Varsayılan olarak TLS, Management API için devre dışıdır. Yönetim Sunucusu düğümünün IP adresi ile 8080 bağlantı noktasının IP adresini kullanarak HTTP üzerinden Edge Management API'ye erişirsiniz. Örneğin:
http://ms_IP:8080
Alternatif olarak, TLS'nin Management API'ye erişimini aşağıdaki biçimde yapılandırabilirsiniz:
https://ms_IP:8443
Bu örnekte, TLS erişimini 8443 bağlantı noktasını kullanacak şekilde yapılandırıyorsunuz. Ancak bu bağlantı noktası numarası Edge için gerekli değildir. Yönetim Sunucusu'nu diğer bağlantı noktası değerlerini kullanacak şekilde yapılandırabilirsiniz. Tek şart, güvenlik duvarınızın belirtilen bağlantı noktası üzerinden trafiğe izin vermesidir.
Management API'nize gelen ve bu API'den giden trafik şifrelemesi sağlamak için /opt/apigee/customer/application/management-server.properties
dosyasındaki ayarları yapılandırın.
TLS yapılandırmasına ek olarak, management-server.properties
dosyasını değiştirerek şifre doğrulamasını (şifre uzunluğu ve gücü) kontrol edebilirsiniz.
TLS bağlantı noktanızın açık olduğundan emin olun
Bu bölümdeki prosedür, TLS'yi Yönetim Sunucusu'nda 8443 numaralı bağlantı noktasını kullanacak şekilde yapılandırır. Kullandığınız bağlantı noktası ne olursa olsun, Yönetim Sunucusu'nda bağlantı noktasının açık olduğundan emin olmanız gerekir. Örneğin, dosyayı açmak için aşağıdaki komutu kullanabilirsiniz:
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose
TLS'yi yapılandırın
Management API'nize gelen ve bu API'den giden trafikteki TLS kullanımını kontrol etmek için /opt/apigee/customer/application/management-server.properties
dosyasını düzenleyin. Bu dosya yoksa oluşturun.
Yönetim API'sine TLS erişimini yapılandırmak için:
- TLS sertifikanızı ve özel anahtarınızı içeren anahtar deposu JKS dosyasını oluşturun. Daha fazla bilgi için Edge Şirketi İçin TLS/SSL'yi Yapılandırma bölümüne bakın.
- Anahtar deposu JKS dosyasını Yönetim Sunucusu düğümündeki
/opt/apigee/customer/application
gibi bir dizine kopyalayın. - JKS dosyasının sahipliğini "Apigee" kullanıcısı olarak değiştirin:
chown apigee:apigee keystore.jks
Burada keystore.jks, anahtar deposu dosyanızın adıdır.
- Aşağıdaki özellikleri ayarlamak için
/opt/apigee/customer/application/management-server.properties
öğesini düzenleyin. Dosya yoksa oluşturun:conf_webserver_ssl.enabled=true # Leave conf_webserver_http.turn.off set to false # because many Edge internal calls use HTTP. conf_webserver_http.turn.off=false conf_webserver_ssl.port=8443 conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks # Enter the obfuscated keystore password below. conf_webserver_keystore.password=OBF:obfuscatedPassword
Burada keyStore.jks, anahtar deposu dosyanız, obfuscatedPassword ise karartılmış anahtar deposu şifrenizdir. Kodu karartılmış şifre oluşturma hakkında bilgi edinmek için Edgede Şirket için TLS/SSL'yi yapılandırma bölümüne bakın.
- Şu komutu kullanarak Uç Yönetim Sunucusu'nu yeniden başlatın:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
Management API artık TLS üzerinden erişimi desteklemektedir.
Edge API'ye erişmek için TLS'yi kullanmak üzere Edge kullanıcı arayüzünü yapılandırma
Yukarıdaki prosedürde Apigee, Edge kullanıcı arayüzünün HTTP üzerinden Edge API çağrıları yapmaya devam edebilmesi için conf_webserver_http.turn.off=false
ürününden ayrılmanızı önerdi.
