Theo mặc định, TLS sẽ bị tắt cho API quản lý và bạn có thể truy cập vào API Quản lý Edge qua HTTP bằng cách sử dụng địa chỉ IP của nút Máy chủ quản lý và cổng 8080. Ví dụ:
http://ms_IP:8080
Ngoài ra, bạn có thể định cấu hình quyền truy cập TLS vào API quản lý để có thể truy cập vào API đó dưới dạng như sau:
https://ms_IP:8443
Trong ví dụ này, bạn định cấu hình quyền truy cập TLS để sử dụng cổng 8443. Tuy nhiên, Edge không yêu cầu số cổng đó – bạn có thể định cấu hình Máy chủ quản lý để sử dụng các giá trị cổng khác. Yêu cầu duy nhất là tường lửa của bạn phải cho phép lưu lượng truy cập qua cổng đã chỉ định.
Để đảm bảo việc mã hoá lưu lượng truy cập đến và đi từ API quản lý, hãy định cấu hình các chế độ cài đặt trong tệp /opt/apigee/customer/application/management-server.properties
.
Ngoài cấu hình TLS, bạn cũng có thể kiểm soát tính năng xác thực mật khẩu (độ dài và độ mạnh của mật khẩu) bằng cách sửa đổi tệp management-server.properties
.
Đảm bảo rằng cổng TLS (Bảo mật tầng truyền tải) đang mở
Quy trình trong phần này sẽ định cấu hình TLS để sử dụng cổng 8443 trên Máy chủ quản lý. Bất kể bạn sử dụng cổng nào, bạn phải đảm bảo rằng cổng đó đã được mở trên Máy chủ quản lý. Ví dụ: bạn có thể dùng lệnh sau để mở tệp:
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose
Định cấu hình TLS
Chỉnh sửa tệp /opt/apigee/customer/application/management-server.properties
để kiểm soát việc sử dụng TLS cho lưu lượng truy cập đến và đi từ API quản lý của bạn. Nếu tệp này chưa có, hãy tạo tệp.
Cách định cấu hình quyền truy cập TLS vào API quản lý:
- Tạo tệp JKS của kho khoá có chứa chứng chỉ TLS và khoá riêng tư của bạn. Để biết thêm thông tin, hãy xem bài viết Định cấu hình TLS/SSL cho Edge trên cơ sở.
- Sao chép tệp JKS của kho khoá vào một thư mục trên nút Máy chủ quản lý, chẳng hạn như
/opt/apigee/customer/application
. - Thay đổi quyền sở hữu tệp JKS thành người dùng "apigee":
chown apigee:apigee keystore.jks
Trong đó keystore.jks là tên tệp kho khoá của bạn.
- Chỉnh sửa
/opt/apigee/customer/application/management-server.properties
để thiết lập các thuộc tính sau. Nếu tệp đó không tồn tại, hãy tạo tệp:conf_webserver_ssl.enabled=true # Leave conf_webserver_http.turn.off set to false # because many Edge internal calls use HTTP. conf_webserver_http.turn.off=false conf_webserver_ssl.port=8443 conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks # Enter the obfuscated keystore password below. conf_webserver_keystore.password=OBF:obfuscatedPassword
Trong đó keyStore.jks là tệp kho khoá của bạn và obfuscatedPassword là mật khẩu kho khoá bị làm rối mã nguồn của bạn. Xem bài viết Định cấu hình TLS/SSL cho Edge trên cơ sở để biết thông tin về cách tạo mật khẩu bị làm rối mã nguồn.
- Khởi động lại Máy chủ quản lý cạnh bằng cách dùng lệnh:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
API quản lý hiện hỗ trợ quyền truy cập qua TLS.
Định cấu hình giao diện người dùng Edge để sử dụng TLS nhằm truy cập vào API Edge
Trong quy trình trên, Apigee bạn nên rời khỏi conf_webserver_http.turn.off=false
để giao diện người dùng Edge có thể tiếp tục thực hiện lệnh gọi API Edge qua HTTP.
Hãy sử dụng quy trình sau đây để định cấu hình giao diện người dùng Edge nhằm chỉ thực hiện các lệnh gọi này qua HTTPS:
- Định cấu hình quyền truy cập TLS vào API quản lý theo mô tả ở trên.
