デフォルトでは、Edge UI には、プロジェクトの IP アドレスを使用して HTTP Management Server ノードとポート 9000。例:
http://ms_IP:9000
別の方法として、TLS を使用して Edge UI にアクセスするよう構成することもできます。その場合は次の形式を使用します。
https://ms_IP:9443
この例では、TLS アクセスでポート 9443 が使用されるように構成します。ただし、このポート番号は 他のポート値を使用するように Management Server を構成できます。唯一の要件は、ファイアウォールが指定のポートでトラフィックを許可していることです。
TLS ポートが開いていることを確認する
このセクションの手順で、Management Server でポート 9443 を使用するように TLS を構成します。使用するポートにかかわらず、Google Cloud 管理マシンでそのポートが できます。たとえば、次のコマンドを使用して開くことができます。
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose
TLS の構成
管理 UI への TLS アクセスを構成するには、次の手順を行います。
- TLS 証明書と秘密鍵を含むキーストア JKS ファイルを生成し、 Management Server ノードにアタッチします。詳細については、オンプレミスの Edge での TLS / SSL の構成をご覧ください。
- 次のコマンドを実行して TLS を構成します。
/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl
- HTTPS ポート番号(9443 など)を入力します。
- 管理 UI への HTTP アクセスを無効にするかどうかを指定します。デフォルトでは、ポート 9000 の HTTP で管理 UI にアクセスできます。
- キーストア アルゴリズムを入力します。デフォルトは JKS です。
- キーストア JKS ファイルの絶対パスを入力します。
このスクリプトにより、ファイルが VM の
/opt/apigee/customer/confディレクトリにコピーされます。 Management Server ノードで更新し、ファイルの所有権を「apigee」に変更します。 - 平文のキーストア パスワードを入力します。
- このスクリプトを実行すると、Edge 管理 UI が再起動します。再起動すると、管理 UI に
サポートしています。
これらの設定は
/opt/apigee/etc/edge-ui.d/SSL.shで確認できます。
構成ファイルを使用した TLS の構成
上記の手順の代わりに、手順 2 でコマンドに構成ファイルを渡すこともできます。オプションの TLS プロパティを設定する場合は、この方法を使用する必要があります。
構成ファイルを使用するには、新しいファイルを作成して次のプロパティを追加します。
HTTPSPORT=9443 DISABLE_HTTP=y # Set type to PKCS12 if you are using a PKCS12 keystore KEY_ALGO=JKS KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks KEY_PASS=clearTextKeystorePWord
ローカル ディレクトリに任意の名前でファイルを保存します。 次に、次のコマンドを使用して TLS を構成します。
/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile
ここで、configFile は保存したファイルのフルパスです。
FIPS 対応のオペレーティング システムで PKCS12 キーストアを使用する
FIPS 対応のオペレーティング システムで Edge for Private Cloud を使用している場合は、PKCS12 キーストアを使用する必要があります。PKCS12 キーストアは、標準の OpenSSL コマンドを使用して生成できます。PKCS12 キーストアを使用する場合は、構成ファイルで KEY_ALGO=PKCS12 を設定します。
TLS 時に Edge UI を構成する ロードバランサで終端
リクエストを Edge UI に転送するロードバランサを配置している場合、TLS 接続をロードバランサで終端させ、ロードバランサから HTTP で Edge UI にリクエストを転送できます。この構成はサポートされていますが、ロードバランサと Edge UI をそれに応じて構成する必要があります。
ユーザーが作成されたとき、またはユーザーがパスワードの再設定をリクエストしたときに Edge UI からユーザーにパスワード設定メールを送信する場合は、追加の構成が必要です。このメールには、パスワードを設定または再設定するための URL が記載されています。デフォルトでは、Edge UI が TLS を使用するように構成されていない場合、生成されたメールの URL で使用されるプロトコルは HTTPS ではなく HTTP になります。外部 IP アドレスを使用するメールアドレスが生成されるように、ロードバランサと Edge UI を構成する必要があります。 提供します。
ロードバランサを構成するには、Edge UI に転送するリクエストに次のヘッダーが設定されるようにします。
X-Forwarded-Proto: https
Edge UI を構成するには:
/opt/apigee/customer/application/ui.propertiesファイルをエディタで開きます。ファイルが存在しない場合は作成します。vi /opt/apigee/customer/application/ui.properties
ui.propertiesで次のプロパティを設定します。conf/application.conf+trustxforwarded=true
- 変更を
ui.propertiesに保存します。 - Edge UI を再起動します。
