UI にアクセスできます。
キーストアアルゴリズムを入力します。デフォルトは JKS です。
キーストア JKS ファイルの絶対パスを入力します。
このファイルは Management Server ノードの /opt/apigee/customer/conf ディレクトリにコピーされ、所有者が「apigee」に変更されます。
平文のキーストアパスワードを入力します。
Edge 管理 UI が自動的に再起動します。再起動した後、Edge 管理 UI に TLS でアクセスできるようになります。
これらの設定は /opt/apigee/etc/edge-ui.d/SSL.sh で確認できます。

プロンプトに応答するのではなく、コマンドに構成ファイルを渡すこともできます。構成ファイルは、次のプロパティを含みます。

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

次のコマンドを使用して、Edge UI の TLS を構成します。

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

TLS をロードバランサで終端させる場合の Edge UI の構成

リクエストを Edge UI に転送するロードバランサを配置している場合、TLS 接続をロードバランサで終端させ、ロードバランサから HTTP で Edge UI にリクエストを転送できます。この構成はサポートされていますが、ロードバランサと Edge UI をそれに応じて構成する必要があります。

ユーザーが作成されたとき、またはユーザーがパスワードの再設定をリクエストしたときに Edge UI からユーザーにパスワード設定メールを送信する場合は、追加の構成が必要です。このメールには、パスワードを設定または再設定するための URL が記載されています。デフォルトでは、Edge UI が TLS を使用するように構成されていない場合、生成されたメールの URL で使用されるプロトコルは HTTPS ではなく HTTP になります。HTTPS を使用したメールアドレスが生成されるようにロードバランサと Edge UI を構成する必要があります。

ロードバランサを構成するには、Edge UI に転送するリクエストに次のヘッダーが設定されるようにします。

X-Forwarded-Proto: https

Edge UI を構成するには:

/opt/apigee/customer/application/ui.properties ファイルをエディタで開きます。ファイルが存在しない場合は作成します。
```
vi /opt/apigee/customer/application/ui.properties
```
ui.properties で次のプロパティを設定します。
```
conf/application.conf+trustxforwarded=true
```
変更を ui.properties に保存します。

Edge UI を再起動します。

/opt/apigee/apigee-service/bin/apigee-service edge-ui restart

オプションの TLS プロパティの設定

Edge UI では、次の設定に使用できるオプションの TLS 構成プロパティをサポートしています。

デフォルトの TLS プロトコル
サポートされている TLS プロトコルのリスト
サポートされている TLS アルゴリズム
サポートされている TLS 暗号

これらのオプションパラメータは、構成ファイルで次の構成プロパティを設定した場合にのみ使用できます。

TLS_CONFIGURE=y

注: これらのオプションパラメータは、apigee-service edge-ui configure-ssl コマンドに渡す構成ファイルでのみ設定できます。対話型コマンドではこれらのプロパティを設定できません。

次の表で、これらのプロパティを説明します。

プロパティ	説明
`TLS_PROTOCOL`	Edge UI のデフォルトの TLS プロトコルを定義します。デフォルトは TLS 1.2 です。有効な値は、TLSv1.2、TLSv1.1、TLSv1 です。
`TLS_ENABLED_PROTOCOL`	有効なプロトコルのリストをカンマ区切りの配列として定義します。次に例を示します。 TLS_ENABLED_PROTOCOL=[\"TLSv1.2\", \"TLSv1.1\", \"TLSv1\"] 「"」文字をエスケープする必要があります。デフォルトでは、すべてのプロトコルが有効になっています。
`TLS_DISABLED_ALGO`	無効な暗号スイートを定義します。TLS handshake に小さなキーサイズが使用されないようにするためにも使用できます。デフォルト値はありません。 `TLS_DISABLED_ALGO` に渡される値は、このページで説明されているように、`jdk.tls.disabledAlgorithms` に対して使用可能な値に対応しています。ただし、`TLS_DISABLED_ALGO` を設定するときはスペース文字をエスケープする必要があります。 TLS_DISABLED_ALGO=EC\ keySize\ <\ 160,RSA\ keySize\ <\ 2048
`TLS_ENABLED_CIPHERS`	使用可能な TLS 暗号のリストをカンマ区切りの配列として定義します。次に例を示します。 TLS_DISABLED_ALGO=[\"TLS_DHE_RSA_WITH_AES_128_CBC_SHA\", \"TLS_DHE_DSS_WITH_AES_128_CBC_SHA\"] 「"」文字をエスケープする必要があります。有効な暗号のデフォルトのリストは次のとおりです。 "TLS_DHE_RSA_WITH_AES_256_CBC_SHA", "TLS_DHE_RSA_WITH_AES_128_CBC_SHA", "TLS_DHE_DSS_WITH_AES_128_CBC_SHA", "TLS_RSA_WITH_AES_256_CBC_SHA", "TLS_RSA_WITH_AES_128_CBC_SHA", "SSL_RSA_WITH_RC4_128_SHA", "SSL_RSA_WITH_RC4_128_MD5", "TLS_EMPTY_RENEGOTIATION_INFO_SCSV" 使用可能な暗号のリストについては、こちらをご覧ください。

セキュア Cookie を使用する

Apigee Edge for Private Cloud では、Edge UI からのレスポンスの Set-Cookie ヘッダーに secure フラグを追加できます。このフラグが存在する Cookie は、TLS が有効なチャネルを通じてのみ送信できます。このフラグが存在しない Cookie は、チャネルがセキュアかどうかに関係なく、どのチャネルでも送信できます。

secure フラグのない Cookie を使用すると、攻撃者が Cookie を盗んで再利用したり、アクティブなセッションを乗っ取ったりする可能性があります。そのため、この設定を有効にすることをおすすめします。

Edge UI Cookie の secure フラグを設定するには:

テキストエディタで次のファイルを開きます。
```
/opt/apigee/customer/application/ui.properties
```
ファイルが存在しない場合は作成します。
次の例のように、ui.properties ファイルの conf_application_session.secure プロパティを true に設定します。
```
conf_application_session.secure=true
```
変更を保存します。
次の例のように、apigee-serice ユーティリティを使用して Edge UI を再起動します。
```
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
```

変更が機能していることを確認するには、curl などのユーティリティを使用して Edge UI からのレスポンスのヘッダーを確認します。次に例を示します。

curl -i -v https://edge_UI_URL

ヘッダーに次のような行が含まれていれば、正しく機能しています。

Set-Cookie: secure; ...

Edge UI で TLS を無効にする

Edge UI で TLS を無効にするには、次のコマンドを使用します。

/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl