Esta página foi traduzida pela API Cloud Translation.

Como configurar o TLS para a API de gerenciamento

Por padrão, o TLS fica desativado para a API Management e você acessa a API Edge Management por HTTP usando o endereço IP do nó do servidor de gerenciamento e a porta 8080. Exemplo:

http://ms_IP:8080

Como alternativa, é possível configurar o acesso TLS à API de gerenciamento para que ela possa ser acessada no formulário:

https://ms_IP:8443

Neste exemplo, você configura o acesso por TLS para usar a porta 8443. No entanto, esse número de porta não é necessário para o Edge. Você pode configurar o servidor de gerenciamento para usar outros valores de porta. A única exigência é que o firewall permita o tráfego pela porta especificada.

Para garantir a criptografia do tráfego de e para a API de gerenciamento, configure as configurações no arquivo /opt/apigee/customer/application/management-server.properties.

Além da configuração TLS, também é possível controlar a validação da senha (o tamanho da senha, e segurança) modificando o arquivo management-server.properties.

Verifique se a porta TLS está aberta

O procedimento nesta seção configura o TLS para usar a porta 8443 no servidor de gerenciamento. Independentemente da porta usada, é necessário garantir que ela esteja aberta no servidor de gerenciamento. Por exemplo, use o comando a seguir para abrir:

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose

OBSERVAÇÃO: este exemplo usa a porta 8443 para a porta TLS, e não a porta mais comum, 443.

Isso porque as portas abaixo de 1024 costumam ser protegidas pelo sistema operacional e exigem o processo que as acessa para ter acesso raiz. O servidor de gerenciamento de borda é executado como o usuário "apigee" e, portanto, normalmente não tem acesso a portas abaixo de 1024.

Uma alternativa é usar um balanceador de carga com a API Edge e encerrar o TLS no balanceador de carga na porta 443. Depois, é possível usar HTTP ou HTTPS entre o balanceador de carga API Edge.

Outra alternativa é usar iptables para encaminhar solicitações da porta 443 para a porta 8443. Exemplo:

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 8443

Configurar a TLS

Edite o arquivo /opt/apigee/customer/application/management-server.properties para controlar o uso do TLS no tráfego de e para a API de gerenciamento. Se esse arquivo não existir, crie-o.

Para configurar o acesso TLS à API de gerenciamento:

Gere o arquivo JKS do keystore que contém a certificação TLS e a chave privada. Para mais consulte Como configurar TLS/SSL para o Edge no local.
Copie o arquivo JKS do keystore para um diretório no nó do servidor de gerenciamento, como como /opt/apigee/customer/application.
Mude a propriedade do arquivo JKS para o usuário "apigee":
```
chown apigee:apigee keystore.jks
```
Em que keystore.jks é o nome do arquivo do keystore.

Editar /opt/apigee/customer/application/management-server.properties para definir as propriedades a seguir. Se esse arquivo não existir, crie-o:

conf_webserver_ssl.enabled=true
# Leave conf_webserver_http.turn.off set to false
# because many Edge internal calls use HTTP.
conf_webserver_http.turn.off=false
conf_webserver_ssl.port=8443
conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks
# Enter the obfuscated keystore password below.
conf_webserver_keystore.password=OBF:obfuscatedPassword

Em que keyStore.jks é seu arquivo de keystore e obfuscatedPassword é sua senha ofuscada do keystore. Consulte Como configurar o TLS/SSL para o Edge local para informações sobre como gerar uma senha ofuscada.

Reinicie o Edge Management Server usando o comando:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

A API de gerenciamento agora oferece suporte ao acesso por TLS.

Observação:depois de ativar o TLS, confirme se o valor de APIGEE_PORT_HTTP_MS está correta em $APIGEE_ROOT/customer/defaults.sh. Se não estiver correto, modifique defaults.sh.

Configurar a interface do Edge para usar o TLS para acessar a API do Edge

No procedimento acima, a Apigee recomendou deixar conf_webserver_http.turn.off=false para que a interface do Edge continue fazendo chamadas de API do Edge por HTTP.

Use o procedimento a seguir para configurar a interface do Edge para fazer essas chamadas somente por HTTPS:

Configure o acesso TLS à API de gerenciamento, conforme descrito acima.
Depois de confirmar que o TLS está funcionando para a API de gerenciamento, edite /opt/apigee/customer/application/management-server.properties a defina a seguinte propriedade:
```
conf_webserver_http.turn.off=true
```

Reinicie o servidor de gerenciamento de borda executando o seguinte comando:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Edite /opt/apigee/customer/application/ui.properties para definir a seguinte propriedade para a interface do Edge:
```
conf_apigee_apigee.mgmt.baseurl="https://FQ_domain_name:port/v1"
```
em que FQ_domain_name é o nome completo de domínio, de acordo com seu certificado do servidor de gerenciamento, e o port é a porta especificada acima pelo conf_webserver_ssl.port

Se ui.properties não existir, crie-o.
Apenas se você usou um certificado autoassinado (não recomendado em um ambiente ambiente) ao configurar o acesso TLS à API de gerenciamento acima, adicione o propriedade a seguir para ui.properties:
```
conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true
```
Caso contrário, a interface do Edge vai rejeitar um certificado autoassinado.

Reinicie a interface do Edge executando o seguinte comando:

/opt/apigee/apigee-service/bin/apigee-service edge-ui restart

Como usar um keystore PKCS12 para sistemas operacionais com suporte a FIPS

Se você estiver usando o Edge para nuvem privada em um sistema operacional habilitado para FIPS, use um keystore PKCS12. Isso é necessário para cumprir os padrões FIPS. Além das outras configurações padrão mencionadas neste artigo, adicione a seguinte configuração ao seu arquivo management-server.properties:

conf/webserver.properties+keystore.type=PKCS12

Aplique essa alteração caso seu ambiente seja compatível com FIPS para garantir a compatibilidade com os padrões de criptografia exigidos.

Propriedades de TLS para o servidor de gerenciamento

A tabela a seguir lista todas as propriedades TLS/SSL que podem ser definidas em management-server.properties:

Propriedades	Descrição
`conf_webserver_http.port=8080`	O padrão é 8080.
`conf_webserver_ssl.enabled=false`	Para ativar/desativar o TLS/SSL. Com o TLS/SSL ativado (true), também é necessário definir as propriedades ssl.port e keystore.path.
`conf_webserver_http.turn.off=true`	Para ativar/desativar o http com o https. Se você quiser usar apenas HTTPS, deixe o valor padrão como `true`.
`conf_webserver_ssl.port=8443`	A porta TLS/SSL. Obrigatório quando o TLS/SSL está ativado (`conf_webserver_ssl.enabled=true`).
`conf_webserver_keystore.path=path`	O caminho para o arquivo de keystore. Obrigatório quando o TLS/SSL está ativado (`conf_webserver_ssl.enabled=true`).
`conf_webserver_keystore.password=password`	Use uma senha ofuscada neste formato: OBF:xxxxxxxxxx
`conf_webserver_cert.alias=alias`	Alias de certificado de keystore opcional
`conf_webserver_keymanager.password=password`	Se o gerenciador de chaves tiver uma senha, digite uma versão ofuscada dela neste formato: OBF:xxxxxxxxxx
`conf_webserver_trust.all=[false \| true]` `conf_webserver_trust.store.path=path` `conf_webserver_trust.store.password=password`	Defina as configurações do repositório de confiança. Determine se você quer aceitar todos Certificados TLS/SSL (por exemplo, para aceitar tipos não padrão). O padrão é `false`. Informe o caminho para o repositório de confiança e insira uma senha ofuscada dele neste formato: OBF:xxxxxxxxxx
`conf_http_HTTPTransport.ssl.cipher.suites.blacklist=CIPHER_SUITE_1, CIPHER_SUITE_2` `conf_http_HTTPTransport.ssl.cipher.suites.whitelist=`	Indique os conjuntos de criptografia que você quer incluir ou excluir. Por exemplo, se você descobrir uma vulnerabilidade em uma cifra, poderá excluí-la aqui. Separe várias cifras com vírgulas. Todas as cifras removidas pela lista de bloqueio terão precedência sobre as incluídas pela lista de permissões. Observação: por padrão, se nenhuma lista de proibições ou lista de permissões for especificada, as criptografias correspondentes as seguintes expressões regulares de Java são excluídas por padrão. ^._(MD5\|SHA\|SHA1)$ ^TLS_RSA_.$ ^SSL_.$ ^._NULL_.$ ^._anon_.*$ No entanto, se você especificar uma lista negra, esse filtro será substituído, e todas as cifras precisarão ser incluídas na lista negra individualmente. Para informações sobre pacotes de criptografia e arquitetura de criptografia, consulte Documentação de provedores Oracle da arquitetura de criptografia Java para JDK 8.
`conf_webserver_ssl.session.cache.size=` `conf_webserver_ssl.session.timeout=`	Números inteiros que determinam: O tamanho do cache de sessão TLS/SSL (em bytes) para armazenar informações de sessão de vários clientes. O tempo de duração das sessões TLS/SSL antes do tempo limite (em milissegundos).