Yönetim kullanıcı arayüzü için TLS'yi yapılandırma

Varsayılan olarak, Yönetim Sunucusu düğümünün IP adresini ve 9000 numaralı bağlantı noktasını kullanarak Edge kullanıcı arayüzüne HTTP üzerinden erişirsiniz. Örneğin:

http://ms_IP:9000

Alternatif olarak, Edge kullanıcı arayüzüne TLS erişimini aşağıdaki şekilde yapılandırarak forma erişebilirsiniz:

https://ms_IP:9443

Bu örnekte, TLS erişimini 9443 numaralı bağlantı noktasını kullanacak şekilde yapılandıracaksınız. Ancak bu bağlantı noktası numarası Edge tarafından gerekli değildir. Yönetim sunucusunu diğer bağlantı noktası değerlerini kullanacak şekilde yapılandırabilirsiniz. Tek şart, güvenlik duvarınızın belirtilen bağlantı noktasından trafiğe izin vermesidir.

TLS bağlantı noktanızın açık olduğundan emin olun

Bu bölümdeki prosedür, TLS'yi Yönetim Sunucusu'ndaki 9443 numaralı bağlantı noktasını kullanacak şekilde yapılandırır. Kullandığınız bağlantı noktası ne olursa olsun, Yönetim Sunucusu'nda bağlantı noktasının açık olduğundan emin olmanız gerekir. Örneğin, dosyayı açmak için aşağıdaki komutu kullanabilirsiniz:

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose

TLS'yi yapılandırma

Yönetim kullanıcı arayüzüne TLS erişimini yapılandırmak için aşağıdaki prosedürü kullanın:

  1. TLS sertifikanızı ve özel anahtarınızı içeren anahtar deposu JKS dosyasını oluşturup Yönetim Sunucusu düğümüne kopyalayın. Daha fazla bilgi için Şirket İçi Uçta TLS/SSL'yi Yapılandırma başlıklı makaleye bakın.
  2. TLS'yi yapılandırmak için aşağıdaki komutu çalıştırın: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl
  3. HTTPS bağlantı noktası numarasını girin (ör. 9443).
  4. Yönetim kullanıcı arayüzüne HTTP erişimini devre dışı bırakmak isteyip istemediğinizi belirtin. Varsayılan olarak, yönetim kullanıcı arayüzüne 9000 bağlantı noktası üzerinden HTTP üzerinden erişilebilir.
  5. Anahtar deposu algoritmasını girin. Varsayılan değer JKS'dir.
  6. Anahtar deposu JKS dosyasının mutlak yolunu girin.

    Komut dosyası, dosyayı Yönetim Sunucusu düğümündeki /opt/apigee/customer/conf dizinine kopyalar ve dosyanın sahipliğini "apigee" olarak değiştirir.

  7. Açık metin anahtar deposu şifresini girin.
  8. Komut dosyası, daha sonra Edge yönetim kullanıcı arayüzünü yeniden başlatır. Yeniden başlatma işleminden sonra yönetim kullanıcı arayüzü, TLS üzerinden erişimi destekler.

    Bu ayarları /opt/apigee/etc/edge-ui.d/SSL.sh'te görebilirsiniz.

TLS'yi yapılandırmak için yapılandırma dosyası kullanma

Yukarıdaki prosedüre alternatif olarak, prosedürün 2. adımında komuta bir yapılandırma dosyası aktarabilirsiniz. İsteğe bağlı TLS özelliklerini ayarlamak istiyorsanız bu yöntemi kullanmanız gerekir.

Yapılandırma dosyası kullanmak için yeni bir dosya oluşturun ve aşağıdaki özellikleri ekleyin:

HTTPSPORT=9443
DISABLE_HTTP=y
# Set type to PKCS12 if you are using a PKCS12 keystore
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

Dosyayı istediğiniz bir adla yerel bir dizine kaydedin. Ardından, TLS'yi yapılandırmak için aşağıdaki komutu kullanın:

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

Burada configFile, kaydettiğiniz dosyanın tam yoludur.

FIPS özellikli işletim sistemleri için PKCS12 anahtar deposu kullanma

Private Cloud için Edge'i FIPS özellikli bir işletim sisteminde kullanıyorsanız PKCS12 anahtar mağazası kullanmanız gerekir. Standart OpenSSL komutlarını kullanarak bir PKCS12 anahtar deposu oluşturabilirsiniz. PKCS12 anahtar mağazası kullanırken yapılandırma dosyasında KEY_ALGO=PKCS12 değerini ayarlayın.

Yük dengeleyicide TLS sonlandırıldığında Edge kullanıcı arayüzünü yapılandırma

İstekleri Edge kullanıcı arayüzüne yönlendiren bir yük dengeleyiciniz varsa yük dengeleyicideki TLS bağlantısını sonlandırmayı ve ardından yük dengeleyicinin istekleri HTTP üzerinden Edge kullanıcı arayüzüne yönlendirmesini isteyebilirsiniz. Bu yapılandırma desteklenir ancak yük dengeleyiciyi ve Edge kullanıcı arayüzünü buna göre yapılandırmanız gerekir.

Edge kullanıcı arayüzü, kullanıcı oluşturulduğunda veya kullanıcı kayıp şifresini sıfırlama isteğinde bulunduğunda kullanıcılara şifrelerini ayarlamaları için e-posta gönderdiğinde ek yapılandırma gerekir. Bu e-posta, kullanıcının şifre ayarlamak veya sıfırlamak için seçtiği bir URL içerir. Edge kullanıcı arayüzü varsayılan olarak TLS kullanacak şekilde yapılandırılmamışsa oluşturulan e-postadaki URL, HTTPS yerine HTTP protokolünü kullanır. Yük dengeleyiciyi ve Edge kullanıcı arayüzünü, HTTPS kullanan bir e-posta adresi oluşturacak şekilde yapılandırmanız gerekir.

Yük dengeleyiciyi yapılandırmak için, Edge kullanıcı arayüzüne yönlendirilen isteklerde aşağıdaki başlığı ayarladığından emin olun:

X-Forwarded-Proto: https

Edge kullanıcı arayüzünü yapılandırmak için:

  1. /opt/apigee/customer/application/ui.properties dosyasını bir düzenleyicide açın. Dosya mevcut değilse dosyayı oluşturun: 
    vi /opt/apigee/customer/application/ui.properties
  2. ui.properties'te aşağıdaki özelliği ayarlayın: 
    conf/application.conf+trustxforwarded=true
  3. Değişikliklerinizi ui.properties dosyasına kaydedin.
  4. Edge kullanıcı arayüzünü yeniden başlatın: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

İsteğe bağlı TLS özelliklerini ayarlama

Edge kullanıcı arayüzü, aşağıdakileri ayarlamak için kullanabileceğiniz isteğe bağlı TLS yapılandırma özelliklerini destekler:

  • Varsayılan TLS protokolü
  • Desteklenen TLS protokollerinin listesi
  • Desteklenen TLS algoritmaları
  • Desteklenen TLS şifreleri

Bu isteğe bağlı parametreler yalnızca TLS'yi yapılandırmak için yapılandırma dosyası kullanma bölümünde açıklandığı gibi, yapılandırma dosyasında aşağıdaki yapılandırma özelliğini ayarlarken kullanılabilir:

TLS_CONFIGURE=y

Aşağıdaki tabloda bu özellikler açıklanmaktadır:

Mülk Açıklama
TLS_PROTOCOL Edge kullanıcı arayüzü için varsayılan TLS protokolünü tanımlar. Varsayılan olarak TLS 1.2'dir. Geçerli değerler TLSv1.2, TLSv1.1, TLSv1'dir.
TLS_ENABLED_PROTOCOL

Etkin protokollerin listesini virgülle ayrılmış bir dizi olarak tanımlar. Örneğin:

TLS_ENABLED_PROTOCOL=[\"TLSv1.2\", \"TLSv1.1\", \"TLSv1\"]

"

Varsayılan olarak tüm protokoller etkindir.
TLS_DISABLED_ALGO

Devre dışı bırakılan şifre paketlerini tanımlar ve ayrıca, küçük anahtar boyutlarının TLS el sıkışması için kullanılmasını önlemek amacıyla da kullanılabilir. Varsayılan değer yoktur.

TLS_DISABLED_ALGO öğesine iletilen değerler, burada açıklandığı gibi jdk.tls.disabledAlgorithms için izin verilen değerlere karşılık gelir. Ancak TLS_DISABLED_ALGO değerini ayarlarken boşluk karakterlerini kullanmamanız gerekir:

TLS_DISABLED_ALGO=EC\ keySize\ <\ 160,RSA\ keySize\ <\ 2048
TLS_ENABLED_CIPHERS

Kullanılabilir TLS şifreleri listesini virgülle ayrılmış bir dizi olarak tanımlar. Örneğin: 

TLS_ENABLED_CIPHERS=[\"TLS_DHE_RSA_WITH_AES_128_CBC_SHA\",
\"TLS_DHE_DSS_WITH_AES_128_CBC_SHA\"]

"

Etkin şifrelerin varsayılan listesi şunlardır:

"TLS_DHE_RSA_WITH_AES_256_CBC_SHA",
"TLS_DHE_RSA_WITH_AES_128_CBC_SHA",
"TLS_DHE_DSS_WITH_AES_128_CBC_SHA",
"TLS_RSA_WITH_AES_256_CBC_SHA",
"TLS_RSA_WITH_AES_128_CBC_SHA",
"SSL_RSA_WITH_RC4_128_SHA",
"SSL_RSA_WITH_RC4_128_MD5",
"TLS_EMPTY_RENEGOTIATION_INFO_SCSV"

Mevcut şifrelerin listesini burada bulabilirsiniz.

TLS protokolleri devre dışı bırakılıyor

TLS protokollerini devre dışı bırakmak için TLS'yi yapılandırmak için yapılandırma dosyası kullanma bölümünde açıklanan yapılandırma dosyasını aşağıdaki gibi düzenlemeniz gerekir:

  1. Yapılandırma dosyasını bir düzenleyicide açın.
  2. Tek bir TLS protokolünü (ör. TLSv1.0) devre dışı bırakmak için yapılandırma dosyasına aşağıdakileri ekleyin: 
    TLS_CONFIGURE=y
TLS_DISABLED_ALGO="tlsv1"

    Birden fazla protokolü (ör. TLSv1.0 ve TLSv1.1) devre dışı bırakmak için aşağıdakileri yapılandırma dosyasına ekleyin:

    TLS_CONFIGURE=y
TLS_DISABLED_ALGO="tlsv1, tlsv1.1"
  3. Değişikliklerinizi yapılandırma dosyasına kaydedin.
  4. TLS'yi yapılandırmak için aşağıdaki komutu çalıştırın: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

    Burada configFile, yapılandırma dosyasının tam yoludur.

  5. Edge kullanıcı arayüzünü yeniden başlatın: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

Güvenli çerezleri kullanma

Private Cloud için Apigee Edge, Edge kullanıcı arayüzünden gelen yanıtlar için Set-Cookie başlığına secure işaretinin eklenmesini destekler. Bu işaret varsa çerez yalnızca TLS özellikli kanallar üzerinden gönderilebilir. Bu ayar yoksa çerez, güvenli olup olmadığına bakılmaksızın herhangi bir kanal üzerinden gönderilebilir.

secure işareti olmayan çerezler, saldırganların çerezi yakalayıp yeniden kullanmasına veya etkin bir oturumu ele geçirmesine izin verebilir. Bu nedenle, en iyi uygulama bu ayarı etkinleştirmektir.

Edge kullanıcı arayüzü çerezlerinin secure işaretini ayarlamak için:

  1. Aşağıdaki dosyayı bir metin düzenleyicide açın: 
    /opt/apigee/customer/application/ui.properties

    Dosya mevcut değilse dosyayı oluşturun.

  2. Aşağıdaki örnekte gösterildiği gibi, ui.properties dosyasında conf_application_session.secure özelliğini true olarak ayarlayın: 
    conf_application_session.secure=true
  3. Değişikliklerinizi kaydedin.
  4. Aşağıdaki örnekte gösterildiği gibi apigee-serice yardımcı programını kullanarak Edge kullanıcı arayüzünü yeniden başlatın: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

Değişikliğin çalıştığını onaylamak için curl gibi bir yardımcı program kullanarak Edge kullanıcı arayüzünden yanıt üstbilgilerini kontrol edin. Örneğin:

curl -i -v https://edge_UI_URL

Başlıkta aşağıdaki gibi görünen bir satır bulunmalıdır:

Set-Cookie: secure; ...

Uç kullanıcı arayüzünde TLS'yi devre dışı bırak

Edge kullanıcı arayüzünde TLS'yi devre dışı bırakmak için aşağıdaki komutu kullanın:

/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl