Halaman ini diterjemahkan oleh Cloud Translation API.

Mengonfigurasi TLS untuk Management API

Secara default, TLS dinonaktifkan untuk API pengelolaan dan Anda mengakses API pengelolaan Edge melalui HTTP menggunakan alamat IP node Server Pengelolaan dan port 8080. Contoh:

http://ms_IP:8080

Atau, Anda dapat mengonfigurasi akses TLS ke API pengelolaan sehingga dapat mengaksesnya dalam bentuk:

https://ms_IP:8443

Dalam contoh ini, Anda mengonfigurasi akses TLS untuk menggunakan port 8443. Namun, nomor port tersebut tidak diperlukan oleh Edge - Anda dapat mengonfigurasi Server Pengelolaan untuk menggunakan nilai port lainnya. Satu-satunya persyaratan adalah firewall Anda mengizinkan traffic melalui port yang ditentukan.

Untuk memastikan enkripsi traffic ke dan dari API pengelolaan, konfigurasikan setelan di file /opt/apigee/customer/application/management-server.properties.

Selain konfigurasi TLS, Anda juga dapat mengontrol validasi sandi (panjang dan kekuatan sandi) dengan memodifikasi file management-server.properties.

Pastikan port TLS Anda terbuka

Prosedur di bagian ini mengonfigurasi TLS untuk menggunakan port 8443 di Server Pengelolaan. Terlepas dari port yang digunakan, Anda harus memastikan bahwa port tersebut terbuka di Server Pengelolaan. Misalnya, Anda dapat menggunakan perintah berikut untuk membukanya:

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose

CATATAN: Contoh ini menggunakan port 8443 untuk port TLS, dan bukan port 443 yang lebih umum.

Alasannya adalah port di bawah 1024 biasanya dilindungi oleh sistem operasi dan mengharuskan proses yang mengaksesnya untuk memiliki akses root. Server Pengelolaan Edge berjalan sebagai pengguna "apigee" sehingga biasanya tidak memiliki akses ke port di bawah 1024.

Salah satu alternatifnya adalah menggunakan load balancer dengan Edge API dan menghentikan TLS di load balancer pada port 443. Kemudian, Anda dapat menggunakan HTTP atau HTTPS antara load balancer dan Edge API.

Alternatif lainnya adalah menggunakan iptables untuk meneruskan permintaan ke port 443 ke port 8443. Contoh:

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 8443

Mengonfigurasi TLS

Edit file /opt/apigee/customer/application/management-server.properties untuk mengontrol penggunaan TLS pada traffic ke dan dari API pengelolaan Anda. Jika file ini tidak ada, buatlah.

Untuk mengonfigurasi akses TLS ke API pengelolaan:

Buat file JKS keystore yang berisi sertifikasi TLS dan kunci pribadi Anda. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi TLS/SSL untuk Edge On Premises.
Salin file JKS keystore ke direktori di node Server Pengelolaan, seperti /opt/apigee/customer/application.
Ubah kepemilikan file JKS ke pengguna "apigee":
```
chown apigee:apigee keystore.jks
```
Dengan keystore.jks adalah nama file keystore Anda.
Edit /opt/apigee/customer/application/management-server.properties untuk menetapkan properti berikut. Jika file tersebut tidak ada, buat file tersebut:
```
conf_webserver_ssl.enabled=true
# Leave conf_webserver_http.turn.off set to false
# because many Edge internal calls use HTTP.
conf_webserver_http.turn.off=false
conf_webserver_ssl.port=8443
conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks
# Enter the obfuscated keystore password below.
conf_webserver_keystore.password=OBF:obfuscatedPassword
```
Dengan keyStore.jks adalah file keystore Anda, dan obfuscatedPassword adalah sandi keystore yang di-obfuscate. Lihat Mengonfigurasi TLS/SSL untuk Edge On Premises untuk mengetahui informasi tentang cara membuat sandi yang di-obfuscate.

Mulai ulang Server Pengelolaan Edge menggunakan perintah:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Management API kini mendukung akses melalui TLS.

Catatan: Setelah mengaktifkan TLS, pastikan nilai APIGEE_PORT_HTTP_MS sudah benar di $APIGEE_ROOT/customer/defaults.sh. Jika tidak benar, ubah defaults.sh.

Mengonfigurasi UI Edge untuk menggunakan TLS guna mengakses Edge API

Dalam prosedur di atas, Apigee merekomendasikan untuk membiarkan conf_webserver_http.turn.off=false sehingga UI Edge dapat terus melakukan panggilan Edge API melalui HTTP.

Gunakan prosedur berikut untuk mengonfigurasi UI Edge agar melakukan panggilan ini hanya melalui HTTPS:

Konfigurasikan akses TLS ke API pengelolaan seperti yang dijelaskan di atas.
Setelah mengonfirmasi bahwa TLS berfungsi untuk API pengelolaan, edit /opt/apigee/customer/application/management-server.properties untuk menetapkan properti berikut:
```
conf_webserver_http.turn.off=true
```

Mulai ulang Server Pengelolaan Edge dengan menjalankan perintah berikut:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Edit /opt/apigee/customer/application/ui.properties untuk menetapkan properti berikut untuk UI Edge:
```
conf_apigee_apigee.mgmt.baseurl="https://FQ_domain_name:port/v1"
```
Dengan FQ_domain_name adalah nama domain lengkap, sesuai dengan alamat sertifikat Server Pengelolaan Anda, dan port adalah port yang ditentukan di atas oleh conf_webserver_ssl.port.

Jika ui.properties tidak ada, buat file tersebut.
Hanya jika Anda menggunakan sertifikat dengan tanda tangan sendiri (tidak direkomendasikan di lingkungan produksi) saat mengonfigurasi akses TLS ke API pengelolaan di atas, tambahkan properti berikut ke ui.properties:
```
conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true
```
Jika tidak, UI Edge akan menolak sertifikat yang ditandatangani sendiri.

Mulai ulang UI Edge dengan menjalankan perintah berikut:

/opt/apigee/apigee-service/bin/apigee-service edge-ui restart

Menggunakan keystore PKCS12 untuk sistem operasi yang mengaktifkan FIPS

Jika menggunakan Edge untuk Private Cloud pada sistem operasi yang mendukung FIPS, Anda harus menggunakan keystore PKCS12. Hal ini diperlukan untuk mematuhi standar FIPS. Selain konfigurasi standar lain yang disebutkan dalam artikel ini, tambahkan konfigurasi berikut ke file management-server.properties Anda:

conf/webserver.properties+keystore.type=PKCS12

Pastikan untuk menerapkan perubahan ini jika lingkungan Anda mengaktifkan FIPS untuk memastikan kompatibilitas dengan standar enkripsi yang diperlukan.

Properti TLS untuk Server Pengelolaan

Tabel berikut mencantumkan semua properti TLS/SSL yang dapat Anda tetapkan di management-server.properties:

Properti	Deskripsi
`conf_webserver_http.port=8080`	Defaultnya adalah 8080.
`conf_webserver_ssl.enabled=false`	Untuk mengaktifkan/menonaktifkan TLS/SSL. Dengan TLS/SSL diaktifkan (true), Anda juga harus menetapkan properti ssl.port dan keystore.path.
`conf_webserver_http.turn.off=true`	Untuk mengaktifkan/menonaktifkan http beserta https. Jika Anda hanya ingin menggunakan HTTPS, biarkan nilai default-nya adalah `true`.
`conf_webserver_ssl.port=8443`	Port TLS/SSL. Diperlukan saat TLS/SSL diaktifkan (`conf_webserver_ssl.enabled=true`).
`conf_webserver_keystore.path=path`	Jalur ke file keystore Anda. Diperlukan saat TLS/SSL diaktifkan (`conf_webserver_ssl.enabled=true`).
`conf_webserver_keystore.password=password`	Gunakan sandi yang di-obfuscate dalam format ini: OBF:xxxxxxxxxx
`conf_webserver_cert.alias=alias`	Alias sertifikat keystore opsional
`conf_webserver_keymanager.password=password`	Jika pengelola kunci Anda memiliki sandi, masukkan versi sandi yang di-obfuscate dalam format ini: OBF:xxxxxxxxxx
`conf_webserver_trust.all=[false \| true]` `conf_webserver_trust.store.path=path` `conf_webserver_trust.store.password=password`	Konfigurasikan setelan untuk trust store Anda. Tentukan apakah Anda ingin menerima semua sertifikat TLS/SSL (misalnya, untuk menerima jenis non-standar). Nilai defaultnya adalah `false`. Berikan jalur ke trust store Anda, dan masukkan sandi trust store yang di-obfuscate dalam format ini: OBF:xxxxxxxxxx
`conf_http_HTTPTransport.ssl.cipher.suites.blacklist=CIPHER_SUITE_1, CIPHER_SUITE_2` `conf_http_HTTPTransport.ssl.cipher.suites.whitelist=`	Tunjukkan rangkaian penyandian apa pun yang ingin Anda sertakan atau kecualikan. Misalnya, jika menemukan kerentanan dalam cipher, Anda dapat mengecualikannya di sini. Pisahkan beberapa cipher dengan koma. Setiap cipher yang Anda hapus melalui daftar yang tidak diizinkan akan lebih diprioritaskan daripada cipher apa pun yang disertakan melalui daftar yang diizinkan. Catatan: Secara default, jika tidak ada daftar hitam atau daftar putih yang ditentukan, cipher yang cocok dengan ekspresi reguler Java berikut akan dikecualikan secara default. ^._(MD5\|SHA\|SHA1)$ ^TLS_RSA_.$ ^SSL_.$ ^._NULL_.$ ^._anon_.*$ Namun, jika Anda menentukan daftar yang tidak diizinkan, filter ini akan diganti, dan Anda harus memasukkan semua cipher ke dalam daftar yang tidak diizinkan satu per satu. Untuk informasi tentang cipher suite dan arsitektur kriptografi, lihat Dokumentasi Penyedia Oracle Java Cryptography Architecture untuk JDK 8.
`conf_webserver_ssl.session.cache.size=` `conf_webserver_ssl.session.timeout=`	Bilangan bulat yang menentukan: Ukuran cache sesi TLS/SSL (dalam byte) untuk menyimpan informasi sesi bagi beberapa klien. Durasi sesi TLS/SSL dapat berlangsung sebelum waktu tunggu habis (dalam milidetik).