ضبط بروتوكول أمان طبقة النقل لواجهة برمجة التطبيقات للإدارة

بشكل تلقائي، يتم إيقاف بروتوكول أمان طبقة النقل (TLS) لواجهة برمجة تطبيقات الإدارة ويمكنك الوصول إلى واجهة برمجة تطبيقات إدارة Edge من خلال HTTP باستخدام عنوان IP لعقدة خادم الإدارة والمنفذ 8080. على سبيل المثال:

http://ms_IP:8080

بدلاً من ذلك، يمكنك ضبط إمكانية الوصول إلى طبقة النقل الآمنة (TLS) لواجهة برمجة التطبيقات الخاصة بالإدارة حتى تتمكّن من الوصول إليها في الشكل التالي:

https://ms_IP:8443

في هذا المثال، يتم ضبط إذن الوصول إلى بروتوكول أمان طبقة النقل (TLS) لاستخدام المنفذ 8443. ومع ذلك، لا يحتاج Edge إلى رقم المنفذ هذا، ويمكنك ضبط "خادم الإدارة" لاستخدام قيم منافذ أخرى. هو أن جدار الحماية يسمح بحركة المرور عبر المنفذ المحدد.

لضمان تشفير الزيارات من وإلى Management API، اضبط الإعدادات في ملف /opt/apigee/customer/application/management-server.properties .

بالإضافة إلى إعدادات بروتوكول TLS، يمكنك أيضًا التحكّم في عملية التحقّق من كلمة المرور (طول كلمة المرور وقوتها) من خلال تعديل ملف management-server.properties.

التأكد من أنّ منفذ بروتوكول أمان طبقة النقل (TLS) مفتوح

تعمل الخطوات الواردة في هذا القسم على ضبط بروتوكول أمان طبقة النقل (TLS) لاستخدام المنفذ 8443 على "خادم الإدارة". عليك التأكّد من أنّ المنفذ مفتوح في قسم "الإدارة" بغض النظر عن المنفذ الذي تستخدمه الخادم. على سبيل المثال، يمكنك استخدام الأمر التالي لفتحه:

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose

ضبط بروتوكول أمان طبقة النقل (TLS)

عدِّل ملف /opt/apigee/customer/application/management-server.properties للتحكّم في استخدام بروتوكول أمان طبقة النقل (TLS) في الزيارات الواردة والصادرة من واجهة برمجة التطبيقات Management API. إذا لم يكن هذا الملف متوفّرًا، أنشِئه.

لضبط إمكانية الوصول إلى Management API باستخدام بروتوكول TLS:

  1. أنشِئ ملف JKS لملف تخزين المفاتيح الذي يحتوي على شهادة بروتوكول أمان طبقة النقل (TLS) ومفتاح خاص. لمزيد من المعلومات، يُرجى الاطّلاع على مقالة ضبط بروتوكول أمان طبقة النقل (TLS) أو طبقة المقابس الآمنة (SSL) لتطبيق Edge On Premises.
  2. انسخ ملف JKS لملف تخزين المفاتيح إلى دليل على عقدة خادم الإدارة، مثل باسم /opt/apigee/customer/application.
  3. تغيير ملكية ملف JKS إلى "apigee" المستخدم: 
    chown apigee:apigee keystore.jks

    يكون keystore.jks هو اسم ملف تخزين المفاتيح.

  4. تعديل /opt/apigee/customer/application/management-server.properties لضبط السمات التالية. إذا لم يكن هذا الملف متوفّرًا، أنشئه: 
    conf_webserver_ssl.enabled=true
# Leave conf_webserver_http.turn.off set to false
# because many Edge internal calls use HTTP.
conf_webserver_http.turn.off=false
conf_webserver_ssl.port=8443
conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks
# Enter the obfuscated keystore password below.
conf_webserver_keystore.password=OBF:obfuscatedPassword

    أين يكون ملف تخزين المفاتيح keyStore.jks؟ إنّ obfuscatedPassword هو كلمة مرور ملف تخزين مفاتيح تم تشويشها. عرض تهيئة بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة (SSL) لنظام Edge On Premises معلومات حول إنشاء كلمة مرور تتضمن تشويشًا.

  5. أعِد تشغيل Edge Management Server باستخدام الأمر: 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

أصبحت واجهة برمجة تطبيقات الإدارة تتيح الوصول عبر بروتوكول أمان طبقة النقل (TLS).

إعداد واجهة مستخدم Edge لاستخدام بروتوكول أمان طبقة النقل (TLS) للوصول إلى واجهة برمجة تطبيقات Edge

في الإجراء أعلاه، اقترحت Apigee ترك conf_webserver_http.turn.off=false لكي تتمكّن واجهة مستخدم Edge من مواصلة إجراء طلبات Edge API عبر HTTP.

استخدم الإجراء التالي لإعداد واجهة مستخدم Edge لإجراء هذه الاتصالات عبر HTTPS فقط:

  1. اضبط إمكانية الوصول إلى واجهة برمجة التطبيقات لإدارة الخدمات باستخدام بروتوكول أمان طبقة النقل (TLS) كما هو موضّح أعلاه.
  2. بعد التأكّد من عمل بروتوكول أمان طبقة النقل (TLS) لواجهة برمجة تطبيقات الإدارة، يمكنك تعديل من /opt/apigee/customer/application/management-server.properties إلى قم بتعيين الخاصية التالية: 
    conf_webserver_http.turn.off=true
  3. أعِد تشغيل Edge Management Server من خلال تنفيذ الأمر التالي: 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
  4. عدِّل /opt/apigee/customer/application/ui.properties لضبط السمة التالية لواجهة مستخدم Edge: 
    conf_apigee_apigee.mgmt.baseurl="https://FQ_domain_name:port/v1"

    حيث FQ_domain_name هو اسم النطاق الكامل وفقًا لشهادتك لخادم الإدارة، وport هو المنفذ المحدد أعلاه بواسطة conf_webserver_ssl.port

    إذا لم يكن ui.properties متوفّرًا، أنشِئه.

  5. إذا استخدمت شهادة موقَّعة ذاتيًا (لا يُنصح بها في بيئة النشر المباشر) عند ضبط إذن الوصول إلى Management API عبر بروتوكول أمان طبقة النقل (TLS) أعلاه، أضِف السمة التالية إلى ui.properties: 
    conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true

    وبخلاف ذلك، سترفض واجهة مستخدم Edge الشهادة الموقعة ذاتيًا.

  6. أعد تشغيل واجهة مستخدم Edge من خلال تنفيذ الأمر التالي: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

استخدام متجر مفاتيح PKCS12 لأنظمة التشغيل المتوافقة مع معيار FIPS

إذا كنت تستخدم Edge for Private Cloud على نظام تشغيل مزوّد بمعايير FIPS، يجب استخدام متجر مفاتيح PKCS12. وهذا الإجراء مطلوب للالتزام بمعايير FIPS. بالإضافة إلى الإعدادات العادية الأخرى المذكورة في هذه المقالة، أضِف الإعداد التالي إلى ملف management-server.properties:

conf/webserver.properties+keystore.type=PKCS12

تأكَّد من تطبيق هذا التغيير إذا تم تفعيل بروتوكول FIPS في بيئتك لضمان التوافق مع معايير التشفير المطلوبة.

خصائص بروتوكول أمان طبقة النقل (TLS) لخادم الإدارة

يسرد الجدول التالي جميع خصائص بروتوكول أمان طبقة النقل (TLS) أو طبقة المقابس الآمنة (SSL) التي يمكنك ضبطها في management-server.properties:

أماكن إقامة الوصف

conf_webserver_http.port=8080

القيمة التلقائية هي 8080.

conf_webserver_ssl.enabled=false

لتفعيل/إيقاف بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة (SSL). مع تفعيل بروتوكول TLS/SSL (true)، يجب أيضًا ضبط السمتَين ssl.port وkeystore.path.

conf_webserver_http.turn.off=true

لتفعيل/إيقاف http مع https إذا كنت تريد استخدام HTTPS فقط، فاترك الزر إلى true.

conf_webserver_ssl.port=8443

منفذ بروتوكول أمان طبقة النقل (TLS) أو طبقة المقابس الآمنة (SSL)

مطلوب عند تفعيل بروتوكول أمان طبقة النقل (TLS) أو طبقة المقابس الآمنة (conf_webserver_ssl.enabled=true).

conf_webserver_keystore.path=path

المسار إلى ملف تخزين المفاتيح

مطلوب عند تفعيل بروتوكول أمان طبقة النقل (TLS) أو طبقة المقابس الآمنة (conf_webserver_ssl.enabled=true).

conf_webserver_keystore.password=password

استخدِم كلمة مرور مشوَّهة بالتنسيق التالي: OBF:xxxxxxxxxx

conf_webserver_cert.alias=alias

الاسم المستعار لشهادة ملف تخزين المفاتيح الاختياري

conf_webserver_keymanager.password=password

إذا كان مدير المفاتيح لديه كلمة مرور، أدخِل نسخة مشفَّرة من كلمة المرور في هذا التنسيق:

OBF:xxxxxxxxxx

conf_webserver_trust.all=[false | true]

conf_webserver_trust.store.path=path

conf_webserver_trust.store.password=password

ضبط إعدادات لتخزين الثقة حدد ما إذا كنت تريد قبول جميع شهادات TLS/SSL (على سبيل المثال، لقبول الأنواع غير العادية). القيمة التلقائية هي false. قدِّم المسار إلى متجر الثقة، وأدخِل كلمة مرور مُشفَّرة لمتجر الثقة بالتنسيق التالي:

OBF:xxxxxxxxxx

conf_http_HTTPTransport.ssl.cipher.suites.blacklist=CIPHER_SUITE_1, CIPHER_SUITE_2

conf_http_HTTPTransport.ssl.cipher.suites.whitelist=

اذكر أي مجموعات رموز تريد تضمينها أو استبعادها. على سبيل المثال، إذا اكتشفت ثغرة أمنية في أحد التشفيرات، يمكنك استبعاده هنا. افصل بين التشفيرات المتعدّدة باستخدام فواصل.

سيكون لأي تشفير تتم إزالته باستخدام القائمة السوداء الأولوية على أي تشفيرات مضمّنة عبر القائمة البيضاء.

ملاحظة: بشكل افتراضي، إذا لم يتم تحديد قائمة سوداء أو قائمة بيضاء، فإن الرموز تطابق يتم استبعاد تعبير Java العادي التالي افتراضيًا.

^.*_(MD5|SHA|SHA1)$
^TLS_RSA_.*$
^SSL_.*$
^.*_NULL_.*$
^.*_anon_.*$

ومع ذلك، في حال تحديد قائمة سوداء، سيتم إلغاء هذا الفلتر، وعليك إضافة جميع التشفيرات إلى القائمة السوداء بشكلٍ فردي.

للحصول على معلومات عن مجموعات التشفير وبنية التشفير، يُرجى الاطّلاع على وثائق Java Cryptography Architecture Oracle Providers لإصدار JDK 8.

conf_webserver_ssl.session.cache.size=

conf_webserver_ssl.session.timeout=

الأعداد الصحيحة التي تحدّد:

  • حجم ذاكرة التخزين المؤقت لجلسة TLS/SSL (بالبايت) لتخزين معلومات الجلسة عملاء متعددين.
  • مقدار الوقت الذي يمكن أن تستمر فيه جلسات TLS/SSL قبل انتهاء مهلة الاتصال (بالمللي ثانية)