Всегда использовать шифрование при подключении к серверу Loginom.

Если параметр не указан, при подключении к веб-серверу по http подключение к серверу Loginom будет выполняться без шифрования.

Если параметр указан и установлен в true, подключение всегда будет выполняться с шифрованием — по протоколу websocket secure на порт wssport.

{
    "host": "loginom-server-host",
    "secure": true
}

Результрующий url:

• без wsproxy: wss://loginom-server-host:8443
• с wsproxy: wss://web-server-host:443/ws/

Базовые шаги по установке продуктов WSO2 — Базовые шаги по установке продуктов WSO2

Все продукты компании WSO2 базируются на одной и той же платформе (Carbon) и шаги по их установке и базовой настройке (будь то WSO2 Appliction Server, Data Services Server или ESB) принципиально не отличаются.

Сегодня я попробую рассказать о некоторых базовых шагах на примере WSO2 ESB 4.8.1

Скачать дистрибутив

Скачать все продукты WSO2 можно с сайта абсолютно бесплатно (предварительно заполнив небольшую форму, причем заполнять ее надо только один раз). В этом плане, кстати, лицензионная политика WSO2 отличается от других компаний (например той же Liferay) — тут нет никаких Community Edition и Enterprise Edition — WSO2 зарабатывает исключительно на support-е и consulting-е

Итак — скачать последнюю (4.8.1 на текущий момент) версию WSO2 ESB можно со страницы продукта http://wso2.com/products/enterprise-service-bus/ , просто жмем кнопку «Download Binary»

Установка WSO2 ESB

В итоге получаем zip файл, который надо распаковать в любой папке. На этом все. В простом варианте никаких других шагов не требуется.

Запуск WSO2 ESB

Предположим мы распаковали архив в <wso2esb>, тогда переходим в <wso2esb>/bin и вызываем

./wso2server.sh

(или wso2server.sh для Windows)

Через несколько секунд сервер запуститься — в логах вы должны увидеть сообщение типа:

INFO — CarbonUIServiceComponent Mgt Console URL  : https://192.168.60.14:9443/carbon/

Вход в Management Console

Берем тот URL, который был указан в логах и открываем его в браузере. Скорей всего будет предупреждение о сертификате, после того как вы «проигнорируете» предупреждения безопасности браузера — появится окнов входа.

Пароль по умолчанию для входа в Management Console всех продуктов WSO2:

• имя пользователя: admin
• пароль: admin

После входа попадаем в саму Management Console.

Одним из преимуществ WSO2 является то, что все продукты построены на базе одной платформы (Carbon), как результат имеют единые правила настройки и работы в Management Console. Освоившись с WSO2 ESB у вас не возникнет никаких проблем с запуском и настройкой WSO2 AS или WSO2 DSS.

Worker и Management

Важной особенностью практически любого продукта WSO2 является, что у сервера есть 2 части:

• Management — это собственно Management Console в которую мы только что залогинились
• Worker — «рабочая лошадка» — часть сервера собственно выполняющая работу (например все сервисы исполняются именно в Worker-части).

Эти части используют разные порты (Management по умолчанию доступна по протоколу https через порт 9443, Worker использует порт 8280 для протокола http и 8243 для протокола https). Так же это разделение активно используется для кластеризации (мы можем запустить несколько серверов WSO2 ESB в конфигурации Only Worker для распределения нагрузки и только один сервер Management для управления нодами в кластере).

Основные файлы конфигурации

Основными файлами с которыми мы будем работать:

• <wso2esb>/repository/conf/carbon.xml — основные, «глобальные» настройки
• <wso2esb>/repository/conf/axis2/axis2.xml — основные настрйоки Axis2 — подсистемы отвественной за реализацию веб-сервисов
• <wso2esb>/repository/conf/tomcat/catalina-server.xml — настройки Tomcat-а, который отвечает за веб-интерфейс
• <wso2esb>/repository/conf/datasources/master-datasources.xml — настройки базы данных
• <wso2esb>/repository/conf/user-mgt.xml — настройка «пользовательской базы»

Типовые задачи конфигурации

Обычно, сразу после запуска бывает необходимо выполнит несколько дополнительных шагов по настройке

Смена порта

Как писал выше, после старта WSO2 ESB использует сразу несколько портов: 8280, 8243, 9443. 

Если надо просто сдвинуть все порты на 1 (например в случае если вы запускаете несколько продуктов WSO2 на одной машине) — то надо просто поменять в файле <wso2esb>/repository/conf/carbon.xml тег <Offset> на (например) 1 — после этого WSO2 ESB будкт использовать порты 8281, 8244, 9444

Если требуется более «тонкая» настройка портов то:

• Для смены порта Management Console необходимо отредактировать файл <wso2esb>/repository/conf/tomcat/catalina-server.xml ),
• Для настройки портов, которые используются Worker-ом необходимо отредактировать файл <wso2esb>/repository/conf/axis2/axis2.xml

Смена домена

Если вы хотите, что бы WSO2 ESB (или любой другой продукт WSO2) слушал соединения по другому домену, необходимо исправить (предварительно раскоментировав) в файле <wso2esb>/repository/conf/carbon.xml теги HostName и MgtHostName

Смена базы данных

По умолчанию WSO2 ESB хранит все свои конфигурационные данные во встроенной базе h3. Если вы хотите изменить конфигурацию на использование другой базы (например MySQL) необходимо изменить файл <wso2esb>/repository/conf/datasources/master-datasources.xml , поменяв в нем настройки для WSO2_CARBON_DB

При этом важно:

• Положить jar-файл с необходимым драйвером в <wso2esb>/repository/components/lib
• После изменения базы первый запуск выполнить с опцией -Dsetup , чтобы проинициализировать базу

Смена «базы пользователей»

Если вы хотите, что бы все продукты WSO2 использовали одну базу пользователей (например LDAP) — необходимо в файле <wso2esb>/repository/conf/user-mgt.xml закоментировать JDBCUserStoreManager и раскоментировать (например) ReadOnlyLDAPUserStoreManager (проставив в нем правильные настройки коннекта к вашему LDAP)

09.01.2015

Порты RHEL не используют один и тот же шифр

[UPDATE]
I ran the openssl command from a couple servers and my local machine. It seems like port 9443 is not remaining consistent. The cipher on Сервер1: 9443 remained the same from the first server (RHEL5) I queried from. However, querying from my local machine (Win7) and a VM (RHEL6.9) result in a 0000 cipher.

Я не думаю, что отключение связано с моей разницей в шинах портов, поскольку дополнительные тесты показывают, что приложение снова работает в Интернете с использованием аналогичных параметров среды, таких как конечный пользователь. Я читал статья , что балансировщик F5 может потенциально вызвать проблемы. Поэтому я исследую этот маршрут с админами.

But I’d still like to know why the ports are reflecting different ciphers and how to correct it. [/UPDATE]

У меня два сервера, у обоих есть два экземпляра серверов приложений. Каждый экземпляр сервера приложений настроен на использование одних и тех же протоколов SSL и шифрования.

Из конфигураций:

sslProtocols = "TLSv1,TLSv1.1,TLSv1.2"
ciphers="TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA256,
    TLS_ECDHE_RSA_WITH_AES_128_CBC_SHA,
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384,
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA,
    TLS_DHE_RSA_WITH_AES_256_CBC_SHA,
    TLS_DHE_DSS_WITH_AES_128_CBC_SHA,
    TLS_RSA_WITH_AES_128_CBC_SHA256,
    TLS_RSA_WITH_AES_128_CBC_SHA,
    TLS_RSA_WITH_AES_256_CBC_SHA256,
    TLS_RSA_WITH_AES_256_CBC_SHA"

Clients reported an outage in certain cases for Сервер1: 9443

I ran from the commandline: openssl s_client -connect server:port

Сервер1: 8443

Protocol  : TLSv1
Cipher    : AES128-SHA

Сервер1: 9443

Protocol  : TLSv1
Cipher    : DHE-RSA-AES256-SHA

Сервер2: 8443

Protocol  : TLSv1
Cipher    : AES128-SHA

Сервер2: 9443

Protocol  : TLSv1
Cipher    : AES128-SHA

Why would Сервер1: 9443 reflect differently?

Оба сервера находятся на RHEL 5.11.

[EDIT]
From the commandline netstat -tupln

Сервер1:

tcp        0      0 0.0.0.0:9443                0.0.0.0:*                   LISTEN      9709/java

Сервер2:

tcp        0      0 0.0.0.0:9443                0.0.0.0:*                   LISTEN      718/java
tcp        0      0 0.0.0.0:8443                0.0.0.0:*                   LISTEN      5900/java    

Server1 /etc/services перечисляет 8443 как pcsync-https. Проверьте, выполнив команду sudo netstat -t -l -p | grep pcsync-https на сервере1.

tcp        0      0 *:pcsync-https                *:*                   LISTEN      7037/java

[/ EDIT]

HPD v2 — Документация по АСР «Гидра»

Вторая версия приложения настраивается с помощью YML-файла. Настройка АСР выполняется так же, как и для первой версии (см. Прием платежей из внешних систем (агент HPD)).

HPD v2 работает в связки HPAY v2.

Конфигурационный файл

HPD v2 поддерживает работу с несколькими конфигурационными файлами, которые рекурсивно объединяются при запуске. Приоритет имеют файлы в директории /etc/hydra/hpd/. Их параметры перезаписывают параметры по умолчанию, хранящиеся в директории с приложением. При старте приложение пишет вычисленные настройки в лог-файл, что можно использовать для отладки при необходимости.

Пример конфигурационного файла hpd.yml:

database:
  name: offline

hydra:
  user: offline_telecom
  password: f43gsd2h5

plugins:
  default:
    # Обязательные параметры
    bank_code: ОСМП
    bank_account: ОСМП

    # Необязательные параметры
    # Тип платежа
    pay_type: RMM_KIND_Test
    # Шаблон (регулярное выражение) номера лицевого счета или другой
    # сущности, по которой осуществляется подбор
    # лицевого счета для зачисления средств
    account_lookup_pattern: ^\w+$
    # Вариант шаблона с префиксом, который отрезается при подборе счета
    # (см.(?:prefix: )(?P<account>.+)$'
    # Шаблон для составления номера счета перед подбором в БД
    # Результат будет состоять из строки new_prefix и строки группы account
    # настройки account_lookup_pattern. 
    # Пример: строка 'prefix: 750' будет преобразована в 'new_prefix750'
    # account_lookup_template: 'new_prefix{account}'

    # Значение, по которому происходит подбор лицевого счета
    # Возможные варианты:
    #  - account_no: номер лицевого счета;
    #  - customer_code: номер абонента;
    #  - phone_number: телефонный номер оборудования абонента;
    #  - contract_no: номер договора на оказание услуг;
    #  - invoice_no: номер счета (документа).
    account_lookup_field: account_no
    # Ограничение по группе абонентов
    customer_group: null
    # Флаг, разрешающий прием платежей от юридических лиц
    allow_company_payments: false
    # Код валюты платежей
    currency: RUB
    # Размер комиссии
    fee: 0.0 

  osmp:
    # Допустимо указание настроек по умолчанию для всех плагинов
    # одного типа
    default: {}
    # Объявление настроек экземпляра плагина. Плагин не будет подключен, пока
    # не будет использован хотя бы в одном слушателе (см. ниже)
    main: {}
    # Пример настроек другого плагина того же типа
    alternative: {}

# Описание «слушателей» — источников запросов для плагинов
listeners:
  http:
    plain:
      host: 0.0.0.0
      port: 9080
      plugins: [osmp/main]
      # Список разрешенных адресов для подключения
      acl: [127.0.0.1, 172.16.0.0/16, 80.90.100.0/29]
    ssl: # HTTP-слушатель + SSL
      host: 0.0.0.0
      port: 9443
      ssl: true
      key: /etc/hydra/hpd/cert/hpd.pem
      certificate: /etc/hydra/hpd/cert/ssl.pem
    ssl_cv: # HTTP-слушатель + SSL с клиентской верификацией
      host: 0.0.0.0
      port: 9444
      ssl: true
      verify_peer: true
      key: /etc/hydra/hpd/cert/hpd.pem
      certificate: /etc/hydra/hpd/cert/ssl.pem
	plain_basic_auth:
      host: 1.2.4.3
      port: 9081
      plugins: []
      # Пример бэйсик-аутентификации
      basic_auth:
        login: abyr
        password: fhwrg546ss3

# Приложение может запускать несколько дочерних процессов, 
# в каждом из которых могут быть свои слушатели.
# Запуск больше одного дочернего процесса обычно не требуется.
# Если вы запускаете несколько процессов, убедитесь, что 
# слушатели различных процессов запущены на разных TCP-портах
workers:
  - listeners: [http/ssl]

Для HTTP-слушателей используется следующая маршрутизация:

http://host:port/plugin_type/plugin_instance_name/plugin_action?get_parameters, где plugin_type — тип плагина (например, osmp), plugin_instance_name — имя экземпляра плагина (например, main), plugin_action (необязательный параметр) — название действия плагина, которое будет вызвано. Часть плагинов (например, Киберплат) используют только GET-параметры для определения действия плагина, которое нужно вызвать, другая часть — может использовать явно указанные в url действия. Тот или иной способ взаимодействия определяется особенностями реализации протокола. Например:

http://host/plugin1/main/check — путь для вызова действия check
http://host/plugin1/main — путь для вызова действия по умолчанию. Обычно это действие process, но это не обязательно
http://host/plugin2/main?action=check — другой плагин, в котором необходимое действие определяется на основании значения GET-параметра action

То, какие адреса необходимо использовать для вызова нужных действий плагина, описывается в документации на конкретный плагин. Если никаких пояснений не дается, то по умолчанию это путь plugin_type/instance_name (например, osmp/main), его нужно будет использовать при настройке стыковки с платежной системой.

Для TCP-слушателя (на текущий момент он используется только в ПС NCC) используется только хост и порт (т .к. в TCP нет путей).

Грузооборот порта «Південний» вырос на треть

Кабмин также утвердил финплан госкомпании на 2020 год
 

В январе-феврале 2020 года морской порт «Південний» увеличил грузооборот на 28,3% – до 9,443 млн тонн, по сравнению с аналогичным периодом прошлого года. Об этом свидетельствуют фактические данные ГП «Администрация морских портов Украины» (АМПУ), пишут Порты Украины.

Перевалка экспортных грузов увеличилась на 18,8% – до 6,978 млн тонн, импортных – на 96,8%, до 1,552 млн тонн, транзитных – на 31,4%, до 913 920 тонн.

Перевалка наливных грузов выросла на 5% – до 754 500 тонн. В частности, переработка химических грузов сократилась на 2,1% – до 445 370 тонн, растительного масла – увеличилась на 7,2%, до 275 910 тонн. Перевалка нефтепродуктов составила 33 220 тонн.

Переработка сыпучих грузов увеличилась на 39,9% – до 8,085 млн тонн. В частности, перевалка руды выросла на 68,2% – до 5,062 млн тонн, угля – в 2,1 раза, до 1,067 млн тонн, химических грузов и минеральных удобрений – в 4,4 раза, до 181 160 тонн. Переработка зерна сократилась на 20% – до 1,589 млн тонн, строительных грузов – в 2,4 раза, до 30 550 тонн, других сыпучих грузов – на 6,4%, до 154 840 тонн.

Перевалка тарно-штучных грузов снизилась на 29,8% – до 604 350 тонн. В частности, переработка черных металлов сократилась в 4,6 раза – до 82 720 тонн, в частности металлопроката – в 2,1 раза, до 62 910 тонн, чугуна – в 12,6 раза, до 19 810 тонн. Перевалка химических грузов и минеральных удобрений составила 3150 тонн.

Контейнерооборот увеличился на 8,4% – до 37 680 TEU.

Кабинет министров также утвердил финансовый план ГП «Морской торговый порт (МТП) «Південний» на 2020 год. Соответствующее решение закреплено распоряжением Кабмина №194-р от 3 марта 2020 года.

Согласно финплану, чистый доход предприятия от операционной деятельности запланирован в объеме 2,004 млрд грн, валовая прибыль — 617,145 млн грн, чистая прибыль — 141,15 млн грн, EBITDA — 360,045 млн грн, рентабельность по EBITDA — 18%. Грузооборот на причалах госстивидора должен составить 13,5 млн тонн.

Сумма уплаты налогов и сборов составит 712,966 млн грн. В частности, отчисления налогов и сборов в Государственный бюджет запланированы в объеме 386,149 млн грн, в государственные целевые фонды — 184,57 млн грн, в местные бюджеты — 142,247 млн грн.

Капитальные инвестиции запланированы в объеме 418,214 млн грн. В том числе инвестиции в капитальное строительство составят 79 млн грн, реконструкцию и модернизацию — 53,929 млн грн, капитальные ремонты — 8,5 млн грн, покупку транспорта и оборудования — 272,786 млн грн.

Морской порт «Пивденный» расположен на берегах Аджалыкского лимана на северо-западном побережье Черного моря. Количество грузовых причалов – 19, длина грузового причального фронта – 4,946 километра. С 21 июня 2014 года в порту утверждена осадка 18,5 метра. Гавань является самой глубоководной в украинской акватории Черного моря.

Компания «Укртранснафта» 12 марта начала прием 90 000 тонн нефти из Азербайджана на морском нефтяном терминале «Південний» для ее последующей транспортировки в Беларусь. 
 

tcp port и библиотека поиска портов udp, поиск портов tcp udp

Инструменты для анонса ping порта [Новости 2009-10-26]

Мы обнаружили, что инструментальный пинг на некоторый настраиваемый порт на сервере может быть полезен, потому что это показывает время принятия соединения, которое связано со статистикой загрузки сервера. Обычный пинг проходит нормально во всех случаях, когда сетевая карта жива, а когда сервер зависает — пинг продолжает работать. В этом случае пинг будет продолжаться только в том случае, если программное обеспечение работает.

Scan hosts и инструмент диапазона IP-адресов! [Новости 2009-10-12]

Итак, это «Сканер портов диапазона IP» в левом меню.Этот инструмент создан для проверки одного номера порта, но на всем диапазоне ip (не на одном сервере). Он был протестирован на Firefox 3, FireFox 3.5, InternetExplorer 7, Opera 9, но результат может быть не совсем верным, во время тестов было обнаружено, что он верен не менее чем на 88%.

! [Новости 2009-10-04]

Инструмент выпущен, он вызывает в левом меню «Проверить все открытые порты». Он был протестирован в Firefox 3, FireFox 3.5, InternetExplorer 7, Opera 9 и работает хорошо, но не работает в Koncueror brwoser.Качество сканирования связано с браузером пользователя и настройками интернет-провайдера, во время тестирования было обнаружено, что инструмент показывает больше портов как «открытых», которые на самом деле открыты, но нет другого способа проверить порт из браузера.

[Новости 2009-09-28]

У нас уже есть инструмент, который можно использовать для сканирования ограниченного количества портов (сканирование идет с нашего сервера). Как мы узнаем, как разрешить нашим пользователям сканировать неограниченное количество (до 49000) портов сервера за один запрос — это будет очень полезно для исследования проблем безопасности собственного сервера, или просто найдите, какие порты остаются открытыми во время какой-либо внешней (сетевой) или внутренней (связанной с сервером) проблемы.

• Библиотека назначения номеров портов IANA (база данных) — Управление по присвоению номеров в Интернете (IANA) отвечает за поддержание официальных назначений номеров портов для конкретных целей.
• Библиотека назначения номеров портов WIKI (база данных) — Хорошо известная библиотека портов Википедии
Библиотека
• Gasmy, Beta Library — хорошо известные вручную созданные базы данных портов.

• Хорошо известные порты от 0 до 1023.
• Зарегистрированные порты с 1024 по 49151.
• Динамические и / или частные порты — это порты с 49152 по 65535.

Настройка межсетевого экрана — расширенная проверка подлинности

ВАЖНО: Сервер расширенной аутентификации использует порты 443 и 80.Эти порты нельзя изменить.

Переадресация портов не рекомендуется в производственной среде, поскольку все устройство доступно через Интернет. Рекомендуется использовать обратный прокси для сопоставления только определенных URL-адресов.

По умолчанию сервер расширенной проверки подлинности использует следующие стандартные порты RFC.

