Management API 的 TLS 預設會停用,而且您可以使用 Management Server 節點的 IP 位址和通訊埠 8080,透過 HTTP 存取 Edge Management API。例如:
http://ms_IP:8080
或者,您也可以設定管理 API 的 TLS 存取權,以便透過以下表單存取:
https://ms_IP:8443
在本例中,您會將 TLS 存取權設為使用 8443 通訊埠。不過,Edge 並未要求使用該通訊埠號碼,您可以將管理伺服器設定為使用其他通訊埠值。唯一的要求是防火牆必須允許透過指定通訊埠的流量。
如要確保傳入及傳出 Management API 的流量加密,請調整 /opt/apigee/customer/application/management-server.properties 檔案中的設定。
除了 TLS 設定之外,您也可以修改 management-server.properties 檔案,藉此控制密碼驗證 (密碼長度和強度)。
確認 TLS 通訊埠已開啟
本節的程序會將 TLS 設定為在管理伺服器上使用通訊埠 8443。無論您使用哪個通訊埠,都必須確保管理伺服器已開啟該通訊埠。例如,您可以使用下列指令開啟它:
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose
設定 TLS
編輯 /opt/apigee/customer/application/management-server.properties 檔案,控管管理 API 傳入和傳出流量的 TLS 用量。如果這個檔案不存在,請建立這個檔案。
如要設定管理 API 的 TLS 存取權:
- 產生包含 TLS 認證和私密金鑰的 KeyStore JKS 檔案。詳情請參閱為 Edge On Premises 設定 TLS/SSL。
- 將金鑰庫 JKS 檔案複製到管理伺服器節點的目錄,例如
/opt/apigee/customer/application。 - 將 JKS 檔案的擁有權變更為「apigee」使用者:
chown apigee:apigee keystore.jks
其中 keystore.jks 是 KeyStore 檔案的名稱。
- 編輯
/opt/apigee/customer/application/management-server.properties以設定下列屬性。如果該檔案不存在,請建立檔案:conf_webserver_ssl.enabled=true # Leave conf_webserver_http.turn.off set to false # because many Edge internal calls use HTTP. conf_webserver_http.turn.off=false conf_webserver_ssl.port=8443 conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks # Enter the obfuscated keystore password below. conf_webserver_keystore.password=OBF:obfuscatedPassword
其中 keyStore.jks 是您的 KeyStore 檔案,而 obfuscatedPassword 是您經過模糊處理的 KeyStore 密碼。如要瞭解如何產生經過模糊處理的密碼,請參閱「為 Edge On Premises 設定 TLS/SSL」。
- 使用以下指令重新啟動 Edge Management Server:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
管理 API 現已支援透過 TLS 存取。
設定 Edge UI 使用 TLS 存取 Edge API
在上述程序中,Apigee 建議保留 conf_webserver_http.turn.off=false,以便 Edge UI 繼續透過 HTTP 發出 Edge API 呼叫。
請按照下列程序設定 Edge UI,以便只透過 HTTPS 發出這些呼叫:
- 按照上述說明設定管理 API 的 TLS 存取權。
- 確認管理 API 的 TLS 運作正常後,請編輯
/opt/apigee/customer/application/management-server.properties來設定下列屬性:conf_webserver_http.turn.off=true
- 執行下列指令,重新啟動 Edge 管理伺服器:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- 編輯
/opt/apigee/customer/application/ui.properties,為 Edge UI 設定下列屬性:conf_apigee_apigee.mgmt.baseurl="https://FQ_domain_name:port/v1"
其中 FQ_domain_name 是管理伺服器的憑證位址,而 port 是
conf_webserver_ssl.port在上述指定的通訊埠。如果 ui.properties 不存在,請建立這個檔案。
- 如果您在設定上述管理 API 的 TLS 存取權時使用了自行簽署的憑證 (不建議在正式環境中使用),請將下列屬性新增至
ui.properties:conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true
否則 Edge UI 會拒絕自行簽署的憑證。
- 執行下列指令,重新啟動 Edge UI:
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
針對支援 FIPS 的作業系統使用 PKCS12 KeyStore
如果您在支援 FIPS 的作業系統上使用 Edge for Private Cloud,則必須使用 PKCS12 金鑰庫。這項規定是為了遵守 FIPS 標準。除了本文中提及的其他標準設定以外,請在 management-server.properties 檔案中加入以下設定:
conf/webserver.properties+keystore.type=PKCS12
如果環境支援 FIPS,請務必套用這項變更,確保與必要的加密標準相容。
管理伺服器的 TLS 屬性
下表列出您可以在 management-server.properties 設定的所有 TLS/SSL 屬性:
| 屬性 | 說明 |
|---|---|
|
|
預設值為 8080。 |
|
|
啟用/停用 TLS/SSL。啟用 TLS/SSL (設為 true) 時,您也必須設定 ssl.port 和 keystore.path 屬性。 |
|
|
如要啟用/停用 http 和 https,如果只想使用 HTTPS,請將預設值保留為 |
|
|
TLS/SSL 通訊埠。 如果已啟用 TLS/SSL 功能,則必須啟用 ( |
|
|
KeyStore 檔案的路徑。 啟用 TLS/SSL 時必填 ( |
|
|
使用以下格式的模糊處理密碼:OBF:xxxxxxxxxx |
|
|
選用的 KeyStore 憑證別名 |
|
|
如果金鑰管理工具有密碼,請使用以下格式輸入經過模糊處理的密碼: OBF:xxxxxxxxxx |
|
|
設定信任存放區。決定是否要接受所有傳輸層安全標準 (TLS)/安全資料傳輸層 (SSL) 憑證 (例如接受非標準類型)。預設值為 OBF:xxxxxxxxxx |
|
|
指明要納入或排除的任何加密套件。舉例來說,如果您發現某個密碼有安全漏洞,可以在此排除該密碼。請使用半形逗號分隔多個密碼。 您透過黑名單移除的任何密碼會優先於透過白名單納入的任何密碼。 注意:根據預設,如未指定黑名單或許可清單,系統會預設排除符合下列 Java 規則運算式的加密。 ^.*_(MD5|SHA|SHA1)$ ^TLS_RSA_.*$ ^SSL_.*$ ^.*_NULL_.*$ ^.*_anon_.*$ 不過,如果您指定了黑名單,這個篩選器就會遭到覆寫,您必須個別將所有加密加入黑名單。 如要瞭解密碼編譯組合和密碼編譯架構,請參閱 JDK 8 的 Java 密碼編譯架構 Oracle 提供者說明文件。 |
|
|
決定以下項目的整數:
|