Edge kullanıcı arayüzünü, bu çağrıları yalnızca HTTPS üzerinden yapacak şekilde yapılandırmak için aşağıdaki prosedürü kullanın:
- Yönetim API'sine TLS erişimini yukarıda açıklandığı gibi yapılandırın.
- TLS'nin Management API için çalıştığını onayladıktan sonra
/opt/apigee/customer/application/management-server.properties
özelliğini düzenleyerek aşağıdaki özelliği ayarlayın:conf_webserver_http.turn.off=true
- Aşağıdaki komutu çalıştırarak Uç Yönetim Sunucusu'nu yeniden başlatın:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- Edge kullanıcı arayüzünde aşağıdaki özelliği ayarlamak için
/opt/apigee/customer/application/ui.properties
politikasını düzenleyin:conf_apigee_apigee.mgmt.baseurl="https://FQ_domain_name:port/v1"
Burada FQ_domain_name, Yönetim Sunucusu'nun sertifika adresinize göre tam alan adıdır. port ise yukarıda
conf_webserver_ssl.port
tarafından belirtilen bağlantı noktasıdır.ui.properties yoksa oluşturun.
- Yalnızca kendinden imzalı bir sertifika kullandıysanız (üretim ortamında önerilmez) yukarıdaki Management API'ye TLS erişimini yapılandırırken aşağıdaki özelliği
ui.properties
öğesine ekleyin:conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true
Aksi takdirde, Edge kullanıcı arayüzü kendinden imzalı sertifikaları reddeder.
- Aşağıdaki komutu çalıştırarak Edge kullanıcı arayüzünü yeniden başlatın:
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Yönetim Sunucusu için TLS özellikleri
Aşağıdaki tabloda, management-server.properties
ürününde ayarlayabileceğiniz tüm TLS/SSL özellikleri listelenmiştir:
Özellikler | Açıklama |
---|---|
|
Varsayılan değer 8080'dir. |
|
TLS/SSL'yi etkinleştirmek/devre dışı bırakmak için TLS/SSL etkinken (true) ssl.port ve keystore.path özelliklerini de ayarlamanız gerekir. |
|
https ile birlikte http'yi etkinleştirmek/devre dışı bırakmak için. Yalnızca HTTPS kullanmak istiyorsanız varsayılan değeri |
|
TLS/SSL bağlantı noktası. TLS/SSL etkinleştirildiğinde gereklidir ( |
|
Anahtar deposu dosyanızın yolu. TLS/SSL etkinleştirildiğinde gereklidir ( |
|
Şu biçimde karartılmış bir şifre kullanın: OBF:xxxxxxxxxx |
|
İsteğe bağlı anahtar deposu sertifikası takma adı |
|
Anahtar yöneticinizin şifresi varsa şifrenin gizlenmiş bir sürümünü şu biçimde girin: OBF:xxxxxxxxxx |
|
Güven deponuzun ayarlarını yapılandırın. Tüm TLS/SSL sertifikalarını kabul etmek (örneğin, standart olmayan türleri kabul etmek) isteyip istemediğinizi belirleyin. Varsayılan değer: OBF:xxxxxxxxxx |
|
Dahil etmek veya hariç tutmak istediğiniz şifre paketlerini belirtin. Örneğin, bir şifrede güvenlik açığı bulursanız buradan hariç tutabilirsiniz. Birden çok şifreyi virgülle ayırın. Kara liste aracılığıyla kaldırdığınız şifreler, beyaz listeye eklenen tüm şifrelere göre öncelikli olur. Not: Varsayılan olarak, bir kara liste veya beyaz liste belirtilmezse aşağıdaki Java normal ifadesiyle eşleşen şifreler varsayılan olarak hariç tutulur. ^.*_(MD5|SHA|SHA1)$ ^TLS_RSA_.*$ ^SSL_.*$ ^.*_NULL_.*$ ^.*_anon_.*$ Bununla birlikte, bir kara liste belirtirseniz bu filtre geçersiz kılınır ve tüm şifreleri tek tek kara listeye almanız gerekir. Şifre paketleri ve kriptografi mimarisi hakkında bilgi edinmek için JDK 8 için Java Kriptografi Mimarisi Oracle Sağlayıcılar Belgeleri'ne bakın. |
|
Şunları belirleyen tam sayılar:
|