Cette page a été traduite par l'API Cloud Translation.

Configurer TLS pour l'API de gestion

Par défaut, TLS est désactivé pour l'API de gestion et vous accédez à l'API de gestion Edge via HTTP à l'aide de l'adresse IP du nœud du serveur de gestion et du port 8080. Exemple :

http://ms_IP:8080

Vous pouvez également configurer l'accès TLS à l'API de gestion afin d'y accéder sous la forme suivante:

https://ms_IP:8443

Dans cet exemple, vous configurez l'accès TLS pour qu'il utilise le port 8443. Toutefois, ce numéro de port n'est pas obligatoire pour Edge. Vous pouvez configurer le serveur de gestion pour qu'il utilise d'autres valeurs de port. La seule exigence est que votre pare-feu autorise le trafic sur le port spécifié.

Pour assurer le chiffrement du trafic vers et depuis votre API de gestion, configurez les paramètres dans le fichier /opt/apigee/customer/application/management-server.properties.

En plus de la configuration TLS, vous pouvez également contrôler la validation des mots de passe (longueur et niveau de sécurité des mots de passe) en modifiant le fichier management-server.properties.

Assurez-vous que votre port TLS est ouvert

La procédure de cette section configure TLS pour qu'il utilise le port 8443 sur le serveur de gestion. Quel que soit le port que vous utilisez, vous devez vous assurer qu'il est ouvert sur le serveur de gestion. Par exemple, vous pouvez utiliser la commande suivante pour l'ouvrir:

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose

REMARQUE:Cet exemple utilise le port 8443 pour le port TLS, et non le port 443 plus courant.

En effet, les ports inférieurs à 1 024 sont généralement protégés par le système d'exploitation et nécessitent que le processus qui y accède dispose d'un accès racine. Le serveur de gestion Edge s'exécute en tant qu'utilisateur "apigee" et n'a donc généralement pas accès aux ports inférieurs à 1 024.

Une autre option consiste à utiliser un équilibreur de charge avec l'API Edge et à mettre fin à TLS sur l'équilibreur de charge sur le port 443. Vous pouvez ensuite utiliser HTTP ou HTTPS entre l'équilibreur de charge et l'API Edge.

Vous pouvez également utiliser iptables pour transférer les requêtes envoyées au port 443 vers le port 8443. Exemple :

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 8443

Configurer TLS

Modifiez le fichier /opt/apigee/customer/application/management-server.properties pour contrôler l'utilisation de TLS sur le trafic vers et depuis votre API de gestion. Si ce fichier n'existe pas, créez-le.

Pour configurer l'accès TLS à l'API de gestion:

Générez le fichier JKS du keystore contenant votre certification TLS et votre clé privée. Pour en savoir plus, consultez la section Configurer TLS/SSL pour Edge sur site.
Copiez le fichier JKS du keystore dans un répertoire du nœud du serveur de gestion, tel que /opt/apigee/customer/application.
Attribuez la propriété du fichier JKS à l'utilisateur "apigee" :
```
chown apigee:apigee keystore.jks
```
Où keystore.jks est le nom de votre fichier de keystore.
Modifiez /opt/apigee/customer/application/management-server.properties pour définir les propriétés suivantes. Si ce fichier n'existe pas, créez-le :
```
conf_webserver_ssl.enabled=true
# Leave conf_webserver_http.turn.off set to false
# because many Edge internal calls use HTTP.
conf_webserver_http.turn.off=false
conf_webserver_ssl.port=8443
conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks
# Enter the obfuscated keystore password below.
conf_webserver_keystore.password=OBF:obfuscatedPassword
```
Où keyStore.jks est votre fichier keystore et obfuscatedPassword est votre mot de passe keystore obscurci. Pour en savoir plus sur la génération d'un mot de passe masqué, consultez la section Configurer TLS/SSL pour Edge sur site.

Redémarrez le serveur de gestion Edge à l'aide de la commande :

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

L'API de gestion est désormais compatible avec l'accès via TLS.

Remarque:Après avoir activé TLS, assurez-vous que la valeur de APIGEE_PORT_HTTP_MS est correcte dans $APIGEE_ROOT/customer/defaults.sh. Si elle n'est pas correcte, modifiez defaults.sh.

Configurer l'UI Edge pour utiliser TLS pour accéder à l'API Edge

Dans la procédure ci-dessus, Apigee a recommandé de laisser conf_webserver_http.turn.off=false afin que l'UI Edge puisse continuer à effectuer des appels d'API Edge via HTTP.

Pour configurer l'interface utilisateur Edge afin d'effectuer ces appels via HTTPS uniquement, procédez comme suit:

Configurez l'accès TLS à l'API de gestion comme décrit ci-dessus.
Après avoir vérifié que TLS fonctionne pour l'API de gestion, modifiez /opt/apigee/customer/application/management-server.properties pour définir la propriété suivante :
```
conf_webserver_http.turn.off=true
```

Redémarrez le serveur de gestion Edge en exécutant la commande suivante :

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Modifiez /opt/apigee/customer/application/ui.properties afin de définir la propriété suivante pour l'interface utilisateur Edge :
```
conf_apigee_apigee.mgmt.baseurl="https://FQ_domain_name:port/v1"
```
Où FQ_domain_name correspond au nom de domaine complet, conformément à l'adresse de certificat du serveur de gestion, et port correspond au port spécifié ci-dessus par conf_webserver_ssl.port.

Si ui.properties n'existe pas, créez-le.
Seulement si vous avez utilisé un certificat autosigné (non recommandé dans un environnement de production) lors de la configuration de l'accès TLS à l'API de gestion ci-dessus, ajoutez la propriété suivante à ui.properties :
```
conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true
```
Sinon, l'interface utilisateur d'Edge rejette un certificat autosigné.
Redémarrez l'interface utilisateur d'Edge en exécutant la commande suivante :
```
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
```

Utiliser un keystore PKCS12 pour les systèmes d'exploitation compatibles avec FIPS

Si vous utilisez Edge pour le cloud privé sur un système d'exploitation compatible avec FIPS, vous devez utiliser un keystore PKCS12. Cela est nécessaire pour respecter les normes FIPS. En plus des autres configurations standards mentionnées dans cet article, ajoutez la configuration suivante à votre fichier management-server.properties:

conf/webserver.properties+keystore.type=PKCS12

Veillez à appliquer cette modification si votre environnement est compatible FIPS afin de garantir la compatibilité avec les normes de chiffrement requises.

Propriétés TLS pour le serveur de gestion

Le tableau suivant répertorie toutes les propriétés TLS/SSL que vous pouvez définir dans management-server.properties:

Propriétés	Description
`conf_webserver_http.port=8080`	La valeur par défaut est 8080.
`conf_webserver_ssl.enabled=false`	Pour activer/désactiver TLS/SSL. Lorsque TLS/SSL est activé (valeur "true"), vous devez également définir les propriétés ssl.port et keystore.path.
`conf_webserver_http.turn.off=true`	Pour activer/désactiver http avec https. Si vous ne souhaitez utiliser que le protocole HTTPS, conservez la valeur par défaut `true`.
`conf_webserver_ssl.port=8443`	Port TLS/SSL. Obligatoire lorsque TLS/SSL est activé (`conf_webserver_ssl.enabled=true`).
`conf_webserver_keystore.path=path`	Chemin d'accès à votre fichier keystore. Obligatoire lorsque TLS/SSL est activé (`conf_webserver_ssl.enabled=true`).
`conf_webserver_keystore.password=password`	Utilisez un mot de passe obscurci au format suivant: OBF:xxxxxxxxxx
`conf_webserver_cert.alias=alias`	Alias de certificat du keystore facultatif
`conf_webserver_keymanager.password=password`	Si votre gestionnaire de clés est associé à un mot de passe, saisissez une version obscurcie du mot de passe au format suivant: OBF:xxxxxxxxxx
`conf_webserver_trust.all=[false \| true]` `conf_webserver_trust.store.path=path` `conf_webserver_trust.store.password=password`	Configurez les paramètres de votre magasin de confiance. Déterminez si vous souhaitez accepter tous les certificats TLS/SSL (par exemple, pour accepter les types non standards). La valeur par défaut est `false`. Indiquez le chemin d'accès à votre magasin de confiance, puis saisissez un mot de passe de magasin de confiance masqué au format suivant: OBF:xxxxxxxxxx
`conf_http_HTTPTransport.ssl.cipher.suites.blacklist=CIPHER_SUITE_1, CIPHER_SUITE_2` `conf_http_HTTPTransport.ssl.cipher.suites.whitelist=`	Indiquez les suites de chiffrement que vous souhaitez inclure ou exclure. Par exemple, si vous découvrez une faille dans un algorithme de chiffrement, vous pouvez l'exclure ici. Séparez les différents algorithmes de chiffrement par une virgule. Les algorithmes de chiffrement que vous supprimez via la liste noire ont la priorité sur ceux inclus via la liste blanche. Remarque:Par défaut, si aucune liste noire ni liste blanche n'est spécifiée, les algorithmes de chiffrement correspondant à l'expression régulière Java suivante sont exclus. ^._(MD5\|SHA\|SHA1)$ ^TLS_RSA_.$ ^SSL_.$ ^._NULL_.$ ^._anon_.*$ Toutefois, si vous spécifiez une liste de blocage, ce filtre est ignoré, et vous devez ajouter tous les algorithmes de chiffrement à la liste de blocage individuellement. Pour en savoir plus sur les suites de chiffrement et l'architecture de cryptographie, consultez la Documentation des fournisseurs Oracle pour Java Cryptography Architecture pour JDK 8.
`conf_webserver_ssl.session.cache.size=` `conf_webserver_ssl.session.timeout=`	Entiers qui déterminent: Taille du cache de session TLS/SSL (en octets) pour stocker les informations de session de plusieurs clients. Durée pendant laquelle les sessions TLS/SSL peuvent durer avant d'expirer (en millisecondes).