为 Management API 配置 TLS

默认情况下,Management API 的 TLS 处于停用状态,您可以使用管理服务器节点的 IP 地址和端口 8080 通过 HTTP 访问 Edge Management API。例如:

http://ms_IP:8080

或者,您也可以配置对 Management API 的 TLS 访问,以便通过以下方式对其进行访问:

https://ms_IP:8443

在此示例中,配置 TLS 访问以使用端口 8443。但是,边缘不需要该端口号,您可以将管理服务器配置为使用其他端口值。唯一的要求是您的防火墙允许通过指定端口传输流量。

为确保传入和传出 Management API 的流量加密,请在 /opt/apigee/customer/application/management-server.properties 文件中配置设置。

除了 TLS 配置之外,您还可以通过修改 management-server.properties 文件来控制密码验证(密码长度和强度)。

确保您的 TLS 端口已打开

本部分的过程将 TLS 配置为使用管理服务器上的端口 8443。 无论您使用哪个端口,都必须确保该端口在管理服务器上是开放的。例如,您可以使用以下命令将其打开:

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose

配置 TLS

修改 /opt/apigee/customer/application/management-server.properties 文件以控制进出 Management API 的流量的 TLS 使用情况。如果此文件不存在,请创建一个。

如要配置对 Management API 的 TLS 访问权限,请执行以下操作

  1. 生成包含 TLS 证书和私钥的密钥库 JKS 文件。如需了解详情,请参阅为 Edge On Premises 配置 TLS/SSL
  2. 将密钥库 JKS 文件复制到 Management Server 节点上的目录,例如 /opt/apigee/customer/application
  3. 将 JKS 文件的所有权更改为“apigee”用户:
    chown apigee:apigee keystore.jks

    其中,keystore.jks 是您的密钥库文件的名称。

  4. 修改 /opt/apigee/customer/application/management-server.properties 以设置以下属性。如果该文件不存在,请创建一个:
    conf_webserver_ssl.enabled=true
    # Leave conf_webserver_http.turn.off set to false
    # because many Edge internal calls use HTTP.
    conf_webserver_http.turn.off=false
    conf_webserver_ssl.port=8443
    conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks
    # Enter the obfuscated keystore password below.
    conf_webserver_keystore.password=OBF:obfuscatedPassword

    其中,keyStore.jks 是您的密钥库文件,obfuscatedPassword 是您的经过混淆处理的密钥库密码。如需了解如何生成混淆密码,请参阅为 Edge On Premises 配置 TLS/SSL

  5. 使用以下命令重启边缘管理服务器:
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Management API 现在支持通过 TLS 进行访问。

将 Edge 界面配置为使用 TLS 访问 Edge API

在上述过程中,Apigee 建议离开 conf_webserver_http.turn.off=false,以便 Edge 界面可以继续通过 HTTP 进行 Edge API 调用。

请按以下步骤将 Edge 界面配置为仅通过 HTTPS 进行这些调用:

  1. 按照上述方法配置对 Management API 的 TLS 访问权限。
  2. 确认 Management API 的 TLS 可以正常运行后,请修改 /opt/apigee/customer/application/management-server.properties 以设置以下属性:
    conf_webserver_http.turn.off=true
  3. 通过执行以下命令重启边缘管理服务器:
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart 
  4. 修改 /opt/apigee/customer/application/ui.properties,为 Edge 界面设置以下属性:
    conf_apigee_apigee.mgmt.baseurl="https://FQ_domain_name:port/v1"

    其中,FQ_domain_name 是根据您的管理服务器证书地址确定的完整域名,而 port 是上面由 conf_webserver_ssl.port 指定的端口。

    如果 ui.properties 不存在,请创建一个。

  5. 仅当您在配置对上述 Management API 的 TLS 访问时,使用了自签名证书(不建议在生产环境中使用),才将以下属性添加到 ui.properties
    conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true

    否则,Edge 界面会拒绝自签名证书。

  6. 执行以下命令,重启 Edge 界面:
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

管理服务器的 TLS 属性

下表列出了您可以在 management-server.properties 中设置的所有 TLS/SSL 属性:

属性 说明

conf_webserver_http.port=8080

默认值为 8080。

conf_webserver_ssl.enabled=false

启用/停用 TLS/SSL。启用 TLS/SSL (true) 后,您还必须设置 ssl.port 和 keystore.path 属性。

conf_webserver_http.turn.off=true

启用/停用 http 和 https。如果您只想使用 HTTPS,请将默认值保留为 true

conf_webserver_ssl.port=8443

TLS/SSL 端口。

如果启用了 TLS/SSL (conf_webserver_ssl.enabled=true),则必须选择此项。

conf_webserver_keystore.path=path

密钥库文件的路径。

如果启用了 TLS/SSL (conf_webserver_ssl.enabled=true),则必须选择此项。

conf_webserver_keystore.password=password

请使用以下格式的混淆密码:OBF:xxxxxxxxxx

conf_webserver_cert.alias=alias

可选的密钥库证书别名

conf_webserver_keymanager.password=password

如果您的密钥管理器有密码,请按以下格式输入经过混淆处理的密码版本:

OBF:xxxxxxxxxx

conf_webserver_trust.all=[false | true]

conf_webserver_trust.store.path=path

conf_webserver_trust.store.password=password

为您的可信存储区配置设置。确定是否要接受所有 TLS/SSL 证书(例如,接受非标准类型)。默认值为 false。提供信任存储区的路径,并按以下格式输入经过混淆处理的信任存储区密码:

OBF:xxxxxxxxxx

conf_http_HTTPTransport.ssl.cipher.suites.blacklist=CIPHER_SUITE_1, CIPHER_SUITE_2

conf_http_HTTPTransport.ssl.cipher.suites.whitelist=

指明要包含或排除的任何加密套件。例如,如果您在密码中发现漏洞,可以在此处将其排除。请用英文逗号分隔多个加密。

您通过黑名单移除的任何加密方式都将优先于白名单中包含的所有加密方式。

注意:默认情况下,如果未指定黑名单或白名单,则默认排除与以下 Java 正则表达式匹配的密码。

^.*_(MD5|SHA|SHA1)$
^TLS_RSA_.*$
^SSL_.*$
^.*_NULL_.*$
^.*_anon_.*$

但是,如果您指定了黑名单,则此过滤条件会被替换,您必须单独将所有加密算法列入黑名单。

如需了解加密套件和加密架构,请参阅 JDK 8 的 Java 加密架构 Oracle 提供程序文档

conf_webserver_ssl.session.cache.size=

conf_webserver_ssl.session.timeout=

用于确定以下内容的整数:

  • 用于存储多个客户端的会话信息的 TLS/SSL 会话缓存大小(以字节为单位)。
  • TLS/SSL 会话在超时前可以持续的时长(以毫秒为单位)。