De forma predeterminada, se accede a la IU de Edge a través de HTTP con la dirección IP de la Nodo y puerto 9000 del servidor de administración. Por ejemplo:
http://ms_IP:9000
De manera alternativa, puedes configurar el acceso TLS a la IU de Edge para poder acceder a él el formulario:
https://ms_IP:9443
En este ejemplo, se configura el acceso TLS para usar el puerto 9443. Sin embargo, ese número de puerto no es que requiere Edge. Puedes configurar el servidor de administración para que use otros valores de puerto. El único es que tu firewall permita el tráfico en el puerto especificado.
Asegúrate de que el puerto TLS esté abierto
El procedimiento de esta sección configura TLS para usar el puerto 9443 en el servidor de administración. Sin importar el puerto que uses, debes asegurarte de que esté abierto en la consola de administración Servidor. Por ejemplo, puedes usar el siguiente comando para abrirlo:
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose
Configura TLS
Usa el siguiente procedimiento para configurar el acceso TLS a la IU de administración:
- Genera el archivo JKS del almacén de claves que contiene tu certificación TLS y tu clave privada, y copia en el nodo del servidor de administración. Si deseas obtener más información, consulta Configura TLS/SSL para Edge On-Local.
- Ejecuta el siguiente comando para configurar TLS:
/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl
- Ingresa el número de puerto HTTPS, por ejemplo, 9443.
- Especifica si deseas inhabilitar el acceso HTTP a la IU de administración. De forma predeterminada, el administrador Se puede acceder a la IU a través de HTTP en el puerto 9000.
- Ingresa el algoritmo del almacén de claves. El valor predeterminado es JKS.
- Ingresa la ruta de acceso absoluta al archivo JKS del almacén de claves.
La secuencia de comandos copia el archivo en el directorio
/opt/apigee/customer/conf
del Management Server y cambia la propiedad del archivo a “apigee”. - Ingresa la contraseña del almacén de claves en texto no encriptado.
- Luego, la secuencia de comandos reinicia la IU de administración de Edge. Después del reinicio, la IU de administración
admite el acceso a través de TLS.
Puedes ver estos parámetros de configuración en
/opt/apigee/etc/edge-ui.d/SSL.sh
.
Usa un archivo de configuración para configurar TLS
Como alternativa al procedimiento anterior, puedes pasar un archivo de configuración al comando en el paso 2 del procedimiento. Deberás usar este método si quieres configura propiedades opcionales de TLS.
Para usar un archivo de configuración, crea un archivo nuevo y agrega las siguientes propiedades:
HTTPSPORT=9443 DISABLE_HTTP=y KEY_ALGO=JKS KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks KEY_PASS=clearTextKeystorePWord
Guarda el archivo en un directorio local con el nombre que desees. Luego, usa el siguiente comando para configurar TLS:
/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile
En el ejemplo anterior, configFile es la ruta completa al archivo que guardaste.
Configurar la IU de Edge cuando TLS finaliza en el balanceador de cargas
Si tienes un balanceador de cargas que reenvía solicitudes a la IU de Edge, puedes optar por finalizar la conexión TLS en el balanceador de cargas y, luego, hacer que este reenvíe a la IU de Edge a través de HTTP. Esta configuración es compatible, pero debes establecer la balanceador de cargas y a la IU de Edge según corresponda.
La configuración adicional es obligatoria cuando la IU de Edge envía correos electrónicos a los usuarios para establecer su cuando se crea el usuario o cuando solicita restablecer una contraseña perdida. Este correo electrónico contiene una URL que el usuario selecciona para establecer o restablecer una contraseña. De forma predeterminada, si la IU de Edge está no está configurada para usar TLS, la URL del correo electrónico generado usa el protocolo HTTP y no HTTPS. Debes configurar el balanceador de cargas y la IU de Edge para generar una dirección de correo electrónico que use HTTPS
Para configurar el balanceador de cargas, asegúrate de que establezca el siguiente encabezado en las solicitudes reenviadas. a la IU de Edge:
X-Forwarded-Proto: https
Para configurar la IU de Edge, sigue estos pasos:
- Abrir
/opt/apigee/customer/application/ui.properties
en un editor. Si el archivo no existe, créalo:vi /opt/apigee/customer/application/ui.properties
- Configura la siguiente propiedad en
ui.properties
:conf/application.conf+trustxforwarded=true
- Guarda los cambios en
ui.properties
. - Reinicia la IU de Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Configura propiedades opcionales de TLS
La IU de Edge admite propiedades de configuración opcionales de TLS que puedes usar para configurar lo siguiente:
- Protocolo TLS predeterminado
- Lista de protocolos TLS compatibles
- Algoritmos de TLS compatibles
- Cifrados de TLS admitidos
Estos parámetros opcionales solo están disponibles cuando estableces la siguiente propiedad de configuración en el archivo de configuración, como se describe en Usa un archivo de configuración para configurar TLS:
TLS_CONFIGURE=y
En la siguiente tabla, se describen estas propiedades:
Propiedad | Descripción |
---|---|
TLS_PROTOCOL
|
Define el protocolo TLS predeterminado para la IU de Edge. De forma predeterminada, es TLS 1.2. Los valores válidos son TLSv1.2, TLSv1.1 y TLSv1. |
TLS_ENABLED_PROTOCOL
|
Define la lista de protocolos habilitados como un array separado por comas. Por ejemplo: TLS_ENABLED_PROTOCOL=[\"TLSv1.2\", \"TLSv1.1\", \"TLSv1\"] Observa que se debe escapar el símbolo " carácter.
De forma predeterminada, todos los protocolos están habilitados. |
TLS_DISABLED_ALGO
|
Define los conjuntos de algoritmos de cifrado inhabilitados y también se puede usar para evitar que se usen claves pequeñas para el protocolo de enlace TLS. No hay un valor predeterminado. Los valores que se pasan a
TLS_DISABLED_ALGO=EC\ keySize\ <\ 160,RSA\ keySize\ <\ 2048 |
TLS_ENABLED_CIPHERS
|
Define la lista de cifrados de TLS disponibles como un array separado por comas. Por ejemplo: TLS_ENABLED_CIPHERS=[\"TLS_DHE_RSA_WITH_AES_128_CBC_SHA\", \"TLS_DHE_DSS_WITH_AES_128_CBC_SHA\"] Observa que se debe escapar el símbolo " carácter.
Esta es la lista predeterminada de los algoritmos de cifrado habilitados: "TLS_DHE_RSA_WITH_AES_256_CBC_SHA", "TLS_DHE_RSA_WITH_AES_128_CBC_SHA", "TLS_DHE_DSS_WITH_AES_128_CBC_SHA", "TLS_RSA_WITH_AES_256_CBC_SHA", "TLS_RSA_WITH_AES_128_CBC_SHA", "SSL_RSA_WITH_RC4_128_SHA", "SSL_RSA_WITH_RC4_128_MD5", "TLS_EMPTY_RENEGOTIATION_INFO_SCSV" Encuentra la lista de algoritmos de cifrado disponibles aquí. |
Inhabilita los protocolos TLS
Para inhabilitar los protocolos TLS, debes editar el archivo de configuración, como se describe en Usar un archivo de configuración para configurar TLS, de la siguiente manera:
- Abre el archivo de configuración en un editor.
- Para inhabilitar un solo protocolo TLS, por ejemplo, TLSv1.0, agrega lo siguiente:
al archivo de configuración:
TLS_CONFIGURE=y TLS_DISABLED_ALGO="tlsv1"
Para inhabilitar varios protocolos, por ejemplo, TLSv1.0 y TLSv1.1, agrega lo siguiente al archivo de configuración:
TLS_CONFIGURE=y TLS_DISABLED_ALGO="tlsv1, tlsv1.1"
- Guarda los cambios en el archivo de configuración.
- Ejecuta el siguiente comando para configurar TLS:
/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile
En el ejemplo anterior, configFile es la ruta completa al archivo de configuración.
- Reinicia la IU de Edge:
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Usar cookies seguras
Apigee Edge para la nube privada admite que se agregue la marca secure
al encabezado Set-Cookie
para
de la IU de Edge. Si está presente esta marca, la cookie solo se puede enviar
Canales habilitados para TLS. Si no está presente, la cookie se puede enviar a cualquier canal, ya sea
si es seguro o no.
Las cookies que no tienen la marca secure
pueden permitir que un atacante capture y
reutilizar la cookie o usurpar una sesión activa. Por lo tanto, se recomienda habilitar este
del lugar.
Para configurar la marca secure
para las cookies de IU de Edge, haz lo siguiente:
- Abre el siguiente archivo en un editor de texto:
/opt/apigee/customer/application/ui.properties
Si el archivo no existe, créalo.
- Establece la propiedad
conf_application_session.secure
entrue
, enui.properties
, como se muestra en el siguiente ejemplo:conf_application_session.secure=true
- Guarda los cambios.
- Reinicia la IU de Edge con la utilidad
apigee-serice
, como en el siguiente ejemplo muestra:/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Para confirmar que el cambio funciona, verifica los encabezados de respuesta de la IU de Edge con
una utilidad, como curl
; por ejemplo:
curl -i -v https://edge_UI_URL
El encabezado debe contener una línea que se vea de la siguiente manera:
Set-Cookie: secure; ...
Inhabilita TLS en la IU de Edge
Para inhabilitar TLS en la IU de Edge, usa el siguiente comando:
/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl