Par défaut, le protocole TLS est désactivé pour l'API de gestion, et vous accédez à l'API de gestion Edge via HTTP en utilisant l'adresse IP du nœud du serveur de gestion et le port 8080. Exemple :
http://ms_IP:8080
Vous pouvez également configurer l'accès TLS à l'API de gestion pour y accéder sous la forme suivante:
https://ms_IP:8443
Dans cet exemple, vous configurez l'accès TLS pour utiliser le port 8443. Cependant, ce numéro de port n'est pas requis par Edge - vous pouvez configurer le serveur de gestion pour utiliser d'autres valeurs de port. La seule condition requise est que votre pare-feu autorise le trafic sur le port spécifié.
Pour garantir le chiffrement du trafic à destination et en provenance de votre API de gestion, configurez les paramètres dans le fichier /opt/apigee/customer/application/management-server.properties
.
En plus de la configuration TLS, vous pouvez également contrôler la validation des mots de passe (longueur et niveau de sécurité du mot de passe) en modifiant le fichier management-server.properties
.
Assurez-vous que votre port TLS est ouvert
La procédure de cette section permet de configurer le protocole TLS de sorte qu'il utilise le port 8443 sur le serveur de gestion. Quel que soit le port que vous utilisez, vous devez vous assurer qu'il est ouvert sur le serveur de gestion. Par exemple, vous pouvez utiliser la commande suivante pour l'ouvrir:
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose
Configurer TLS
Modifiez le fichier /opt/apigee/customer/application/management-server.properties
pour contrôler l'utilisation de TLS sur le trafic à destination et en provenance de votre API de gestion. Si ce fichier n'existe pas, créez-le.
Pour configurer l'accès TLS à l'API de gestion:
- Générez le fichier JKS du keystore contenant votre certification TLS et votre clé privée. Pour en savoir plus, consultez la section Configurer TLS/SSL pour Edge On Premises.
- Copiez le fichier JKS du keystore dans un répertoire du nœud du serveur de gestion, par exemple
/opt/apigee/customer/application
. - Remplacez la propriété du fichier JKS par l'utilisateur "apigee" :
chown apigee:apigee keystore.jks
Où keystore.jks est le nom de votre fichier keystore.
- Modifiez
/opt/apigee/customer/application/management-server.properties
pour définir les propriétés suivantes. Si ce fichier n'existe pas, créez-le :conf_webserver_ssl.enabled=true # Leave conf_webserver_http.turn.off set to false # because many Edge internal calls use HTTP. conf_webserver_http.turn.off=false conf_webserver_ssl.port=8443 conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks # Enter the obfuscated keystore password below. conf_webserver_keystore.password=OBF:obfuscatedPassword
Où keyStore.jks correspond à votre fichier keystore et obfuscatedPassword correspond à votre mot de passe keystore obscurci. Pour en savoir plus sur la génération d'un mot de passe obscurci, consultez la section Configurer TLS/SSL pour Edge On Premises.
- Redémarrez le serveur de gestion Edge à l'aide de la commande suivante :
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
L'API de gestion prend désormais en charge l'accès via TLS.
Configurez l'interface utilisateur Edge pour utiliser TLS afin d'accéder à l'API Edge
Dans la procédure ci-dessus, Apigee a recommandé de laisser conf_webserver_http.turn.off=false
afin que l'interface utilisateur Edge puisse continuer à effectuer des appels d'API Edge via HTTP.
Utilisez la procédure suivante pour configurer l'interface utilisateur Edge afin d'effectuer ces appels via HTTPS uniquement:
- Configurez l'accès TLS à l'API de gestion comme décrit ci-dessus.
- Après avoir vérifié que le protocole TLS fonctionne pour l'API de gestion, modifiez
/opt/apigee/customer/application/management-server.properties
pour définir la propriété suivante :conf_webserver_http.turn.off=true
- Redémarrez le serveur de gestion Edge en exécutant la commande suivante :
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- Modifiez
/opt/apigee/customer/application/ui.properties
pour définir la propriété suivante pour l'interface utilisateur Edge :conf_apigee_apigee.mgmt.baseurl="https://FQ_domain_name:port/v1"
Où FQ_domain_name correspond au nom de domaine complet, conformément à l'adresse de certificat du serveur de gestion, et port est le port spécifié ci-dessus par
conf_webserver_ssl.port
.Si ui.properties n'existe pas, créez-le.
- Uniquement si vous avez utilisé un certificat autosigné (non recommandé dans un environnement de production) lors de la configuration de l'accès TLS à l'API de gestion ci-dessus, ajoutez la propriété suivante à
ui.properties
:conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true
Sinon, l'interface utilisateur Edge rejette un certificat autosigné.
- Redémarrez l'interface utilisateur Edge en exécutant la commande suivante :
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Propriétés TLS pour le serveur de gestion
Le tableau suivant répertorie toutes les propriétés TLS/SSL que vous pouvez définir dans management-server.properties
:
Propriétés | Description |
---|---|
|
La valeur par défaut est 8080. |
|
Pour activer/désactiver TLS/SSL Lorsque TLS/SSL est activé (true), vous devez également définir les propriétés ssl.port et keystore.path. |
|
Permet d'activer ou de désactiver http avec https. Si vous souhaitez n'utiliser que le protocole HTTPS, conservez la valeur par défaut |
|
Port TLS/SSL. Obligatoire lorsque TLS/SSL est activé ( |
|
Chemin d'accès à votre fichier keystore. Obligatoire lorsque TLS/SSL est activé ( |
|
Utilisez un mot de passe obscurci au format suivant: OBF:xxxxxxxxxx. |
|
Alias de certificat keystore facultatif |
|
Si votre gestionnaire de clés dispose d'un mot de passe, saisissez une version obscurcie du mot de passe au format suivant: OBF:xxxxxxxxxx |
|
Configurez les paramètres de votre magasin de confiance. Déterminez si vous souhaitez accepter tous les certificats TLS/SSL (par exemple, des types non standards). La valeur par défaut est OBF:xxxxxxxxxx |
|
Indiquez les suites de chiffrement que vous souhaitez inclure ou exclure. Par exemple, si vous découvrez une faille dans un algorithme de chiffrement, vous pouvez l'exclure ici. Séparez les différents algorithmes de chiffrement par une virgule. Les algorithmes de chiffrement que vous supprimez via la liste noire prévalent sur ceux inclus dans la liste blanche. Remarque:Si aucune liste noire ou liste blanche n'est spécifiée, les algorithmes de chiffrement correspondant à l'expression régulière Java suivante sont exclus. ^.*_(MD5|SHA|SHA1)$ ^TLS_RSA_.*$ ^SSL_.*$ ^.*_NULL_.*$ ^.*_anon_.*$ Toutefois, si vous spécifiez une liste noire, ce filtre est ignoré et vous devez ajouter tous les algorithmes de chiffrement individuellement. Pour en savoir plus sur les suites de chiffrement et l'architecture de cryptographie, consultez la documentation sur les fournisseurs Oracle de l'architecture de cryptographie Java pour JDK 8. |
|
Entiers qui déterminent:
|