Edge for Private Cloud phiên bản 4.19.01
Theo mặc định, bạn truy cập vào giao diện người dùng quản lý Edge qua HTTP bằng cách sử dụng địa chỉ IP của Nút Máy chủ quản lý và cổng 9000. Ví dụ:
http://ms_IP:9000
Ngoài ra, bạn có thể định cấu hình quyền truy cập TLS vào giao diện người dùng quản lý để có thể truy cập giao diện này trong biểu mẫu:
https://ms_IP:9443
Trong ví dụ này, bạn định cấu hình quyền truy cập TLS để sử dụng cổng 9443. Tuy nhiên, số cổng đó không mà Edge yêu cầu – bạn có thể định cấu hình Máy chủ quản lý để sử dụng các giá trị cổng khác. Chỉ là yêu cầu tường lửa của bạn cho phép lưu lượng truy cập qua cổng được chỉ định.
Đảm bảo rằng cổng TLS đang mở
Quy trình trong phần này định cấu hình TLS để sử dụng cổng 9443 trên Máy chủ quản lý. Bất kể sử dụng cổng là gì, bạn phải đảm bảo rằng cổng đó đang mở trên trang Quản lý Máy chủ. Ví dụ: bạn có thể dùng lệnh sau để mở tệp đó:
iptables -A INPUT -m state -state NEW -m tcp -p tcp -dport 9443 -j ACCEPT -verbose Lưu ý: Ví dụ này sử dụng cổng 9443 cho cổng TLS, chứ không phải cổng 443 phổ biến hơn. Lý do là các cổng dưới 1024 thường được hệ điều hành bảo vệ và yêu cầu quy trình truy cập chúng để có quyền truy cập thư mục gốc. Giao diện người dùng Edge hoạt động dưới dạng “api” người dùng và do đó thường không có quyền truy cập vào các cổng dưới 1024.
Một cách khác là sử dụng trình cân bằng tải với giao diện người dùng Edge và chấm dứt TLS khi tải bộ cân bằng trên cổng 443. Sau đó, bạn có thể sử dụng HTTP hoặc HTTPS giữa trình cân bằng tải và Giao diện người dùng Edge.
Một cách khác là sử dụng iptables để chuyển tiếp các yêu cầu từ cổng 443 đến cổng 9443. Ví dụ:
iptables -A PREROUTING -t nat -i eth0 -p tcp -dport 443 -j REDIRECT -to-port 9443
Định cấu hình TLS
Lưu ý: Nếu bạn cài đặt nhiều thực thể giao diện người dùng trên các nút riêng biệt, bạn phải định cấu hình cả hai để hỗ trợ TLS. Sau khi bật TLS trên nút đầu tiên, hãy xem phần Hỗ trợ nhiều phiên bản giao diện người dùng Edge để biết thông tin về định cấu hình TLS trên nút thứ hai.
Sử dụng quy trình sau để định cấu hình quyền truy cập TLS vào giao diện người dùng quản lý:
- Tạo tệp JKS kho khoá chứa chứng chỉ TLS, khoá riêng tư và bản sao nó đến nút Máy chủ quản lý. Để biết thêm thông tin, hãy xem Định cấu hình TLS/SSL cho Edge trên cơ sở.
- Chạy lệnh sau để định cấu hình TLS: /opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl
- Nhập số cổng HTTPS, ví dụ: 9443.
- Chỉ định xem bạn có muốn vô hiệu hoá quyền truy cập HTTP vào giao diện người dùng quản lý hay không. Theo mặc định, phần quản lý Giao diện người dùng có thể truy cập được qua HTTP trên cổng 9000.
- Nhập thuật toán kho khoá. Giá trị mặc định là JKS.
- Nhập đường dẫn tuyệt đối đến tệp kho khoá JKS.
Tập lệnh sẽ sao chép tệp này vào thư mục /opt/apigee/customer/conf trên Nút Máy chủ quản lý và thay đổi quyền sở hữu của tệp thành “apigee”.
- Nhập mật khẩu kho khoá văn bản rõ ràng.
- Sau đó, tập lệnh sẽ khởi động lại giao diện người dùng quản lý Edge. Sau khi khởi động lại, giao diện người dùng quản lý hỗ trợ truy cập qua TLS.
Bạn có thể xem các chế độ cài đặt này trong phần /opt/apigee/etc/edge-ui.d/SSL.sh.
Sử dụng tệp cấu hình để định cấu hình TLS
Thay vì quy trình trên, bạn có thể chuyển tệp cấu hình vào lệnh ở bước 2 của quy trình. Bạn sẽ cần phải sử dụng phương thức này nếu bạn muốn đặt thuộc tính TLS không bắt buộc.
Để sử dụng tệp cấu hình, hãy tạo tệp mới và thêm các thuộc tính sau:
HTTPSPORT=9443 DISABLE_HTTP=y KEY_ALGO=JKS KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks KEY_PASS=clearTextKeystorePWord
Lưu tệp vào thư mục cục bộ với bất kỳ tên nào bạn muốn. Sau đó, sử dụng lệnh sau để định cấu hình TLS:
/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile
trong đó configFile là đường dẫn đầy đủ đến tệp bạn đã lưu.
Định cấu hình giao diện người dùng Edge khi TLS chấm dứt trên trình cân bằng tải
Nếu có trình cân bằng tải chuyển tiếp yêu cầu đến giao diện người dùng Edge, bạn có thể chọn chấm dứt kết nối TLS trên trình cân bằng tải, sau đó chuyển tiếp trình cân bằng tải các yêu cầu đến giao diện người dùng Edge qua HTTP. Cấu hình này được hỗ trợ nhưng bạn cần phải định cấu hình trình cân bằng tải và giao diện người dùng Edge.
Cần có cấu hình bổ sung khi giao diện người dùng Edge gửi email cho người dùng để thiết lập mật khẩu khi người dùng được tạo hoặc khi người dùng yêu cầu đặt lại mật khẩu bị mất. Email này chứa URL mà người dùng chọn đặt hoặc đặt lại mật khẩu. Theo mặc định, nếu giao diện người dùng Edge là chưa được định cấu hình để sử dụng TLS, thì URL trong email đã tạo sẽ sử dụng giao thức HTTP chứ không phải HTTPS. Bạn phải định cấu hình trình cân bằng tải và giao diện người dùng Edge để tạo một địa chỉ email sử dụng HTTPS.
Để định cấu hình trình cân bằng tải, hãy đảm bảo trình cân bằng tải này đặt tiêu đề sau đây cho các yêu cầu được chuyển tiếp vào giao diện người dùng Edge:
X-Forwarded-Proto: https
Cách định cấu hình giao diện người dùng Edge:
- Mở /opt/apigee/customer/application/ui.properties trong trình chỉnh sửa. Nếu tệp không tồn tại, hãy tạo tệp: vi /opt/apigee/customer/application/ui.properties
- Thiết lập thuộc tính sau trong ui.properties: conf/application.conf+trustxforwarded=true
- Lưu các thay đổi vào ui.properties.
- Khởi động lại giao diện người dùng Edge: /opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Đặt thuộc tính TLS không bắt buộc
Giao diện người dùng Edge hỗ trợ các thuộc tính cấu hình TLS không bắt buộc mà bạn có thể dùng để thiết lập các thuộc tính sau:
- Giao thức TLS mặc định
- Danh sách các giao thức TLS được hỗ trợ
- Các thuật toán TLS được hỗ trợ
- Thuật toán mật mã TLS được hỗ trợ
Các thông số không bắt buộc này chỉ có sẵn khi bạn đặt thuộc tính cấu hình sau trong tệp cấu hình, như được mô tả trong Sử dụng tệp cấu hình để định cấu hình TLS:
TLS_CONFIGURE=y Lưu ý: Bạn chỉ có thể đặt các tham số không bắt buộc này trong tệp cấu hình đã được truyền vào lệnh apigee-service edge-ui configure-ssl. Bạn không thể đặt các thuộc tính này bằng lệnh tương tác.
Bảng sau đây mô tả những thuộc tính này:
Thuộc tính Mô tả TLS_PROTOCOL Xác định giao thức TLS mặc định cho giao diện người dùng Edge. Theo mặc định, đó là TLS 1.2. Các giá trị hợp lệ là TLSv1.2, TLSv1.1, TLSv1. TLS_ENABLED_PROTOCOL
Xác định danh sách các giao thức đã bật dưới dạng một mảng được phân tách bằng dấu phẩy. Ví dụ:
TLS_ENABLED_PROTOCOL=[“TLSv1.2”, “TLSv1.1”, “TLSv1”]
Lưu ý rằng bạn phải thoát ” .
Theo mặc định, tất cả các giao thức đều được bật.
TLS_DISABLED_ALGO
Xác định bộ thuật toán mật mã bị vô hiệu hoá và cũng có thể được dùng để ngăn các khoá có kích thước nhỏ được sử dụng cho giao thức bắt tay TLS. Không có giá trị mặc định.
Các giá trị được truyền đến TLS_DISABLED_ALGO tương ứng với các giá trị được phép cho jdk.tls.disabledAlgorithms như mô tả tại đây. Tuy nhiên, bạn phải thoát các ký tự dấu cách khi thiết lập TLS_DISABLED_ALGO:
TLS_DISABLED_ALGO=EC keySize < 160,RSA keySize < 2048 TLS_ENABLED_CIPHERS
Xác định danh sách thuật toán mật mã TLS hiện có dưới dạng một mảng được phân tách bằng dấu phẩy. Ví dụ:
TLS_ENABLED_CIPHERS=[“TLS_DHE_RSA_WITH_AES_128_CBC_SHA”, “TLS_DHE_DSS_WITH_AES_128_CBC_SHA”]
Lưu ý rằng bạn phải thoát ” .
Danh sách các thuật toán mật mã được bật mặc định là:
“TLS_DHE_RSA_WITH_AES_256_CBC_SHA”, “TLS_DHE_RSA_WITH_AES_128_CBC_SHA”, “TLS_DHE_DSS_WITH_AES_128_CBC_SHA”, “TLS_RSA_WITH_AES_256_CBC_SHA”, “TLS_RSA_WITH_AES_128_CBC_SHA”, “SSL_RSA_WITH_RC4_128_SHA”, “SSL_RSA_WITH_RC4_128_MD5”, “TLS_EMPTY_RENEGOTIATION_INFO_SCSV”
Tìm danh sách các thuật toán mật mã có sẵn tại đây.
Tắt giao thức TLS
Để tắt giao thức TLS, bạn cần chỉnh sửa tệp cấu hình, được mô tả trong Sử dụng tệp cấu hình để định cấu hình TLS, như sau:
- Mở tệp cấu hình trong một trình chỉnh sửa.
- Để tắt một giao thức TLS (ví dụ: TLSv1.0), hãy thêm đoạn mã sau vào tệp cấu hình: TLS_CONFIGURE=y TLS_DISABLED_ALGO=”tlsv1″
Để vô hiệu hoá nhiều giao thức—ví dụ: TLSv1.0 và TLSv1.1— thêm đoạn mã sau vào tệp cấu hình:
TLS_CONFIGURE=y TLS_DISABLED_ALGO=”tlsv1, tlsv1.1″
- Lưu các thay đổi vào tệp cấu hình.
- Chạy lệnh sau để định cấu hình TLS: /opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile
trong đó configFile là đường dẫn đầy đủ đến tệp cấu hình.
- Khởi động lại giao diện người dùng Edge: /opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Dùng cookie an toàn
Apigee Edge cho Đám mây riêng tư đã hỗ trợ việc thêm cờ secure vào tiêu đề Set-Cookie cho trên giao diện người dùng Edge. Nếu có cờ này thì cookie chỉ có thể được gửi qua Kênh có bật TLS. Nếu không có thì cookie có thể được gửi qua bất kỳ kênh nào, cho dù có an toàn hay không.
Những cookie không có cờ secure có thể cho phép kẻ tấn công nắm bắt và sử dụng lại cookie hoặc xâm nhập một phiên đang hoạt động. Do đó, phương pháp hay nhất là bật cài đặt.
Cách đặt cờ secure cho cookie giao diện người dùng Edge:
- Mở tệp sau trong trình chỉnh sửa văn bản: /opt/apigee/customer/application/ui.properties
Nếu tệp không tồn tại, hãy tạo tệp đó.
- Đặt thuộc tính conf_application_session.secure thành true trong ui.properties, như trong ví dụ sau đây: conf_application_session.secure=true
- Lưu các thay đổi.
- Khởi động lại giao diện người dùng Edge bằng tiện ích apigee-serice như ví dụ sau cho thấy: /opt/apigee/apigee-service/bin/apigee-service edge-ui restart
Để xác nhận thay đổi có đang diễn ra, hãy kiểm tra tiêu đề phản hồi từ giao diện người dùng Edge bằng cách sử dụng một tiện ích như curl; ví dụ:
curl -i -v https://edge_UI_URL
Tiêu đề phải chứa một dòng giống như sau:
Set-Cookie: secure; …
Tắt TLS trên giao diện người dùng Edge
Để tắt TLS trên giao diện người dùng Edge, hãy sử dụng lệnh sau:
/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl
