Ta strona została przetłumaczona przez Cloud Translation API.

Konfigurowanie protokołu TLS dla interfejsu API zarządzania

Domyślnie interfejs Management API obsługuje wyłączone szyfrowanie TLS. Do interfejsu Management API w usłudze Edge uzyskujesz dostęp przez HTTP, korzystając z adresu IP węzła serwera zarządzania i portu 8080. Na przykład:

http://ms_IP:8080

Możesz też skonfigurować dostęp TLS do interfejsu API zarządzania, aby mieć do niego dostęp w postaci formularza:

https://ms_IP:8443

W tym przykładzie konfigurujesz dostęp TLS, aby używał portu 8443. Ten numer portu nie jest jednak wymagany przez Edge – możesz skonfigurować serwer zarządzający tak, aby używał innych wartości portu. Jedynym wymaganiem jest to, aby zapora sieciowa zezwalała na ruch przez określony port.

Aby zapewnić szyfrowanie ruchu do i z interfejsu API zarządzania, skonfiguruj ustawienia w pliku /opt/apigee/customer/application/management-server.properties.

Oprócz konfiguracji TLS możesz też kontrolować weryfikację hasła (długość i siłę hasła) przez zmodyfikowanie pliku management-server.properties.

Sprawdź, czy port TLS jest otwarty

Procedura opisana w tej sekcji konfiguruje TLS do korzystania z portu 8443 na serwerze zarządzania. Niezależnie od używanego portu musisz się upewnić, że jest on otwarty na serwerze zarządzania. Możesz go otworzyć, na przykład za pomocą tego polecenia:

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose

UWAGA: w tym przykładzie port TLS to 8443, a nie bardziej typowy port 443.

Porty poniżej 1024 są zwykle chronione przez system operacyjny i wymagają dostępu na poziomie roota przez proces, który uzyskuje do nich dostęp. Serwer zarządzania brzegiem działa jako użytkownik „apigee” i dlatego zwykle nie ma dostępu do portów poniżej 1024.

Alternatywą jest użycie systemu równoważenia obciążenia z interfejsem Edge API i zakończenie szyfrowania TLS w systemie równoważenia obciążenia na porcie 443. Następnie możesz używać protokołu HTTP lub HTTPS między systemem równoważenia obciążenia a interfejsem Edge API.

Inną opcją jest użycie iptables do przekierowywania żądań z portu 443 na port 8443. Na przykład:

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 8443

Konfigurowanie TLS

Edytuj plik /opt/apigee/customer/application/management-server.properties, aby kontrolować użycie TLS w ruchu do i z interfejsu zarządzania API. Jeśli ten plik nie istnieje, utwórz go.

Aby skonfigurować dostęp TLS do interfejsu API do zarządzania:

Wygeneruj plik magazynu kluczy JKS zawierający certyfikat TLS i klucz prywatny. Więcej informacji znajdziesz w artykule Konfigurowanie TLS/SSL w przypadku usługi Edge On Premises.
Skopiuj plik JKS magazynu kluczy do katalogu w węźle serwera zarządzania, na przykład /opt/apigee/customer/application.
Zmień właściciela pliku JKS na użytkownika „apigee”:
```
chown apigee:apigee keystore.jks
```
Gdzie keystore.jks to nazwa pliku klucza.
Edytuj pole /opt/apigee/customer/application/management-server.properties, aby ustawić poniższe właściwości. Jeśli plik nie istnieje, utwórz go:
```
conf_webserver_ssl.enabled=true
# Leave conf_webserver_http.turn.off set to false
# because many Edge internal calls use HTTP.
conf_webserver_http.turn.off=false
conf_webserver_ssl.port=8443
conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks
# Enter the obfuscated keystore password below.
conf_webserver_keystore.password=OBF:obfuscatedPassword
```
Gdzie keyStore.jks to plik magazynu kluczy, a obfuscatedPassword to zaciemnione hasło do magazynu kluczy. Informacje o generowaniu zaciemnionego hasła znajdziesz w artykule o konfigurowaniu TLS/SSL na potrzeby tymczasowego przechowywania danych na serwerach brzegowych.

Ponownie uruchom serwer zarządzania brzegiem serwera za pomocą polecenia:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Interfejs API zarządzania obsługuje teraz dostęp przez protokół TLS.

Uwaga: po włączeniu protokołu TLS sprawdź, czy wartość APIGEE_PORT_HTTP_MS w $APIGEE_ROOT/customer/defaults.sh jest prawidłowa. Jeśli jest nieprawidłowy, zmień defaults.sh.

Konfigurowanie interfejsu Edge, aby używał protokołu TLS do uzyskiwania dostępu do interfejsu Edge API

W ramach opisanej powyżej procedury firma Apigee zaleca pozostawienie wartości conf_webserver_http.turn.off=false, aby interfejs użytkownika Edge mógł nadal wywoływać interfejs Edge API przez HTTP.

Aby skonfigurować interfejs użytkownika przeglądarki Edge tak, aby te wywołania były wykonywane tylko przez HTTPS:

Skonfiguruj dostęp TLS do interfejsu API zarządzania zgodnie z instrukcjami podanymi powyżej.
Po potwierdzeniu, że interfejs TLS działa w przypadku interfejsu API zarządzania, otwórz plik /opt/apigee/customer/application/management-server.properties, aby ustawić tę właściwość:
```
conf_webserver_http.turn.off=true
```

Uruchom ponownie serwer Edge Management Server, wykonując to polecenie:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Edytuj /opt/apigee/customer/application/ui.properties, aby ustawić tę właściwość interfejsu Edge:
```
conf_apigee_apigee.mgmt.baseurl="https://FQ_domain_name:port/v1"
```
Gdzie FQ_domain_name to pełna nazwa domeny zgodnie z adresem serwera zarządzania w certyfikacie, a port to port określony powyżej przez conf_webserver_ssl.port.

Jeśli plik ui.properties nie istnieje, utwórz go.
Tylko jeśli podczas konfigurowania dostępu TLS do interfejsu API zarządzania powyżej korzystasz z samodzielnie podpisanego certyfikatu (niezalecanego w środowisku produkcyjnym), dodaj do obiektu ui.properties tę właściwość:
```
conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true
```
W przeciwnym razie interfejs Edge odrzuci samodzielnie podpisany certyfikat.

Uruchom ponownie interfejs Edge, wykonując to polecenie:

/opt/apigee/apigee-service/bin/apigee-service edge-ui restart

Korzystanie z klucza PKCS12 w systemach operacyjnych zgodnych z FIPS

Jeśli używasz Edge dla Private Cloud w systemie operacyjnym z obsługą FIPS, musisz użyć magazynu kluczy PKCS12. Wymagamy tego, aby zachować zgodność ze standardami FIPS. Oprócz innych standardowych konfiguracji wymienionych w tym artykule dodaj do pliku management-server.properties tę konfigurację:

conf/webserver.properties+keystore.type=PKCS12

Wprowadź tę zmianę, jeśli Twoje środowisko obsługuje FIPS, aby zapewnić zgodność z wymaganymi standardami szyfrowania.

Właściwości TLS serwera zarządzania

Poniższa tabela zawiera wszystkie właściwości TLS/SSL, które możesz ustawić w management-server.properties:

Właściwości	Opis
`conf_webserver_http.port=8080`	Wartość domyślna to 8080.
`conf_webserver_ssl.enabled=false`	Aby włączyć lub wyłączyć TLS/SSL. Gdy TLS/SSL jest włączone (wartość „true”), musisz też ustawić właściwości ssl.port i keystore.path.
`conf_webserver_http.turn.off=true`	Aby włączyć lub wyłączyć połączenia http i https. Jeśli chcesz używać tylko protokołu HTTPS, pozostaw wartość domyślną `true`.
`conf_webserver_ssl.port=8443`	Port TLS/SSL. Wymagane, gdy włączony jest protokół TLS/SSL (`conf_webserver_ssl.enabled=true`).
`conf_webserver_keystore.path=path`	Ścieżka do pliku magazynu kluczy. Wymagane, gdy włączony jest protokół TLS/SSL (`conf_webserver_ssl.enabled=true`).
`conf_webserver_keystore.password=password`	Użyj zaciemnionego hasła w tym formacie: OBF:xxxxxxxxxx
`conf_webserver_cert.alias=alias`	Opcjonalny alias certyfikatu magazynu kluczy
`conf_webserver_keymanager.password=password`	Jeśli Twój menedżer kluczy ma hasło, wpisz zaciemnioną wersję hasła w tym formacie: OBF:xxxxxxxxxx
`conf_webserver_trust.all=[false \| true]` `conf_webserver_trust.store.path=path` `conf_webserver_trust.store.password=password`	Skonfiguruj ustawienia zaufanych magazynów danych. Określ, czy chcesz akceptować wszystkie certyfikaty TLS/SSL (np. aby akceptować typy niestandardowe). Wartość domyślna to `false`. Podaj ścieżkę do zaufanego sklepu i wpisz zaciemnione hasło do zaufanego sklepu w tym formacie: OBF:xxxxxxxxxx
`conf_http_HTTPTransport.ssl.cipher.suites.blacklist=CIPHER_SUITE_1, CIPHER_SUITE_2` `conf_http_HTTPTransport.ssl.cipher.suites.whitelist=`	Wskazać szyfrowanie, które chcesz uwzględnić lub wykluczyć. Jeśli na przykład wykryjesz lukę w zabezpieczeniach w szyfrze, możesz go wykluczyć. Poszczególne mechanizmy szyfrowania oddziel przecinkami. Wszystkie szyfry usunięte z czarnej listy mają pierwszeństwo przed szyframi dodanymi na białą listę. Uwaga: jeśli nie określisz czarnej ani białej listy, mechanizmy szyfrowania pasujące do poniższego wyrażenia regularnego Java są domyślnie wykluczane. ^._(MD5\|SHA\|SHA1)$ ^TLS_RSA_.$ ^SSL_.$ ^._NULL_.$ ^._anon_.*$ Jeśli jednak podasz czarną listę, ten filtr zostanie zastąpiony i musisz dodać do niej wszystkie szyfry pojedynczo. Informacje o zestawach szyfrów i architekturze kryptograficznej znajdziesz w dokumentacji architektury kryptograficznej Javy dla JDK 8 firmy Oracle.
`conf_webserver_ssl.session.cache.size=` `conf_webserver_ssl.session.timeout=`	Liczba całkowita określająca: Rozmiar pamięci podręcznej sesji TLS/SSL (w bajtach) do przechowywania informacji o sesji dla wielu klientów. Czas trwania sesji TLS/SSL (w milisekundach).