Yönetim kullanıcı arayüzü için TLS'yi yapılandırma

Varsayılan olarak, Edge kullanıcı arayüzüne HTTP üzerinden erişmek için Yönetim sunucusu düğümünün IP adresini ve 9000 bağlantı noktasını kullanırsınız. Örneğin:

http://ms_IP:9000

Alternatif olarak, Edge kullanıcı arayüzüne TLS erişimini aşağıdaki şekilde yapılandırarak forma erişebilirsiniz:

https://ms_IP:9443

Bu örnekte, TLS erişimini 9443 bağlantı noktasını kullanacak şekilde yapılandırırsınız. Ancak bu bağlantı noktası numarası Yönetim Sunucusu'nu diğer bağlantı noktası değerlerini kullanacak şekilde yapılandırabilirsiniz. Tek güvenlik duvarınızın belirtilen bağlantı noktası üzerinden trafiğe izin vermesidir.

TLS bağlantı noktanızın açık olduğundan emin olun

Bu bölümdeki prosedür, TLS'yi Yönetim Sunucusu'nda bağlantı noktası 9443'ü kullanacak şekilde yapılandırır. Kullandığınız bağlantı noktası ne olursa olsun, Management'ta bağlantı noktasının açık olduğundan emin olmanız gerekir. Sunucu. Örneğin, dosyayı açmak için aşağıdaki komutu kullanabilirsiniz:

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose

TLS'yi yapılandırma

Yönetim kullanıcı arayüzüne TLS erişimini yapılandırmak için aşağıdaki prosedürü uygulayın:

  1. TLS sertifikanızı ve özel anahtarınızı içeren anahtar deposu JKS dosyasını oluşturun ve Yönetim Sunucusu düğümüne aktarır. Daha fazla bilgi için Şirket İçi Uçta TLS/SSL'yi Yapılandırma başlıklı makaleye bakın.
  2. TLS'yi yapılandırmak için aşağıdaki komutu çalıştırın: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl
  3. HTTPS bağlantı noktası numarasını girin (ör. 9443).
  4. Yönetim kullanıcı arayüzüne HTTP erişimini devre dışı bırakmak isteyip istemediğinizi belirtin. Yönetim arayüzüne varsayılan olarak 9000 numaralı bağlantı noktasında HTTP üzerinden erişilebilir.
  5. Anahtar deposu algoritmasını girin. Varsayılan değer JKS'dir.
  6. Anahtar deposu JKS dosyasının mutlak yolunu girin.

    Komut dosyası, dosyayı Yönetim Sunucusu düğümündeki /opt/apigee/customer/conf dizinine kopyalar ve dosyanın sahipliğini "apigee" olarak değiştirir.

  7. Açık metin anahtar deposu şifresini girin.
  8. Komut dosyası, daha sonra Edge yönetim kullanıcı arayüzünü yeniden başlatır. Yeniden başlatma sonrasında, yönetim arayüzü TLS üzerinden erişimi destekler.

    Bu ayarları /opt/apigee/etc/edge-ui.d/SSL.sh bölümünde görebilirsiniz.

TLS'yi yapılandırmak için yapılandırma dosyası kullanma

Yukarıdaki prosedüre alternatif olarak, prosedürün 2. adımında komuta bir yapılandırma dosyası iletebilirsiniz. İsteğe bağlı TLS özelliklerini ayarlamak istiyorsanız bu yöntemi kullanmanız gerekir.

Yapılandırma dosyası kullanmak için yeni bir dosya oluşturun ve aşağıdaki özellikleri ekleyin:

HTTPSPORT=9443
DISABLE_HTTP=y
# Set type to PKCS12 if you are using a PKCS12 keystore
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

Dosyayı istediğiniz bir adla yerel bir dizine kaydedin. Ardından TLS'yi yapılandırmak için aşağıdaki komutu kullanın:

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

Burada configFile, kaydettiğiniz dosyanın tam yoludur.

FIPS özellikli işletim sistemleri için PKCS12 anahtar deposu kullanma

Edge for Private Cloud'u FIPS özellikli bir işletim sisteminde kullanıyorsanız bir PKCS12 anahtar deposu kullanmanız gerekir. Standart OpenSSL komutlarını kullanarak bir PKCS12 anahtar deposu oluşturabilirsiniz. PKCS12 anahtar mağazası kullanırken yapılandırma dosyasında KEY_ALGO=PKCS12 değerini ayarlayın.

TLS olduğunda Edge kullanıcı arayüzünü yapılandırma yük dengeleyicide sonlandırılır

İstekleri Edge kullanıcı arayüzüne yönlendiren bir yük dengeleyiciniz varsa yük dengeleyicideki TLS bağlantısını sonlandırabilir ve ardından yük dengeleyicinin istekleri HTTP üzerinden Edge kullanıcı arayüzüne yönlendirmesini sağlayabilirsiniz. Bu yapılandırma desteklenir ancak yük dengeleyiciyi ve Edge kullanıcı arayüzünü buna göre yapılandırmanız gerekir.

Edge Kullanıcı Arayüzü, kullanıcıların cihazlarını ayarlamak için e-postalar gönderdiğinde Şifre oluşturulduğunda veya kullanıcı kayıp bir şifreyi sıfırlama isteğinde bulunduğunda. Bu e-posta Kullanıcının şifre ayarlamak veya sıfırlamak için seçtiği bir URL'yi içerir. Edge kullanıcı arayüzü TLS kullanacak şekilde yapılandırılmadıysa oluşturulan e-postadaki URL HTTPS değil, HTTP protokolünü kullanır. HTTPS'ye dokunun.

Yük dengeleyiciyi yapılandırmak için Edge kullanıcı arayüzüne yönlendirilen isteklerde aşağıdaki başlığın ayarlandığından emin olun:

X-Forwarded-Proto: https

Edge kullanıcı arayüzünü yapılandırmak için:

  1. /opt/apigee/customer/application/ui.properties uygulamasını açın bir düzenleyiciye yükleyin. Dosya mevcut değilse dosyayı oluşturun: 
    vi /opt/apigee/customer/application/ui.properties
  2. ui.properties özelliğinde aşağıdaki özelliği ayarlayın: 
    conf/application.conf+trustxforwarded=true
  3. Değişikliklerinizi ui.properties dosyasına kaydedin.
  4. Edge kullanıcı arayüzünü yeniden başlatın: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

İsteğe bağlı TLS özelliklerini ayarlama

Edge kullanıcı arayüzü, aşağıdakileri ayarlamak için kullanabileceğiniz isteğe bağlı TLS yapılandırma özelliklerini destekler:

  • Varsayılan TLS protokolü
  • Desteklenen TLS protokollerinin listesi
  • Desteklenen TLS algoritmaları
  • Desteklenen TLS şifreleri

Bu isteğe bağlı parametreler yalnızca aşağıdaki yapılandırma özelliğini ayarladığınızda kullanılabilir yapılandırma dosyasında açıklandığı gibi, TLS'yi yapılandırmak için bir yapılandırma dosyası kullanma:

TLS_CONFIGURE=y

Aşağıdaki tabloda bu özellikler açıklanmaktadır:

Mülk Açıklama
TLS_PROTOCOL Edge kullanıcı arayüzü için varsayılan TLS protokolünü tanımlar. Varsayılan olarak TLS 1.2'dir. Geçerli değerler TLSv1.2, TLSv1.1, TLSv1'dir.
TLS_ENABLED_PROTOCOL

Etkin protokollerin listesini virgülle ayrılmış bir dizi olarak tanımlar. Örneğin:

TLS_ENABLED_PROTOCOL=[\"TLSv1.2\", \"TLSv1.1\", \"TLSv1\"]

" karakterine çıkış karakteri eklemeniz gerektiğini unutmayın.

Varsayılan olarak tüm protokoller etkindir.
TLS_DISABLED_ALGO

Devre dışı bırakılan şifre paketlerini tanımlar ve küçük anahtar boyutlarının TLS el sıkışma işleminde kullanılmasını önlemek için de kullanılabilir. Varsayılan bir değer yok.

TLS_DISABLED_ALGO öğesine iletilen değerler, burada açıklandığı gibi jdk.tls.disabledAlgorithms için izin verilen değerlere karşılık gelir. Ancak TLS_DISABLED_ALGO ayarını yaparken boşluk karakterlerini kod dışına almanız gerekir:

TLS_DISABLED_ALGO=EC\ keySize\ <\ 160,RSA\ keySize\ <\ 2048
TLS_ENABLED_CIPHERS

Kullanılabilir TLS şifrelerinin listesini virgülle ayrılmış bir dizi olarak tanımlar. Örneğin: 

TLS_ENABLED_CIPHERS=[\"TLS_DHE_RSA_WITH_AES_128_CBC_SHA\",
\"TLS_DHE_DSS_WITH_AES_128_CBC_SHA\"]

" karakterine çıkış karakteri eklemeniz gerektiğini unutmayın.

Etkin şifrelerin varsayılan listesi:

"TLS_DHE_RSA_WITH_AES_256_CBC_SHA",
"TLS_DHE_RSA_WITH_AES_128_CBC_SHA",
"TLS_DHE_DSS_WITH_AES_128_CBC_SHA",
"TLS_RSA_WITH_AES_256_CBC_SHA",
"TLS_RSA_WITH_AES_128_CBC_SHA",
"SSL_RSA_WITH_RC4_128_SHA",
"SSL_RSA_WITH_RC4_128_MD5",
"TLS_EMPTY_RENEGOTIATION_INFO_SCSV"

Mevcut şifrelerin listesini bulma burada bulabilirsiniz.

TLS protokolleri devre dışı bırakılıyor

TLS protokollerini devre dışı bırakmak için yapılandırma dosyasını şu sayfada açıklandığı şekilde düzenlemeniz gerekir: TLS'yi yapılandırmak için bir yapılandırma dosyası kullanarak şu şekildedir:

  1. Yapılandırma dosyasını bir düzenleyicide açın.
  2. Tek bir TLS protokolünü (örneğin, TLSv1.0) devre dışı bırakmak için aşağıdaki kodu ekleyin ekleyin: 
    TLS_CONFIGURE=y
TLS_DISABLED_ALGO="tlsv1"

    Birden çok protokolü (örneğin, TLSv1.0 ve TLSv1.1) devre dışı bırakmak için yapılandırma dosyasına şunu ekleyin:

    TLS_CONFIGURE=y
TLS_DISABLED_ALGO="tlsv1, tlsv1.1"
  3. Yapılandırma dosyasında yaptığınız değişiklikleri kaydedin.
  4. TLS'yi yapılandırmak için aşağıdaki komutu çalıştırın: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

    Burada configFile, yapılandırma dosyasının tam yoludur.

  5. Edge kullanıcı arayüzünü yeniden başlatın: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

Güvenli çerezleri kullanma

Private Cloud için Apigee Edge, Edge kullanıcı arayüzünden gelen yanıtlar için secure işaretinin Set-Cookie üstbilgisine eklenmesini destekler. Bu işaret mevcutsa çerez yalnızca TLS'nin etkin olduğu kanallar. Bu ayar yoksa çerez, güvenli olup olmadığına bakılmaksızın herhangi bir kanal üzerinden gönderilebilir.

secure işareti olmayan çerezler, saldırganların çerezi yakalayıp yeniden kullanmasına veya etkin bir oturumu ele geçirmesine neden olabilir. Bu nedenle, en iyi uygulama, bunu mümkün olduğunca ayarını değiştirebilirsiniz.

Edge kullanıcı arayüzü çerezleri için secure işaretini ayarlamak üzere:

  1. Aşağıdaki dosyayı bir metin düzenleyicide açın: 
    /opt/apigee/customer/application/ui.properties

    Dosya mevcut değilse dosyayı oluşturun.

  2. Aşağıdaki örnekte gösterildiği gibi, ui.properties dosyasında conf_application_session.secure özelliğini true olarak ayarlayın: 
    conf_application_session.secure=true
  3. Değişikliklerinizi kaydedin.
  4. Aşağıdaki örnekte gösterildiği gibi apigee-serice yardımcı programını kullanarak Edge kullanıcı arayüzünü yeniden başlatın gösterir: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

Değişikliğin çalıştığından emin olmak için şunu kullanarak Edge kullanıcı arayüzünden yanıt başlıklarını kontrol edin: curl gibi bir yardımcı program; örneğin:

curl -i -v https://edge_UI_URL

Başlıkta aşağıdaki gibi görünen bir satır bulunmalıdır:

Set-Cookie: secure; ...

Uç kullanıcı arayüzünde TLS'yi devre dışı bırak

Edge kullanıcı arayüzünde TLS'yi devre dışı bırakmak için aşağıdaki komutu kullanın:

/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl