TLS, Management API için varsayılan olarak devre dışıdır ve Edge management API'ye şu üzerinden erişirsiniz: Yönetim Sunucusu düğümünün ve bağlantı noktası 8080'in IP adresini kullanarak HTTP sağlayın. Örneğin:
http://ms_IP:8080
Alternatif olarak, Management API'ye TLS erişimini yapılandırarak buna şu sayfadan erişebilirsiniz: şu formu kullanın:
https://ms_IP:8443
Bu örnekte, TLS erişimini 8443 numaralı bağlantı noktasını kullanacak şekilde yapılandıracaksınız. Ancak bu bağlantı noktası numarası Yönetim Sunucusu'nu diğer bağlantı noktası değerlerini kullanacak şekilde yapılandırabilirsiniz. Tek güvenlik duvarınızın belirtilen bağlantı noktası üzerinden trafiğe izin vermesidir.
Management API'niz ile gelen ve giden trafik şifrelemesini sağlamak için
/opt/apigee/customer/application/management-server.properties
.
dosyası olarak kaydedebilirsiniz.
TLS yapılandırmasına ek olarak, şifre doğrulamayı da kontrol edebilirsiniz (şifre uzunluğu
ve güç) management-server.properties
dosyasını değiştirin.
TLS bağlantı noktanızın açık olduğundan emin olun
Bu bölümdeki prosedür, TLS'yi Yönetim Sunucusu'nda bağlantı noktası 8443'ü kullanacak şekilde yapılandırır. Kullandığınız bağlantı noktası ne olursa olsun, Management'ta bağlantı noktasının açık olduğundan emin olmanız gerekir. Sunucu. Örneğin, dosyayı açmak için aşağıdaki komutu kullanabilirsiniz:
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose
TLS'yi yapılandırın
/opt/apigee/customer/application/management-server.properties
sütununu düzenleyin
yönetim API'nize gelen ve yönetim API'nizden gelen trafikte TLS kullanımını kontrol etmek için Bu dosya mevcut değilse
oluşturacağım.
Yönetim API'sine TLS erişimini yapılandırmak için:
- TLS sertifikanızı ve özel anahtarınızı içeren anahtar deposu JKS dosyasını oluşturun. Daha fazla Edge Şirket İçi Ortam için TLS/SSL'yi Yapılandırma başlıklı makaleyi inceleyin.
- Anahtar deposu JKS dosyasını, şunun gibi Yönetim Sunucusu düğümündeki bir dizine kopyalayın:
/opt/apigee/customer/application
olarak. - JKS dosyasının sahipliğini "Apigee" olarak değiştirme kullanıcı:
chown apigee:apigee keystore.jks
Burada keystore.jks, anahtar deposu dosyanızın adıdır.
/opt/apigee/customer/application/management-server.properties
öğesini düzenle kullanın. Böyle bir dosya yoksa, dosyayı oluşturun:conf_webserver_ssl.enabled=true # Leave conf_webserver_http.turn.off set to false # because many Edge internal calls use HTTP. conf_webserver_http.turn.off=false conf_webserver_ssl.port=8443 conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks # Enter the obfuscated keystore password below. conf_webserver_keystore.password=OBF:obfuscatedPassword
Burada keyStore.jks, anahtar deposu dosyanız ve obfuscatedPassword, kodu karartılmış anahtar deposu şifrenizdir. Görüntüleyin karartılmış şifre oluşturma hakkında bilgi edinin.
- Şu komutu kullanarak Uç Yönetim Sunucusu'nu yeniden başlatın:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
Management API artık TLS üzerinden erişimi desteklemektedir.
Erişim için TLS kullanacak şekilde Edge kullanıcı arayüzünü yapılandırma Edge API
Yukarıdaki prosedürde, Apigee,
conf_webserver_http.turn.off=false
uçta kullanıcı arayüzü, HTTP üzerinden Edge API çağrıları yapmaya devam edebilir.
Edge kullanıcı arayüzünü bu çağrıları yalnızca HTTPS üzerinden yapacak şekilde yapılandırmak için aşağıdaki prosedürü kullanın:
- Management API'ye TLS erişimini yukarıda açıklandığı şekilde yapılandırın.
- TLS'nin Management API için çalıştığını onayladıktan sonra
/opt/apigee/customer/application/management-server.properties
- şu özelliği ayarlayın:conf_webserver_http.turn.off=true
- Aşağıdaki komutu çalıştırarak Uç Yönetim Sunucusu'nu yeniden başlatın:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
/opt/apigee/customer/application/ui.properties
öğesini düzenle seçeneğini tıklayın:conf_apigee_apigee.mgmt.baseurl="https://FQ_domain_name:port/v1"
Burada FQ_domain_name, sertifikanıza göre tam alan adıdır Yönetim Sunucusu'nun adresini ve port yukarıda belirtilen bağlantı noktasıdır.
conf_webserver_ssl.port
.ui.properties mevcut değilse oluşturun.
- Yalnızca kendinden imzalı bir sertifika kullandıysanız (üretim ortamında önerilmez.)
ortamı) yukarıdaki yönetim API'sine TLS erişimini yapılandırırken
ui.properties
mülkü için aşağıdaki mülk:conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true
Aksi takdirde, Edge kullanıcı arayüzü kendinden imzalı sertifikayı reddeder.
- Aşağıdaki komutu çalıştırarak Edge kullanıcı arayüzünü yeniden başlatın:
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Yönetim Sunucusu için TLS özellikleri
Aşağıdaki tabloda, içinde ayarlayabileceğiniz tüm TLS/SSL özellikleri listelenmiştir.
management-server.properties
:
Özellikler | Açıklama |
---|---|
|
Varsayılan değer 8080'dir. |
|
TLS/SSL'yi etkinleştirmek/devre dışı bırakmak için. TLS/SSL etkinleştirildiğinde (doğru) ssl.port'u da ayarlamanız gerekir. ve keystore.path özellikleri arasındadır. |
|
https ile birlikte http'yi etkinleştirmek/devre dışı bırakmak için. Yalnızca HTTPS kullanmak istiyorsanız
|
|
TLS/SSL bağlantı noktası. TLS/SSL etkinleştirildiğinde gerekir ( |
|
Anahtar deposu dosyanızın yolu. TLS/SSL etkinleştirildiğinde gerekir ( |
|
Şu biçimde, karartılmış bir şifre kullanın: OBF:xxxxxxxxxx |
|
İsteğe bağlı anahtar deposu sertifika takma adı |
|
Anahtar yöneticinizin şifresi varsa şifrenin kodu karartılmış bir sürümünü şu biçimi kullanın: OBF:xxxxxxxxxx |
|
Güven deponuzun ayarlarını yapılandırın. Tümünü kabul etmek isteyip istemediğinize karar verin
TLS/SSL sertifikaları (örneğin, standart olmayan türleri kabul etmek için). Varsayılan değer: OBF:xxxxxxxxxx |
|
Dahil etmek veya hariç tutmak istediğiniz şifre paketlerini belirtin. Örneğin, bir şifrede güvenlik açığı keşfederseniz, buradan hariç tutabilirsiniz. Birden çok şifreyi ayırın kullanabilirsiniz. Kara liste aracılığıyla kaldırdığınız şifreler, eklenen şifrelere göre öncelikli olur. beyaz listeye alabilirsiniz. Not: Varsayılan olarak, herhangi bir kara liste veya beyaz liste belirtilmemişse, aşağıdaki Java normal ifadesi varsayılan olarak hariç tutulur. ^.*_(MD5|SHA|SHA1)$ ^TLS_RSA_.*$ ^SSL_.*$ ^.*_NULL_.*$ ^.*_anon_.*$ Ancak bir kara liste belirtirseniz bu filtre geçersiz kılındığından tüm şifreleri tek tek kara listeye almanız gerekir. Şifreleme paketleri ve kriptografi mimarisi hakkında bilgi edinmek için bkz. JDK 8 için Java Cryptography Architecture Oracle Providers Documentation for JDK 8. |
|
Şunları belirleyen tam sayılar:
|