Management API の TLS の構成

デフォルトでは、管理 API の TLS は無効になっており、Edge 管理 API には Management Server ノードの IP アドレスとポート 8080 を使用した HTTP。例:

http://ms_IP:8080

または、Management API への TLS アクセスを構成して、 次のフォームを使用します。

https://ms_IP:8443

この例では、TLS アクセスでポート 8443 が使用されるように構成します。ただし、Edge についてこのポート番号が必要というわけではありません。他のポート番号を使うように Management Server を構成することもできます。唯一の 要件は、指定したポートでトラフィックを許可することです。

Management API との間のトラフィックを暗号化するには、 /opt/apigee/customer/application/management-server.properties 表示されます。

TLS 構成に加えて、パスワード検証(パスワードの長さ)を制御することも 強度と強度など)management-server.properties ファイルを修正します。

TLS ポートが開いていることを確認する

このセクションの手順で、Management Server でポート 8443 を使用するように構成します。使用するポートにかかわらず、Google Cloud 管理マシンでそのポートが できます。たとえば、次のコマンドを使用して開くことができます。

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose

TLS の構成

/opt/apigee/customer/application/management-server.properties を編集する ファイルを使用して、管理 API との間のトラフィックでの TLS の使用を制御します。このファイルが存在しない場合は、 作成します。

Management API への TLS アクセスを構成するには:

  1. TLS 証明書と秘密鍵を含むキーストア JKS ファイルを生成します。詳細については、オンプレミスの Edge での TLS / SSL の構成をご覧ください。
  2. キーストア JKS ファイルを Management Server ノードのディレクトリ( /opt/apigee/customer/application として。
  3. JKS ファイルの所有権を「apigee」に変更します。user: 
    chown apigee:apigee keystore.jks

    ここで、keystore.jks はキーストア ファイルの名前です。

  4. /opt/apigee/customer/application/management-server.properties を編集して次のプロパティを設定します。このファイルが存在しない場合は作成します。 
    conf_webserver_ssl.enabled=true
# Leave conf_webserver_http.turn.off set to false
# because many Edge internal calls use HTTP.
conf_webserver_http.turn.off=false
conf_webserver_ssl.port=8443
conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks
# Enter the obfuscated keystore password below.
conf_webserver_keystore.password=OBF:obfuscatedPassword

    ここで、keyStore.jks はキーストア ファイルです。 obfuscatedPassword は、難読化されたキーストアのパスワードです。難読化されたパスワードの生成については、オンプレミス Edge での TLS/SSL の構成をご覧ください。

  5. 次のコマンドで Edge Management Server を再起動します。 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

これで、Management API が TLS でのアクセスをサポートするようになりました。

TLS を使用してアクセスするように Edge UI を構成する Edge API

上記の手順では、Edge UI が HTTP 経由で Edge API 呼び出しを引き続き行えるように conf_webserver_http.turn.off=false を終了することをおすすめしています。

HTTPS 経由でのみこれらの呼び出しを行うように Edge UI を構成するには、次の操作を行います。

  1. 上記のように、Management API への TLS アクセスを構成します。
  2. Management API の TLS が機能していることを確認した後、/opt/apigee/customer/application/management-server.properties を編集して次のプロパティを設定します。 
    conf_webserver_http.turn.off=true
  3. 次のコマンドを実行して Edge Management Server を再起動します。 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
  4. /opt/apigee/customer/application/ui.properties を編集して Edge UI の次のプロパティを設定します。
    conf_apigee_apigee.mgmt.baseurl="https://FQ_domain_name:port/v1"

    ここで、FQ_domain_name は Management Server の証明書アドレスに従った完全ドメイン名、port は上記の conf_webserver_ssl.port で指定されたポートです。

    ui.properties が存在しない場合は作成します。

  5. 自己署名証明書を使用した場合のみ(本番環境では推奨されません) 環境) で、上記の Management API への TLS アクセスを構成するときに、 次のプロパティを ui.properties に設定します。 
    conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true

    こうしなかった場合、Edge UI は自己署名証明書を拒否します。

  6. 次のコマンドを実行して、Edge UI を再起動します。 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

FIPS 対応のオペレーティング システムで PKCS12 キーストアを使用する

FIPS 対応のオペレーティング システムで Edge for Private Cloud を使用している場合は、PKCS12 キーストアを使用する必要があります。これは、FIPS 標準に準拠するために必要です。この記事で説明した他の標準構成に加えて、management-server.properties ファイルに次の構成を追加します。

conf/webserver.properties+keystore.type=PKCS12

お使いの環境で FIPS が有効になっている場合は、必要な暗号化標準との互換性を確保するために、この変更を必ず適用してください。

Management Server の TLS プロパティ

次の表に、management-server.properties に設定できる TLS と SSL のすべてのプロパティを示します。

プロパティ 説明

conf_webserver_http.port=8080

デフォルトは 8080 です。

conf_webserver_ssl.enabled=false

TLS / SSL を有効または無効にします。TLS / SSL を有効(true)にした場合、ssl.port プロパティと keystore.path プロパティも設定する必要があります。

conf_webserver_http.turn.off=true

https に加えて http も有効 / 無効にします。HTTPS のみを使用する場合は、デフォルト値を true のままにします。

conf_webserver_ssl.port=8443

TLS / SSL のポート。

TLS/SSL が有効な場合は必須です(conf_webserver_ssl.enabled=true)。

conf_webserver_keystore.path=path

キーストア ファイルのパス。

TLS / SSL が有効な場合に必須(conf_webserver_ssl.enabled=true)。

conf_webserver_keystore.password=password

OBF:xxxxxxxxxx という形式の難読化されたパスワードを使用してください

conf_webserver_cert.alias=alias

キーストア証明書の別名(省略可)

conf_webserver_keymanager.password=password

キー マネージャーにパスワードがある場合、この形式で難読化されたバージョンのパスワードを入力します。

OBF:xxxxxxxxxx

conf_webserver_trust.all=[false | true]

conf_webserver_trust.store.path=path

conf_webserver_trust.store.password=password

トラストストアの設定を構成します。すべての TLS / SSL 証明書を受け入れるかどうかを決めます(非標準のタイプを受け入れるなど)。デフォルトは false です。トラストストアのパスを指定し、この形式の難読化されたトラストストアのパスワードを入力します。

OBF:xxxxxxxxxx

conf_http_HTTPTransport.ssl.cipher.suites.blacklist=CIPHER_SUITE_1, CIPHER_SUITE_2

conf_http_HTTPTransport.ssl.cipher.suites.whitelist=

使用を許可する暗号スイートと許可しない暗号スイートを指定します。たとえば、ある暗号に脆弱性が発見された場合、ここで除外できます。複数の暗号を指定する場合はカンマで区切ります。

ブラックリストから削除した暗号は、含まれるすべての暗号よりも優先されます フィルタできます。

注: デフォルトでは、ブラックリストまたはホワイトリストが指定されていない場合、 次の Java 正規表現はデフォルトで除外されます。

^.*_(MD5|SHA|SHA1)$
^TLS_RSA_.*$
^SSL_.*$
^.*_NULL_.*$
^.*_anon_.*$

拒否リストを指定した場合は このフィルタはオーバーライドされます。すべての暗号を個別にブラックリストに登録する必要があります。

暗号スイートと暗号アーキテクチャの詳細については、以下をご覧ください。 <ph type="x-smartling-placeholder"></ph> Java 暗号化アーキテクチャの Oracle Providers Documentation for JDK 8

conf_webserver_ssl.session.cache.size=

conf_webserver_ssl.session.timeout=

以下を決定する整数。

  • 複数クライアントのセッション情報を格納する TLS / SSL セッション キャッシュのサイズ(バイト数)。
  • TLS / SSL セッションがタイムアウトするまでの時間(ミリ秒)。