Como configurar o TLS para a API de gerenciamento

Por padrão, o TLS fica desativado para a API Management e você acessa a API Edge Management por HTTP usando o endereço IP do nó do servidor de gerenciamento e a porta 8080. Exemplo:

http://ms_IP:8080

Como alternativa, você pode configurar o acesso TLS à API de gerenciamento para acessá-la em o formulário:

https://ms_IP:8443

Neste exemplo, você configura o acesso por TLS para usar a porta 8443. No entanto, esse número de porta não é exigido pelo Edge, é possível configurar o servidor de gerenciamento para usar outros valores de porta. O único o firewall permite o tráfego pela porta especificada.

Para garantir a criptografia do tráfego de e para a API de gerenciamento, defina as configurações na /opt/apigee/customer/application/management-server.properties .

Além da configuração TLS, também é possível controlar a validação da senha (o tamanho da senha, e segurança) modificando o arquivo management-server.properties.

Verifique se a porta TLS está aberta

O procedimento nesta seção configura o TLS para usar a porta 8443 no servidor de gerenciamento. Independentemente da porta usada, você deve assegurar que ela esteja aberta no console do Servidor. Por exemplo, use o seguinte comando para abri-lo:

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose

Configurar a TLS

Editar /opt/apigee/customer/application/management-server.properties para controlar o uso do TLS no tráfego de e para a API de gerenciamento. Se esse arquivo não existir, para criá-la.

Para configurar o acesso TLS à API de gerenciamento:

  1. Gere o arquivo JKS do keystore contendo sua certificação TLS e chave privada. Para mais consulte Como configurar TLS/SSL para o Edge no local.
  2. Copie o arquivo JKS do keystore para um diretório no nó do servidor de gerenciamento, como como /opt/apigee/customer/application.
  3. Mudar a propriedade do arquivo JKS para "apigee" usuário:
    chown apigee:apigee keystore.jks

    Em que keystore.jks é o nome do arquivo do keystore.

  4. Editar /opt/apigee/customer/application/management-server.properties para definir as propriedades a seguir. Se esse arquivo não existir, crie-o:
    conf_webserver_ssl.enabled=true
    # Leave conf_webserver_http.turn.off set to false
    # because many Edge internal calls use HTTP.
    conf_webserver_http.turn.off=false
    conf_webserver_ssl.port=8443
    conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks
    # Enter the obfuscated keystore password below.
    conf_webserver_keystore.password=OBF:obfuscatedPassword

    Em que keyStore.jks é seu arquivo de keystore e obfuscatedPassword é sua senha ofuscada do keystore. Consulte Como configurar TLS/SSL para o Edge no local para sobre como gerar senhas ofuscadas.

  5. Reinicie o Edge Management Server usando o comando:
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

A API de gerenciamento agora oferece suporte ao acesso por TLS.

Configurar a interface do Edge para usar o TLS ao acessar a API Edge

No procedimento acima, a Apigee recomendou deixar conf_webserver_http.turn.off=false para que a interface do Edge poderá continuar fazendo chamadas da API Edge por HTTP.

Use o procedimento a seguir para configurar a interface do Edge para fazer essas chamadas somente por HTTPS:

  1. Configure o acesso TLS à API de gerenciamento, conforme descrito acima.
  2. Depois de confirmar que o TLS está funcionando para a API de gerenciamento, edite /opt/apigee/customer/application/management-server.properties a defina a seguinte propriedade:
    conf_webserver_http.turn.off=true
  3. Reinicie o Edge Management Server executando o seguinte comando:
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart 
  4. Editar /opt/apigee/customer/application/ui.properties para definir a seguinte propriedade para a interface do Edge:
    conf_apigee_apigee.mgmt.baseurl="https://FQ_domain_name:port/v1"

    em que FQ_domain_name é o nome completo de domínio, de acordo com seu certificado do servidor de gerenciamento, e o port é a porta especificada acima pelo conf_webserver_ssl.port

    Se ui.properties não existir, crie-o.

  5. Apenas se você usou um certificado autoassinado (não recomendado em um ambiente ambiente) ao configurar o acesso TLS à API de gerenciamento acima, adicione o propriedade a seguir para ui.properties:
    conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true

    Caso contrário, a interface do Edge rejeitará um certificado autoassinado.

  6. Reinicie a interface do Edge executando o seguinte comando:
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

Propriedades de TLS para o servidor de gerenciamento

A tabela a seguir lista todas as propriedades TLS/SSL que você pode definir no management-server.properties:

Propriedades Descrição

conf_webserver_http.port=8080

O padrão é 8080.

conf_webserver_ssl.enabled=false

Para ativar/desativar TLS/SSL. Com TLS/SSL ativado (verdadeiro), você também precisa definir o valor e keystore.path.

conf_webserver_http.turn.off=true

Para ativar/desativar http com https. Se quiser usar apenas HTTPS, deixe o o valor padrão será true.

conf_webserver_ssl.port=8443

A porta TLS/SSL.

Obrigatório quando TLS/SSL está ativado (conf_webserver_ssl.enabled=true).

conf_webserver_keystore.path=path

O caminho para seu arquivo de armazenamento de chaves.

Obrigatório quando TLS/SSL está ativado (conf_webserver_ssl.enabled=true).

conf_webserver_keystore.password=password

Use uma senha ofuscada neste formato: OBF:xxxxxxxxxx

conf_webserver_cert.alias=alias

Alias de certificado de keystore opcional

conf_webserver_keymanager.password=password

Se o gerenciador de chaves tiver uma senha, insira uma versão ofuscada dela no este formato:

OBF:xxxxxxxxxx

conf_webserver_trust.all=[false | true]

conf_webserver_trust.store.path=path

conf_webserver_trust.store.password=password

Defina as configurações do repositório de confiança. Determine se você quer aceitar todos Certificados TLS/SSL (por exemplo, para aceitar tipos não padrão). O padrão é false. Informe o caminho no repositório confiável e insira uma senha ofuscada neste formato:

OBF:xxxxxxxxxx

conf_http_HTTPTransport.ssl.cipher.suites.blacklist=CIPHER_SUITE_1, CIPHER_SUITE_2

conf_http_HTTPTransport.ssl.cipher.suites.whitelist=

Indique os conjuntos de criptografia que você quer incluir ou excluir. Por exemplo, se você descobrir vulnerabilidade em uma cifra, é possível excluí-la aqui. Separar várias criptografias por vírgulas.

Todas as criptografias removidas por meio da lista de proibições terão precedência sobre quaisquer criptografias incluídas por meio da lista de permissões.

Observação: por padrão, se nenhuma lista de proibições ou lista de permissões for especificada, as criptografias correspondentes as seguintes expressões regulares de Java são excluídas por padrão.

^.*_(MD5|SHA|SHA1)$
^TLS_RSA_.*$
^SSL_.*$
^.*_NULL_.*$
^.*_anon_.*$

No entanto, se você especificar uma lista negra, este filtro será substituído, e será necessário colocar todas as criptografias na lista de proibições individualmente.

Para informações sobre pacotes de criptografia e arquitetura de criptografia, consulte Documentação de provedores Oracle da arquitetura de criptografia Java para JDK 8.

conf_webserver_ssl.session.cache.size=

conf_webserver_ssl.session.timeout=

Números inteiros que determinam:

  • O tamanho do cache de sessão de TLS/SSL (em bytes) para armazenar informações de sessão para vários clientes.
  • O tempo que as sessões TLS/SSL podem durar antes de expirar (em milésimos de segundo).