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
オプションの TLS プロパティの設定
Edge UI では、オプションの TLS 構成プロパティがサポートされており、次の設定に使用できます。
- デフォルトの TLS プロトコル
- サポートされている TLS プロトコルのリスト
- サポートされている TLS アルゴリズム
- サポートされている TLS 暗号
これらのオプション パラメータは、次の構成プロパティを設定する場合にのみ使用できます。 宣言します。詳細については、 構成ファイルを使用して TLS を構成する:
TLS_CONFIGURE=y
次の表に、これらのプロパティを示します。
| プロパティ | 説明 |
|---|---|
TLS_PROTOCOL
|
Edge UI のデフォルトの TLS プロトコルを定義します。デフォルトは TLS 1.2 です。有効な値は、TLSv1.2、TLSv1.1、TLSv1 です。 |
TLS_ENABLED_PROTOCOL
|
有効なプロトコルのリストをカンマ区切りの配列として定義します。例: TLS_ENABLED_PROTOCOL=[\"TLSv1.2\", \"TLSv1.1\", \"TLSv1\"] 「.」をエスケープする必要があります。あります。
デフォルトでは、すべてのプロトコルが有効になっています。 |
TLS_DISABLED_ALGO
|
無効な暗号スイートを定義します。TLS handshake に小さなキーサイズが使用されないようにするためにも使用できます。デフォルト値はありません。
TLS_DISABLED_ALGO=EC\ keySize\ <\ 160,RSA\ keySize\ <\ 2048 |
TLS_ENABLED_CIPHERS
|
使用可能な TLS 暗号のリストをカンマ区切り配列として定義します。次に例を示します。 TLS_ENABLED_CIPHERS=[\"TLS_DHE_RSA_WITH_AES_128_CBC_SHA\", \"TLS_DHE_DSS_WITH_AES_128_CBC_SHA\"] 「.」をエスケープする必要があります。あります。
有効な暗号のデフォルトのリストは次のとおりです。 "TLS_DHE_RSA_WITH_AES_256_CBC_SHA", "TLS_DHE_RSA_WITH_AES_128_CBC_SHA", "TLS_DHE_DSS_WITH_AES_128_CBC_SHA", "TLS_RSA_WITH_AES_256_CBC_SHA", "TLS_RSA_WITH_AES_128_CBC_SHA", "SSL_RSA_WITH_RC4_128_SHA", "SSL_RSA_WITH_RC4_128_MD5", "TLS_EMPTY_RENEGOTIATION_INFO_SCSV" 利用可能な暗号のリストを検索する こちらをご覧ください。 |
TLS プロトコルの無効化
TLS プロトコルを無効にするには、構成ファイルを使用して TLS を構成するの説明に従って構成ファイルを編集する必要があります。
- エディタで構成ファイルを開きます。
- 単一の TLS プロトコル(TLSv1.0 など)を無効にするには、次の行を追加します。
次のように構成ファイルに追加します。
TLS_CONFIGURE=y TLS_DISABLED_ALGO="tlsv1"
複数のプロトコル(TLSv1.0 と TLSv1.1 など)を無効にするには、 構成ファイルに以下を追加します。
TLS_CONFIGURE=y TLS_DISABLED_ALGO="tlsv1, tlsv1.1"
- 変更を構成ファイルに保存します。
- 次のコマンドを実行して TLS を構成します。
/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile
ここで、configFile は構成ファイルのフルパスです。
- Edge UI を再起動します。
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
セキュア Cookie を使用する
Apigee Edge for Private Cloud では、Set-Cookie ヘッダーに secure フラグを追加できます。
レスポンスを返します。このフラグが存在する場合、Cookie は
TLS 対応チャネル。存在しない場合、Cookie はあらゆるチャネルを介して送信されます。
判断できます
secure フラグのない Cookie を使用すると、攻撃者によってキャプチャや
有効なセッションを乗っ取られたりそのため、この機能を有効にするのがベスト プラクティスです。
設定されます。
Edge UI Cookie の secure フラグを設定するには:
- テキスト エディタで次のファイルを開きます。
/opt/apigee/customer/application/ui.properties
ファイルが存在しない場合は作成します。
- 次のコマンドで、
conf_application_session.secureプロパティをtrueに設定します。ui.propertiesファイルをインポートします。conf_application_session.secure=true
- 変更を保存します。
- 次の例のように、
apigee-sericeユーティリティを使用して Edge UI を再起動します。/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
変更が機能していることを確認するには、curl などのユーティリティを使用して Edge UI からのレスポンスのヘッダーを確認します。次に例を示します。
curl -i -v https://edge_UI_URL
ヘッダーには、次のような行が含まれているはずです。
Set-Cookie: secure; ...
Edge UI で TLS を無効にする
Edge UI で TLS を無効にするには、次のコマンドを使用します。
/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl