Diese Seite wurde von der Cloud Translation API übersetzt.

TLS für die Management API konfigurieren

Standardmäßig ist TLS für die Verwaltungs-API deaktiviert und Sie greifen über HTTP auf die Edge-Verwaltungs-API zu, indem Sie die IP-Adresse des Management Server-Knotens und Port 8080 verwenden. Beispiel:

http://ms_IP:8080

Alternativ können Sie den TLS-Zugriff auf die Verwaltungs-API so konfigurieren, dass Sie auf sie zugreifen können:

https://ms_IP:8443

In diesem Beispiel konfigurieren Sie den TLS-Zugriff für Port 8443. Diese Portnummer ist jedoch für Edge nicht erforderlich. Sie können den Verwaltungsserver so konfigurieren, dass er andere Portwerte verwendet. Die einzige Voraussetzung ist, dass Ihre Firewall Traffic über den angegebenen Port zulässt.

Um den Traffic zu und von Ihrer Verwaltungs-API zu verschlüsseln, konfigurieren Sie die Einstellungen in der Datei /opt/apigee/customer/application/management-server.properties.

Zusätzlich zur TLS-Konfiguration können Sie auch die Passwortvalidierung (Passwortlänge und -stärke) steuern, indem Sie die Datei management-server.properties ändern.

Achten Sie darauf, dass der TLS-Port geöffnet ist

Mit dem Verfahren in diesem Abschnitt wird TLS für die Verwendung von Port 8443 auf dem Verwaltungsserver konfiguriert. Unabhängig vom verwendeten Port müssen Sie dafür sorgen, dass der Port auf dem Verwaltungsserver geöffnet ist. Sie können sie beispielsweise mit dem folgenden Befehl öffnen:

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose

HINWEIS:In diesem Beispiel wird Port 8443 als TLS-Port verwendet und nicht der gängigere Port 443.

Der Grund dafür ist, dass Ports unter 1024 normalerweise vom Betriebssystem geschützt sind und der Prozess, der darauf zugreift, Root-Zugriff benötigt. Der Edge Management Server wird als Nutzer „apigee“ ausgeführt und hat daher in der Regel keinen Zugriff auf Ports unter 1024.

Eine Alternative besteht darin, einen Load Balancer mit der Edge API zu verwenden und TLS am Load Balancer auf Port 443 zu beenden. Sie können dann zwischen dem Load Balancer und der Edge API entweder HTTP oder HTTPS verwenden.

Alternativ können Sie iptables verwenden, um Anfragen an Port 443 an Port 8443 weiterzuleiten. Beispiel:

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 8443

TLS konfigurieren

Bearbeiten Sie die Datei /opt/apigee/customer/application/management-server.properties, um die TLS-Nutzung für den Traffic zu und von Ihrer Verwaltungs-API zu steuern. Wenn diese Datei nicht vorhanden ist, erstellen Sie sie.

So konfigurieren Sie den TLS-Zugriff auf die Verwaltungs-API:

Generieren Sie die JKS-Keystore-Datei mit Ihrer TLS-Zertifizierung und Ihrem privaten Schlüssel. Weitere Informationen finden Sie unter TLS/SSL für Edge On Premises konfigurieren.
Kopieren Sie die JKS-Datei des Schlüsselspeichers in ein Verzeichnis auf dem Management-Server-Knoten, z. B. /opt/apigee/customer/application.
Ändern Sie die Eigentümerschaft der JKS-Datei in den „Apigee“-Nutzer:
```
chown apigee:apigee keystore.jks
```
Dabei ist keystore.jks der Name Ihrer Keystore-Datei.
Bearbeiten Sie /opt/apigee/customer/application/management-server.properties, um die folgenden Eigenschaften festzulegen. Wenn diese Datei nicht vorhanden ist, erstellen Sie sie:
```
conf_webserver_ssl.enabled=true
# Leave conf_webserver_http.turn.off set to false
# because many Edge internal calls use HTTP.
conf_webserver_http.turn.off=false
conf_webserver_ssl.port=8443
conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks
# Enter the obfuscated keystore password below.
conf_webserver_keystore.password=OBF:obfuscatedPassword
```
Dabei ist keyStore.jks die Keystore-Datei und obfuscatedPassword das verschleierte Keystore-Passwort. Informationen zum Erstellen eines verschleierten Passworts finden Sie unter TLS/SSL für Edge On-Premises konfigurieren.

Starten Sie den Edge-Verwaltungsserver mit dem Befehl neu:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Die Verwaltungs-API unterstützt jetzt den Zugriff über TLS.

Hinweis:Nachdem Sie TLS aktiviert haben, prüfen Sie, ob der Wert von APIGEE_PORT_HTTP_MS in $APIGEE_ROOT/customer/defaults.sh korrekt ist. Wenn das nicht der Fall ist, ändern Sie defaults.sh.

Edge-Benutzeroberfläche so konfigurieren, dass für den Zugriff auf die Edge API TLS verwendet wird

In der obigen Anleitung hat Apigee empfohlen, conf_webserver_http.turn.off=false beizubehalten, damit die Edge-Benutzeroberfläche weiterhin Edge API-Aufrufe über HTTP ausführen kann.

So konfigurieren Sie die Edge-Benutzeroberfläche, damit diese Aufrufe nur über HTTPS erfolgen:

Konfigurieren Sie den TLS-Zugriff auf die Verwaltungs-API wie oben beschrieben.
Nachdem Sie bestätigt haben, dass TLS für die Verwaltungs-API funktioniert, bearbeiten Sie /opt/apigee/customer/application/management-server.properties und legen Sie das folgende Attribut fest:
```
conf_webserver_http.turn.off=true
```

Starten Sie den Edge-Verwaltungsserver mit dem folgenden Befehl neu:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Bearbeiten Sie /opt/apigee/customer/application/ui.properties, um die folgende Eigenschaft für die Edge-Benutzeroberfläche festzulegen:
```
conf_apigee_apigee.mgmt.baseurl="https://FQ_domain_name:port/v1"
```
Dabei ist FQ_domain_name der vollständige Domainname gemäß der Zertifikatsadresse des Verwaltungsservers und port der oben von conf_webserver_ssl.port angegebene Port.

Wenn die Datei ui.properties nicht vorhanden ist, erstellen Sie sie.
Nur wenn Sie beim Konfigurieren des TLS-Zugriffs auf die Verwaltungs-API oben ein selbst signiertes Zertifikat verwendet haben (in einer Produktionsumgebung nicht empfohlen), fügen Sie ui.properties die folgende Eigenschaft hinzu:
```
conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true
```
Andernfalls lehnt die Edge-Benutzeroberfläche ein selbst signiertes Zertifikat ab.
Starten Sie die Edge-Benutzeroberfläche neu, indem Sie den folgenden Befehl ausführen:
```
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
```

PKCS12-Schlüsselspeicher für FIPS-kompatible Betriebssysteme verwenden

Wenn Sie Edge for Private Cloud auf einem FIPS-kompatiblen Betriebssystem verwenden, müssen Sie einen PKCS12-Schlüsselspeicher verwenden. Dies ist erforderlich, um FIPS-Standards einzuhalten. Fügen Sie der Datei management-server.properties zusätzlich zu den anderen in diesem Artikel erwähnten Standardkonfigurationen die folgende Konfiguration hinzu:

conf/webserver.properties+keystore.type=PKCS12

Wenn Ihre Umgebung FIPS-kompatibel ist, müssen Sie diese Änderung vornehmen, um die Kompatibilität mit den erforderlichen Verschlüsselungsstandards zu gewährleisten.

TLS-Eigenschaften für den Verwaltungsserver

In der folgenden Tabelle sind alle TLS/SSL-Attribute aufgeführt, die Sie in management-server.properties festlegen können:

Attribute	Beschreibung
`conf_webserver_http.port=8080`	Standardwert ist 8080.
`conf_webserver_ssl.enabled=false`	TLS/SSL aktivieren/deaktivieren. Wenn TLS/SSL aktiviert ist (wahr), müssen Sie auch die Eigenschaften „ssl.port“ und „keystore.path“ festlegen.
`conf_webserver_http.turn.off=true`	Zum Aktivieren/Deaktivieren von HTTP und HTTPS Wenn Sie nur HTTPS verwenden möchten, belassen Sie den Standardwert `true`.
`conf_webserver_ssl.port=8443`	Der TLS/SSL-Port. Erforderlich, wenn TLS/SSL aktiviert ist (`conf_webserver_ssl.enabled=true`).
`conf_webserver_keystore.path=path`	Der Pfad zu Ihrer Schlüsselspeicherdatei. Erforderlich, wenn TLS/SSL aktiviert ist (`conf_webserver_ssl.enabled=true`).
`conf_webserver_keystore.password=password`	Verwenden Sie ein verschleiertes Passwort in diesem Format: OBF:xxxxxxxxxx
`conf_webserver_cert.alias=alias`	Optionaler Alias für das Keystore-Zertifikat
`conf_webserver_keymanager.password=password`	Wenn Ihr Schlüsselmanager ein Passwort hat, geben Sie eine verschleierte Version des Passworts in diesem Format ein: OBF:xxxxxxxxxx
`conf_webserver_trust.all=[false \| true]` `conf_webserver_trust.store.path=path` `conf_webserver_trust.store.password=password`	Konfigurieren Sie die Einstellungen für den Truststore. Legen Sie fest, ob alle TLS/SSL-Zertifikate akzeptiert werden sollen (z. B. auch nicht standardmäßige Typen). Der Standardwert ist `false`. Geben Sie den Pfad zu Ihrem Trust Store an und geben Sie ein verschleiertes Trust Store-Passwort in diesem Format ein: OBF:xxxxxxxxxx
`conf_http_HTTPTransport.ssl.cipher.suites.blacklist=CIPHER_SUITE_1, CIPHER_SUITE_2` `conf_http_HTTPTransport.ssl.cipher.suites.whitelist=`	Geben Sie alle Chiffrensammlungen an, die Sie ein- oder ausschließen möchten. Wenn Sie beispielsweise eine Sicherheitslücke in einer Chiffre finden, können Sie sie hier ausschließen. Trennen Sie mehrere Chiffren durch Kommas. Alle Chiffren, die Sie über die Blacklist entfernen, haben Vorrang vor Chiffren, die über die Zulassungsliste aufgenommen wurden. Hinweis:Wenn keine Blacklist oder Zulassungsliste angegeben ist, werden standardmäßig Chiffren ausgeschlossen, die mit dem folgenden Java-regulären Ausdruck übereinstimmen. ^._(MD5\|SHA\|SHA1)$ ^TLS_RSA_.$ ^SSL_.$ ^._NULL_.$ ^._anon_.*$ Wenn Sie jedoch eine Blacklist angeben, wird dieser Filter überschrieben und Sie müssen alle Chiffren einzeln auf die Blacklist setzen. Informationen zu Chiffrensätzen und Kryptografiearchitektur finden Sie in der Oracle-Anbieterdokumentation für Java Cryptography Architecture für JDK 8.
`conf_webserver_ssl.session.cache.size=` `conf_webserver_ssl.session.timeout=`	Ganzzahlen, die Folgendes bestimmen: Die Größe des TLS/SSL-Sitzungscaches (in Byte) zum Speichern von Sitzungsinformationen für mehrere Clients. Die Dauer von TLS-/SSL-Sitzungen (in Millisekunden), bevor das Zeitlimit erreicht wird.