Varsayılan olarak, Yönetim Sunucusu düğümünün IP adresini ve 9000 numaralı bağlantı noktasını kullanarak Edge kullanıcı arayüzüne HTTP üzerinden erişirsiniz. Örneğin:
http://ms_IP:9000
Alternatif olarak, Edge kullanıcı arayüzüne TLS erişimini aşağıdaki şekilde yapılandırarak forma erişebilirsiniz:
https://ms_IP:9443
Bu örnekte, TLS erişimini 9443 numaralı bağlantı noktasını kullanacak şekilde yapılandıracaksınız. Ancak bu bağlantı noktası numarası Edge tarafından gerekli değildir. Yönetim sunucusunu diğer bağlantı noktası değerlerini kullanacak şekilde yapılandırabilirsiniz. Tek şart, güvenlik duvarınızın belirtilen bağlantı noktasından trafiğe izin vermesidir.
TLS bağlantı noktanızın açık olduğundan emin olun
Bu bölümdeki prosedür, TLS'yi Yönetim Sunucusu'ndaki 9443 numaralı bağlantı noktasını kullanacak şekilde yapılandırır. Kullandığınız bağlantı noktası ne olursa olsun, Yönetim Sunucusu'nda bağlantı noktasının açık olduğundan emin olmanız gerekir. Örneğin, dosyayı açmak için aşağıdaki komutu kullanabilirsiniz:
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose
TLS'yi yapılandırma
Yönetim kullanıcı arayüzüne TLS erişimini yapılandırmak için aşağıdaki prosedürü kullanın:
- TLS sertifikanızı ve özel anahtarınızı içeren anahtar deposu JKS dosyasını oluşturup Yönetim Sunucusu düğümüne kopyalayın. Daha fazla bilgi için Şirket İçi Uçta TLS/SSL'yi Yapılandırma başlıklı makaleye bakın.
- TLS'yi yapılandırmak için aşağıdaki komutu çalıştırın:
/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl
- HTTPS bağlantı noktası numarasını girin (ör. 9443).
- Yönetim kullanıcı arayüzüne HTTP erişimini devre dışı bırakmak isteyip istemediğinizi belirtin. Varsayılan olarak, yönetim kullanıcı arayüzüne 9000 bağlantı noktası üzerinden HTTP üzerinden erişilebilir.
- Anahtar deposu algoritmasını girin. Varsayılan değer JKS'dir.
- Anahtar deposu JKS dosyasının mutlak yolunu girin.
Komut dosyası, dosyayı Yönetim Sunucusu düğümündeki
/opt/apigee/customer/conf
dizinine kopyalar ve dosyanın sahipliğini "apigee" olarak değiştirir. - Açık metin anahtar deposu şifresini girin.
- Komut dosyası, daha sonra Edge yönetim kullanıcı arayüzünü yeniden başlatır. Yeniden başlatma işleminden sonra yönetim kullanıcı arayüzü, TLS üzerinden erişimi destekler.
Bu ayarları
/opt/apigee/etc/edge-ui.d/SSL.sh
'te görebilirsiniz.
TLS'yi yapılandırmak için yapılandırma dosyası kullanma
Yukarıdaki prosedüre alternatif olarak, prosedürün 2. adımında komuta bir yapılandırma dosyası aktarabilirsiniz. İsteğe bağlı TLS özelliklerini ayarlamak istiyorsanız bu yöntemi kullanmanız gerekir.
Yapılandırma dosyası kullanmak için yeni bir dosya oluşturun ve aşağıdaki özellikleri ekleyin:
HTTPSPORT=9443 DISABLE_HTTP=y # Set type to PKCS12 if you are using a PKCS12 keystore KEY_ALGO=JKS KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks KEY_PASS=clearTextKeystorePWord
Dosyayı istediğiniz bir adla yerel bir dizine kaydedin. Ardından, TLS'yi yapılandırmak için aşağıdaki komutu kullanın:
/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile
Burada configFile, kaydettiğiniz dosyanın tam yoludur.
FIPS özellikli işletim sistemleri için PKCS12 anahtar deposu kullanma
Private Cloud için Edge'i FIPS özellikli bir işletim sisteminde kullanıyorsanız PKCS12 anahtar mağazası kullanmanız gerekir. Standart OpenSSL komutlarını kullanarak bir PKCS12 anahtar deposu oluşturabilirsiniz. PKCS12 anahtar mağazası kullanırken yapılandırma dosyasında KEY_ALGO=PKCS12
değerini ayarlayın.
Yük dengeleyicide TLS sonlandırıldığında Edge kullanıcı arayüzünü yapılandırma
İstekleri Edge kullanıcı arayüzüne yönlendiren bir yük dengeleyiciniz varsa yük dengeleyicideki TLS bağlantısını sonlandırmayı ve ardından yük dengeleyicinin istekleri HTTP üzerinden Edge kullanıcı arayüzüne yönlendirmesini isteyebilirsiniz. Bu yapılandırma desteklenir ancak yük dengeleyiciyi ve Edge kullanıcı arayüzünü buna göre yapılandırmanız gerekir.
Edge kullanıcı arayüzü, kullanıcı oluşturulduğunda veya kullanıcı kayıp şifresini sıfırlama isteğinde bulunduğunda kullanıcılara şifrelerini ayarlamaları için e-posta gönderdiğinde ek yapılandırma gerekir. Bu e-posta, kullanıcının şifre ayarlamak veya sıfırlamak için seçtiği bir URL içerir. Edge kullanıcı arayüzü varsayılan olarak TLS kullanacak şekilde yapılandırılmamışsa oluşturulan e-postadaki URL, HTTPS yerine HTTP protokolünü kullanır. Yük dengeleyiciyi ve Edge kullanıcı arayüzünü, HTTPS kullanan bir e-posta adresi oluşturacak şekilde yapılandırmanız gerekir.
Yük dengeleyiciyi yapılandırmak için, Edge kullanıcı arayüzüne yönlendirilen isteklerde aşağıdaki başlığı ayarladığından emin olun:
X-Forwarded-Proto: https
Edge kullanıcı arayüzünü yapılandırmak için:
/opt/apigee/customer/application/ui.properties
dosyasını bir düzenleyicide açın. Dosya mevcut değilse dosyayı oluşturun:vi /opt/apigee/customer/application/ui.properties
ui.properties
'te aşağıdaki özelliği ayarlayın:conf/application.conf+trustxforwarded=true
- Değişikliklerinizi
ui.properties
dosyasına kaydedin. - Edge kullanıcı arayüzünü yeniden başlatın:
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
İsteğe bağlı TLS özelliklerini ayarlama
Edge kullanıcı arayüzü, aşağıdakileri ayarlamak için kullanabileceğiniz isteğe bağlı TLS yapılandırma özelliklerini destekler:
- Varsayılan TLS protokolü
- Desteklenen TLS protokollerinin listesi
- Desteklenen TLS algoritmaları
- Desteklenen TLS şifreleri
Bu isteğe bağlı parametreler yalnızca TLS'yi yapılandırmak için yapılandırma dosyası kullanma bölümünde açıklandığı gibi, yapılandırma dosyasında aşağıdaki yapılandırma özelliğini ayarlarken kullanılabilir:
TLS_CONFIGURE=y
Aşağıdaki tabloda bu özellikler açıklanmaktadır:
Mülk | Açıklama |
---|---|
TLS_PROTOCOL
|
Edge kullanıcı arayüzü için varsayılan TLS protokolünü tanımlar. Varsayılan olarak TLS 1.2'dir. Geçerli değerler TLSv1.2, TLSv1.1, TLSv1'dir. |
TLS_ENABLED_PROTOCOL
|
Etkin protokollerin listesini virgülle ayrılmış bir dizi olarak tanımlar. Örneğin: TLS_ENABLED_PROTOCOL=[\"TLSv1.2\", \"TLSv1.1\", \"TLSv1\"] "
Varsayılan olarak tüm protokoller etkindir. |
TLS_DISABLED_ALGO
|
Devre dışı bırakılan şifre paketlerini tanımlar ve ayrıca, küçük anahtar boyutlarının TLS el sıkışması için kullanılmasını önlemek amacıyla da kullanılabilir. Varsayılan değer yoktur.
TLS_DISABLED_ALGO=EC\ keySize\ <\ 160,RSA\ keySize\ <\ 2048 |
TLS_ENABLED_CIPHERS
|
Kullanılabilir TLS şifreleri listesini virgülle ayrılmış bir dizi olarak tanımlar. Örneğin: TLS_ENABLED_CIPHERS=[\"TLS_DHE_RSA_WITH_AES_128_CBC_SHA\", \"TLS_DHE_DSS_WITH_AES_128_CBC_SHA\"] "
Etkin şifrelerin varsayılan listesi şunlardır: "TLS_DHE_RSA_WITH_AES_256_CBC_SHA", "TLS_DHE_RSA_WITH_AES_128_CBC_SHA", "TLS_DHE_DSS_WITH_AES_128_CBC_SHA", "TLS_RSA_WITH_AES_256_CBC_SHA", "TLS_RSA_WITH_AES_128_CBC_SHA", "SSL_RSA_WITH_RC4_128_SHA", "SSL_RSA_WITH_RC4_128_MD5", "TLS_EMPTY_RENEGOTIATION_INFO_SCSV" Mevcut şifrelerin listesini burada bulabilirsiniz. |
TLS protokolleri devre dışı bırakılıyor
TLS protokollerini devre dışı bırakmak için TLS'yi yapılandırmak için yapılandırma dosyası kullanma bölümünde açıklanan yapılandırma dosyasını aşağıdaki gibi düzenlemeniz gerekir:
- Yapılandırma dosyasını bir düzenleyicide açın.
- Tek bir TLS protokolünü (ör. TLSv1.0) devre dışı bırakmak için yapılandırma dosyasına aşağıdakileri ekleyin:
TLS_CONFIGURE=y TLS_DISABLED_ALGO="tlsv1"
Birden fazla protokolü (ör. TLSv1.0 ve TLSv1.1) devre dışı bırakmak için aşağıdakileri yapılandırma dosyasına ekleyin:
TLS_CONFIGURE=y TLS_DISABLED_ALGO="tlsv1, tlsv1.1"
- Değişikliklerinizi yapılandırma dosyasına kaydedin.
- TLS'yi yapılandırmak için aşağıdaki komutu çalıştırın:
/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile
Burada configFile, yapılandırma dosyasının tam yoludur.
- Edge kullanıcı arayüzünü yeniden başlatın:
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Güvenli çerezleri kullanma
Private Cloud için Apigee Edge, Edge kullanıcı arayüzünden gelen yanıtlar için Set-Cookie
başlığına secure
işaretinin eklenmesini destekler. Bu işaret varsa çerez yalnızca TLS özellikli kanallar üzerinden gönderilebilir. Bu ayar yoksa çerez, güvenli olup olmadığına bakılmaksızın herhangi bir kanal üzerinden gönderilebilir.
secure
işareti olmayan çerezler, saldırganların çerezi yakalayıp yeniden kullanmasına veya etkin bir oturumu ele geçirmesine izin verebilir. Bu nedenle, en iyi uygulama bu ayarı etkinleştirmektir.
Edge kullanıcı arayüzü çerezlerinin secure
işaretini ayarlamak için:
- Aşağıdaki dosyayı bir metin düzenleyicide açın:
/opt/apigee/customer/application/ui.properties
Dosya mevcut değilse dosyayı oluşturun.
- Aşağıdaki örnekte gösterildiği gibi,
ui.properties
dosyasındaconf_application_session.secure
özelliğinitrue
olarak ayarlayın:conf_application_session.secure=true
- Değişikliklerinizi kaydedin.
- Aşağıdaki örnekte gösterildiği gibi
apigee-serice
yardımcı programını kullanarak Edge kullanıcı arayüzünü yeniden başlatın:/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Değişikliğin çalıştığını onaylamak için curl
gibi bir yardımcı program kullanarak Edge kullanıcı arayüzünden yanıt üstbilgilerini kontrol edin. Örneğin:
curl -i -v https://edge_UI_URL
Başlıkta aşağıdaki gibi görünen bir satır bulunmalıdır:
Set-Cookie: secure; ...
Uç kullanıcı arayüzünde TLS'yi devre dışı bırak
Edge kullanıcı arayüzünde TLS'yi devre dışı bırakmak için aşağıdaki komutu kullanın:
/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl