이 페이지는 Cloud Translation API를 통해 번역되었습니다.

Management API의 TLS 구성

기본적으로 관리 API에는 TLS가 사용 중지되어 있으며 관리 서버 노드의 IP 주소와 포트 8080을 사용하여 HTTP를 통해 Edge 관리 API에 액세스합니다. 예를 들면 다음과 같습니다.

http://ms_IP:8080

또는 다음 형식으로 액세스할 수 있도록 관리 API에 대한 TLS 액세스를 구성할 수 있습니다.

https://ms_IP:8443

이 예에서는 포트 8443을 사용하도록 TLS 액세스를 구성합니다. 하지만 이 포트 번호는 Edge에 필요하지 않습니다. 다른 포트 값을 사용하도록 관리 서버를 구성할 수 있습니다. 유일한 요구사항은 방화벽에서 지정된 포트를 통한 트래픽을 허용해야 한다는 점입니다.

관리 API와의 트래픽 암호화를 보장하려면 /opt/apigee/customer/application/management-server.properties 파일에서 설정을 구성합니다.

TLS 구성 외에도 management-server.properties 파일을 수정하여 비밀번호 유효성 검사 (비밀번호 길이 및 강도)를 제어할 수도 있습니다.

TLS 포트가 열려 있는지 확인

이 섹션의 절차는 관리 서버에서 포트 8443을 사용하도록 TLS를 구성합니다. 사용하는 포트에 관계없이 관리 서버에서 포트가 열려 있는지 확인해야 합니다. 예를 들어 다음 명령어를 사용하여 열 수 있습니다.

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose

참고: 이 예에서는 일반적인 포트 443이 아닌 TLS 포트로 포트 8443을 사용합니다.

그 이유는 1024 미만의 포트는 일반적으로 운영체제에 의해 보호되며 이러한 포트에 액세스하는 프로세스에 루트 액세스 권한이 필요하기 때문입니다. Edge 관리 서버는 'apigee' 사용자로 실행되므로 일반적으로 1024 미만의 포트에 액세스할 수 없습니다.

Edge API와 함께 부하 분산기를 사용하고 포트 443의 부하 분산기에서 TLS를 종료하는 것도 한 가지 방법입니다. 그런 다음 부하 분산기와 Edge API 간에 HTTP 또는 HTTPS를 사용할 수 있습니다.

다른 방법으로는 iptables를 사용하여 포트 443의 요청을 포트 8443으로 전달하는 것입니다. 예를 들면 다음과 같습니다.

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 8443

TLS 구성

/opt/apigee/customer/application/management-server.properties 파일을 수정하여 관리 API와의 트래픽에서 TLS 사용을 제어합니다. 이 파일이 없으면 새로 만듭니다.

관리 API에 대한 TLS 액세스를 구성하려면 다음 단계를 따르세요.

TLS 인증서와 비공개 키가 포함된 키 저장소 JKS 파일을 생성합니다. 자세한 내용은 Edge 온프레미스용 TLS/SSL 구성을 참고하세요.
키 저장소 JKS 파일을 관리 서버 노드의 디렉터리(예: /opt/apigee/customer/application)에 복사합니다.
JKS 파일의 소유권을 'apigee' 사용자로 변경합니다.
```
chown apigee:apigee keystore.jks
```
여기서 keystore.jks은 키 저장소 파일의 이름입니다.
/opt/apigee/customer/application/management-server.properties을 수정하여 다음 속성을 설정합니다. 이 파일이 없으면 다음과 같이 만듭니다.
```
conf_webserver_ssl.enabled=true
# Leave conf_webserver_http.turn.off set to false
# because many Edge internal calls use HTTP.
conf_webserver_http.turn.off=false
conf_webserver_ssl.port=8443
conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks
# Enter the obfuscated keystore password below.
conf_webserver_keystore.password=OBF:obfuscatedPassword
```
여기서 keyStore.jks은 키 저장소 파일이고 obfuscatedPassword는 난독화된 키 저장소 비밀번호입니다. 난독화된 비밀번호를 생성하는 방법에 관한 자세한 내용은 Edge 온프레미스용 TLS/SSL 구성을 참고하세요.

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

명령어를 사용하여 에지 관리 서버를 다시 시작합니다.

이제 관리 API에서 TLS를 통한 액세스를 지원합니다.

참고: TLS를 사용 설정한 후 $APIGEE_ROOT/customer/defaults.sh에서 APIGEE_PORT_HTTP_MS 값이 올바른지 확인합니다. 올바르지 않으면 defaults.sh를 수정합니다.

TLS를 사용하여 Edge API에 액세스하도록 Edge UI 구성

위 절차에서 Apigee는 Edge UI가 HTTP를 통해 계속 Edge API를 호출할 수 있도록 conf_webserver_http.turn.off=false를 그대로 두는 것이 좋습니다.

다음 절차에 따라 HTTPS를 통해서만 이러한 호출을 실행하도록 Edge UI를 구성합니다.

위에 설명된 대로 관리 API에 대한 TLS 액세스를 구성합니다.
관리 API에서 TLS가 작동하는지 확인한 후 /opt/apigee/customer/application/management-server.properties를 수정하여 다음 속성을 설정합니다.
```
conf_webserver_http.turn.off=true
```

다음 명령어를 실행하여 Edge 관리 서버를 다시 시작합니다.

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

/opt/apigee/customer/application/ui.properties을 수정하여 Edge UI에 다음 속성을 설정합니다.
```
conf_apigee_apigee.mgmt.baseurl="https://FQ_domain_name:port/v1"
```
여기서 FQ_domain_name는 관리 서버의 인증서 주소에 따른 전체 도메인 이름이고 port는 위에 conf_webserver_ssl.port로 지정된 포트입니다.

ui.properties가 없으면 만듭니다.
위의 관리 API에 대한 TLS 액세스를 구성할 때 자체 서명 인증서를 사용한 경우에만 (프로덕션 환경에서는 권장되지 않음) ui.properties에 다음 속성을 추가합니다.
```
conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true
```
그러지 않으면 Edge UI에서 자체 서명 인증서를 거부합니다.
다음 명령어를 실행하여 Edge UI를 다시 시작합니다.
```
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
```

FIPS 지원 운영체제에 PKCS12 키 저장소 사용

FIPS 지원 운영체제에서 프라이빗 클라우드용 Edge를 사용하는 경우 PKCS12 키 저장소를 사용해야 합니다. 이는 FIPS 표준을 준수하기 위해 필요합니다. 이 도움말에 언급된 다른 표준 구성 외에도 management-server.properties 파일에 다음 구성을 추가합니다.

conf/webserver.properties+keystore.type=PKCS12

환경에서 FIPS를 사용 설정하고 있는 경우 필요한 암호화 표준과의 호환성을 보장하기 위해 이 변경사항을 적용해야 합니다.

관리 서버의 TLS 속성

다음 표에는 management-server.properties에서 설정할 수 있는 모든 TLS/SSL 속성이 나와 있습니다.

속성	설명
`conf_webserver_http.port=8080`	기본값은 8080입니다.
`conf_webserver_ssl.enabled=false`	TLS/SSL을 사용 설정/사용 중지합니다. TLS/SSL이 사용 설정된 경우 (true) ssl.port 및 keystore.path 속성도 설정해야 합니다.
`conf_webserver_http.turn.off=true`	https와 함께 http를 사용 설정/사용 중지합니다. HTTPS만 사용하려면 기본값을 `true`로 둡니다.
`conf_webserver_ssl.port=8443`	TLS/SSL 포트입니다. TLS/SSL이 사용 설정된 경우 (`conf_webserver_ssl.enabled=true`) 필요합니다.
`conf_webserver_keystore.path=path`	키 저장소 파일의 경로입니다. TLS/SSL이 사용 설정된 경우 (`conf_webserver_ssl.enabled=true`) 필요합니다.
`conf_webserver_keystore.password=password`	OBF:xxxxxxxxxx 형식의 난독화된 비밀번호를 사용하세요.
`conf_webserver_cert.alias=alias`	키 저장소 인증서 별칭(선택사항)
`conf_webserver_keymanager.password=password`	키 관리자에 비밀번호가 있는 경우 다음 형식으로 난독화된 비밀번호를 입력합니다. OBF:xxxxxxxxxx
`conf_webserver_trust.all=[false \| true]` `conf_webserver_trust.store.path=path` `conf_webserver_trust.store.password=password`	트러스트 저장소 설정을 구성합니다. 모든 TLS/SSL 인증서를 수락할지 (예: 비표준 유형 허용)를 결정합니다. 기본값은 `false`입니다. 트러스트 저장소의 경로를 입력하고 난독화된 트러스트 저장소 비밀번호를 다음 형식으로 입력합니다. OBF:xxxxxxxxxx
`conf_http_HTTPTransport.ssl.cipher.suites.blacklist=CIPHER_SUITE_1, CIPHER_SUITE_2` `conf_http_HTTPTransport.ssl.cipher.suites.whitelist=`	포함하거나 제외할 암호화 모음을 표시합니다. 예를 들어 암호에서 취약점을 발견하면 여기에서 제외할 수 있습니다. 암호가 여러 개인 경우 쉼표로 구분합니다. 블랙리스트를 통해 삭제한 암호화 알고리즘은 허용 목록을 통해 포함된 암호화 알고리즘보다 우선 적용됩니다. 참고: 기본적으로 블랙리스트 또는 허용 목록이 지정되지 않은 경우 다음 Java 정규 표현식과 일치하는 암호화 알고리즘은 기본적으로 제외됩니다. ^._(MD5\|SHA\|SHA1)$ ^TLS_RSA_.$ ^SSL_.$ ^._NULL_.$ ^._anon_.*$ 하지만 블랙리스트를 지정하면 이 필터가 재정의되며 모든 암호화를 개별적으로 차단 목록에 추가해야 합니다. 암호화 스위트 및 암호화 아키텍처에 관한 자세한 내용은 JDK 8용 Java 암호화 아키텍처 Oracle 제공업체 문서를 참고하세요.
`conf_webserver_ssl.session.cache.size=` `conf_webserver_ssl.session.timeout=`	다음을 결정하는 정수: 여러 클라이언트의 세션 정보를 저장하기 위한 TLS/SSL 세션 캐시 크기 (바이트)입니다. TLS/SSL 세션이 시간 초과되기 전에 지속될 수 있는 시간 (밀리초)입니다.