- Sau khi xác nhận rằng TLS đang hoạt động cho API quản lý, hãy chỉnh sửa
/opt/apigee/customer/application/management-server.properties
để thiết lập thuộc tính sau:conf_webserver_http.turn.off=true
- Khởi động lại Máy chủ quản lý cạnh bằng cách thực thi lệnh sau:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- Chỉnh sửa
/opt/apigee/customer/application/ui.properties
để đặt thuộc tính sau cho giao diện người dùng Edge:conf_apigee_apigee.mgmt.baseurl="https://FQ_domain_name:port/v1"
Trong đó FQ_domain_name là tên miền đầy đủ, theo địa chỉ chứng chỉ của bạn của Máy chủ quản lý và port là cổng được
conf_webserver_ssl.port
chỉ định ở trên.Nếu chưa có, hãy tạo ui.properties.
- Chỉ khi bạn sử dụng chứng chỉ tự ký (không nên dùng trong môi trường phát hành công khai) khi định cấu hình quyền truy cập TLS vào API quản lý ở trên, hãy thêm thuộc tính sau vào
ui.properties
:conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true
Nếu không, giao diện người dùng Edge sẽ từ chối chứng chỉ tự ký.
- Khởi động lại giao diện người dùng Edge bằng cách thực thi lệnh sau:
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Thuộc tính TLS cho Máy chủ quản lý
Bảng sau đây liệt kê tất cả các thuộc tính TLS/SSL mà bạn có thể thiết lập trong management-server.properties
:
Thuộc tính | Nội dung mô tả |
---|---|
|
Mặc định là 8080. |
|
Để bật/tắt TLS/SSL. Khi bật TLS/SSL (đúng), bạn cũng phải đặt các thuộc tính SSL.port và kho khoá.path. |
|
Để bật/tắt http cùng với https. Nếu bạn chỉ muốn sử dụng HTTPS, hãy để nguyên giá trị mặc định là |
|
Cổng TLS/SSL. Bắt buộc khi TLS/SSL được bật ( |
|
Đường dẫn đến tệp kho khoá của bạn. Bắt buộc khi TLS/SSL được bật ( |
|
Sử dụng mật khẩu bị làm rối mã nguồn theo định dạng sau: OBF:xxxxxxxxxx |
|
Bí danh chứng chỉ kho khoá không bắt buộc |
|
Nếu trình quản lý khoá của bạn có mật khẩu, hãy nhập phiên bản mật khẩu đã bị làm rối mã nguồn theo định dạng sau: OBF:xxxxxxxxxx |
|
Định cấu hình chế độ cài đặt cho kho lưu trữ uy tín. Xác định xem bạn có muốn chấp nhận tất cả
chứng chỉ TLS/SSL hay không (ví dụ: để chấp nhận các loại không chuẩn). Giá trị mặc định là
OBF:xxxxxxxxxx |
|
Cho biết mọi bộ thuật toán mật mã mà bạn muốn bao gồm hoặc loại trừ. Ví dụ: nếu phát hiện lỗ hổng bảo mật trong thuật toán mật mã, bạn có thể loại trừ lỗ hổng đó tại đây. Phân tách nhiều thuật toán mật mã bằng dấu phẩy. Mọi thuật toán mật mã bạn xoá qua danh sách cấm sẽ được ưu tiên hơn mọi thuật toán mật mã có trong danh sách cho phép. Lưu ý: Theo mặc định, nếu không có danh sách cấm hoặc danh sách cho phép nào được chỉ định, thì những thuật toán mật mã khớp với biểu thức chính quy Java sau đây sẽ bị loại trừ theo mặc định. ^.*_(MD5|SHA|SHA1)$ ^TLS_RSA_.*$ ^SSL_.*$ ^.*_NULL_.*$ ^.*_anon_.*$ Tuy nhiên, nếu bạn chỉ định một danh sách cấm, thì bộ lọc này sẽ bị ghi đè và bạn phải đưa tất cả các thuật toán mật mã vào danh sách cấm. Để biết thông tin về các bộ cypher và kiến trúc mã hoá, hãy xem Tài liệu về nhà cung cấp kiến trúc mật mã Java của Oracle cho JDK 8. |
|
Số nguyên xác định:
|