Konfigurowanie protokołu TLS dla interfejsu API zarządzania

Domyślnie protokół TLS jest wyłączony w przypadku interfejsu Management API, a dostęp do interfejsu Edge Management API uzyskujesz przez HTTP przy użyciu adresu IP węzła serwera zarządzania i portu 8080. Na przykład:

http://ms_IP:8080

Możesz też skonfigurować dostęp TLS do interfejsu API zarządzania, aby mieć do niego dostęp w formularz:

https://ms_IP:8443

W tym przykładzie skonfigurujesz dostęp TLS tak, aby używał portu 8443. Ten numer portu nie jest jednak wymagane przez serwer Edge – możesz skonfigurować serwer zarządzania tak, aby używał innych wartości portów. Jedyna wymaganiem jest, aby zapora sieciowa zezwalała na ruch przez określony port.

Aby zapewnić szyfrowanie ruchu przychodzącego i wychodzącego z interfejsu API zarządzania, skonfiguruj ustawienia /opt/apigee/customer/application/management-server.properties .

Oprócz konfiguracji TLS możesz też kontrolować weryfikację hasła (długość hasła, i siłę), modyfikując plik management-server.properties.

Sprawdź, czy port TLS jest otwarty

Procedura opisana w tej sekcji pozwala skonfigurować protokół TLS tak, aby używał portu 8443 na serwerze zarządzania. Niezależnie od używanego portu musisz sprawdzić, czy port jest otwarty w sekcji zarządzania Serwer Możesz na przykład otworzyć je za pomocą tego polecenia:

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose

Konfigurowanie TLS

Edytuj /opt/apigee/customer/application/management-server.properties w celu kontrolowania użycia protokołu TLS w ruchu do i z interfejsu API zarządzania. Jeśli ten plik nie istnieje, i ją utworzyć.

Aby skonfigurować dostęp TLS do interfejsu API zarządzania:

  1. Wygeneruj plik JKS magazynu kluczy zawierający certyfikat TLS i klucz prywatny. Więcej Więcej informacji znajdziesz w artykule Konfigurowanie TLS/SSL w Edge On Premises (w języku angielskim).
  2. Skopiuj plik JKS magazynu kluczy do katalogu w węźle serwera zarządzania, na przykład jako /opt/apigee/customer/application.
  3. Zmień własność pliku JKS na „apigee” użytkownik: 
    chown apigee:apigee keystore.jks

    Gdzie keystore.jks to nazwa pliku magazynu kluczy.

  4. Edytuj /opt/apigee/customer/application/management-server.properties na potrzeby skonfigurowania tych właściwości. Jeśli plik nie istnieje, utwórz go: 
    conf_webserver_ssl.enabled=true
# Leave conf_webserver_http.turn.off set to false
# because many Edge internal calls use HTTP.
conf_webserver_http.turn.off=false
conf_webserver_ssl.port=8443
conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks
# Enter the obfuscated keystore password below.
conf_webserver_keystore.password=OBF:obfuscatedPassword

    Gdzie keyStore.jks to plik magazynu kluczy, obfuscatedPassword to zaciemnione hasło magazynu kluczy. Zobacz Konfigurowanie TLS/SSL dla usługi Edge On dla domeny jak wygenerować zaciemnione hasło.

  5. Ponownie uruchom serwer zarządzania brzegiem serwera za pomocą polecenia: 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Interfejs API zarządzania obsługuje teraz dostęp przez protokół TLS.

Konfigurowanie interfejsu Edge tak, aby uzyskiwać dostęp przy użyciu protokołu TLS interfejs Edge API

W ramach powyższej procedury Apigee zaleca opuszczenie strony conf_webserver_http.turn.off=false, tak aby interfejs Edge może nadal wywoływać interfejs Edge API przez HTTP.

Wykonaj poniższe czynności, aby skonfigurować interfejs Edge, aby wykonywać te wywołania tylko przez HTTPS:

  1. Skonfiguruj dostęp TLS do interfejsu API zarządzania w sposób opisany powyżej.
  2. Gdy potwierdzisz, że protokół TLS działa dla interfejsu API zarządzania, wprowadź zmiany /opt/apigee/customer/application/management-server.properties do ustaw tę właściwość: 
    conf_webserver_http.turn.off=true
  3. Ponownie uruchom serwer zarządzania brzegiem, wykonując to polecenie: 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
  4. Edytuj /opt/apigee/customer/application/ui.properties ustaw tę właściwość interfejsu Edge: 
    conf_apigee_apigee.mgmt.baseurl="https://FQ_domain_name:port/v1"

    Gdzie FQ_domain_name to pełna nazwa domeny, zgodnie z certyfikatem. adresu serwera zarządzania, a port to port określony powyżej przez conf_webserver_ssl.port

    Jeśli plik ui.properties nie istnieje, utwórz go.

  5. Tylko w przypadku korzystania z certyfikatu podpisanego samodzielnie (niezalecane w wersji produkcyjnej (środowisko), podczas konfigurowania dostępu TLS do interfejsu zarządzania API powyżej dodaj tę usługę do usługi ui.properties: 
    conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true

    W przeciwnym razie interfejs Edge odrzuci certyfikat podpisany samodzielnie.

  6. Ponownie uruchom interfejs Edge, wykonując to polecenie: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

Właściwości TLS serwera zarządzania

Poniższa tabela zawiera wszystkie właściwości TLS/SSL, które możesz ustawić management-server.properties:

Właściwości Opis

conf_webserver_http.port=8080

Wartość domyślna to 8080.

conf_webserver_ssl.enabled=false

Aby włączyć lub wyłączyć TLS/SSL. Gdy protokół TLS/SSL jest włączony (prawda), musisz też ustawić atrybut ssl.port i keystore.path.

conf_webserver_http.turn.off=true

Aby włączyć lub wyłączyć protokół HTTP razem z https. Jeśli chcesz używać tylko protokołu HTTPS, pozostaw pole domyślna wartość to true.

conf_webserver_ssl.port=8443

Port TLS/SSL.

Wymagane, gdy włączone jest szyfrowanie TLS/SSL (conf_webserver_ssl.enabled=true).

conf_webserver_keystore.path=path

Ścieżka do pliku magazynu kluczy.

Wymagane, gdy włączone jest szyfrowanie TLS/SSL (conf_webserver_ssl.enabled=true).

conf_webserver_keystore.password=password

Użyj zaciemnionego hasła w formacie OBF:xxxxxxxxxx

conf_webserver_cert.alias=alias

Opcjonalny alias certyfikatu magazynu kluczy

conf_webserver_keymanager.password=password

Jeśli menedżer kluczy ma hasło, wpisz zaciemnioną wersję hasła w format:

OBF:xxxxxxxxxx

conf_webserver_trust.all=[false | true]

conf_webserver_trust.store.path=path

conf_webserver_trust.store.password=password

Skonfiguruj ustawienia magazynu zaufania. Zdecyduj, czy chcesz zaakceptować wszystkie Certyfikaty TLS/SSL (np. do akceptowania typów niestandardowych). Wartość domyślna to false. Podaj ścieżkę do magazynu zaufania i wpisz zaciemnione hasło tego magazynu w tym formacie:

OBF:xxxxxxxxxx

conf_http_HTTPTransport.ssl.cipher.suites.blacklist=CIPHER_SUITE_1, CIPHER_SUITE_2

conf_http_HTTPTransport.ssl.cipher.suites.whitelist=

Wskaż zestawy szyfrów, które chcesz uwzględnić lub wykluczyć. Jeśli na przykład wykryć lukę w zabezpieczeniach za pomocą algorytmu, możesz ją tutaj wykluczyć. Rozdziel mechanizmy szyfrowania przecinkami.

Mechanizmy szyfrowania usunięte z czarnej listy mają pierwszeństwo przed tymi, które zostały uwzględnione z białej listy.

Uwaga: domyślnie, jeśli nie określono żadnej czarnej ani białej listy, mechanizmy szyfrowania poniższe wyrażenie regularne w Javie są domyślnie wykluczone.

^.*_(MD5|SHA|SHA1)$
^TLS_RSA_.*$
^SSL_.*$
^.*_NULL_.*$
^.*_anon_.*$

Jeśli jednak określisz czarną listę, ten filtr zostanie zastąpiony i musisz oddzielnie umieścić na czarnej liście wszystkie mechanizmy szyfrowania.

Informacje na temat zestawów szyfrów i architektury kryptografii można znaleźć na stronie Dokumentacja dostawców Oracle w architekturze Java Cryptography Architecture dla JDK 8

conf_webserver_ssl.session.cache.size=

conf_webserver_ssl.session.timeout=

Liczba całkowita określająca:

  • Rozmiar pamięci podręcznej sesji TLS/SSL (w bajtach), która jest używana do przechowywania informacji o sesji dla wielu klientów.
  • Czas trwania sesji TLS/SSL przed upływem limitu czasu (w milisekund).