Advanced Authentication использует следующие порты для различных методов:

ВАЖНО: Для обратного прокси можно использовать любой порт.Например, https: // dnsname: 888 / smartphone. Перенаправление обратного прокси-сервера выполняется с порта 888 на порт 443 внутри устройства. Порт 888 используется снаружи, а порт 443 используется внутри устройства.

В следующей таблице перечислены порты общего устройства:

Используйте SuSEfirewall2 для изменения настроек брандмауэра.Например, выполните следующие команды, чтобы включить порт 9443 для внешней сети:

 SuSEfirewall2 открыть EXT TCP 9443
SuSEfirewall2 остановить
Запуск SuSEfirewall2
systemctl остановить aauth
systemctl перезапустить докер
systemctl start aauth 

В следующей таблице перечислены URL-адреса для доступа к внешнему адресу для расширенной проверки подлинности.

ПРИМЕЧАНИЕ. Предоставление доступа к docker.io, docker.com и redis.io требуется только для диаграммы управления, а не для устройства.

Advanced Authentication использует следующие URL-адреса.

Настройка TLS для пользовательского интерфейса управления

Edge для частного облака v.4.17.09

По умолчанию вы получаете доступ к пользовательскому интерфейсу управления Edge через HTTP, используя IP-адрес Узел Management Server и порт 9000. Например:

http: // ms_IP: 9000
 

В качестве альтернативы вы можете настроить доступ TLS к пользовательскому интерфейсу управления, чтобы получить к нему доступ в форма:

https: // ms_IP: 9443
 

В этом примере вы настраиваете доступ TLS для использования порта 9443. Однако этот номер порта не требуется Edge — вы можете настроить Management Server для использования других значений портов.Единственный Требование состоит в том, чтобы ваш брандмауэр разрешал трафик через указанный порт.

Убедитесь, что ваш порт TLS открыт

Процедура в этом разделе настраивает TLS для использования порта 9443 на Management Server. Независимо от того, какой порт вы используете, вы должны убедиться, что порт открыт в Management Сервер. Например, вы можете использовать следующую команду, чтобы открыть его:

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose
 

Одна альтернатива — использовать балансировщик нагрузки с пользовательским интерфейсом Edge и отключать TLS при загрузке. балансировщик на порт 443. Затем вы можете использовать HTTP или HTTPS между балансировщиком нагрузки и Edge UI.

Другой альтернативой является использование iptables для перенаправления запросов на порт 443 на порт 9443.Например:

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 9443
 

Настроить TLS

Используйте следующую процедуру для настройки доступа TLS к пользовательскому интерфейсу управления:

1. Создайте JKS-файл хранилища ключей, содержащий вашу сертификацию TLS и закрытый ключ, и скопируйте его. его на узел Management Server.Для получения дополнительной информации см. Настройка TLS / SSL для Edge On Premises.
2. Выполните следующую команду для настройки TLS:
   $ / opt / apigee / apigee-service / bin / apigee-service edge-ui configure-ssl
3. Введите номер порта HTTPS, например 9443.
4. Укажите, хотите ли вы отключить доступ по протоколу HTTP к пользовательскому интерфейсу управления. По умолчанию руководство Пользовательский интерфейс доступен через HTTP на порту 9000.
5. Введите алгоритм хранилища ключей. По умолчанию — JKS.
6. Введите абсолютный путь к файлу JKS хранилища ключей.

   Скрипт копирует файл в каталог / opt / apigee / customer / conf на Узел Management Server и меняет владельца файла на apigee.

7. Введите пароль хранилища ключей в виде открытого текста.
8. Затем сценарий перезапускает пользовательский интерфейс управления Edge. После перезапуска пользовательский интерфейс управления поддерживает доступ по TLS.
   Вы можете увидеть эти настройки в /opt/apigee/etc/edge-ui.d/SSL.sh.

Вы также можете передать команде файл конфигурации вместо того, чтобы отвечать на запросы. Конфигурация файл принимает следующие свойства:

HTTPSPORT = 9443
DISABLE_HTTP = y
KEY_ALGO = JKS
KEY_FILE_PATH = / opt / apigee / customer / application / mykeystore.jks
KEY_PASS = clearTextKeystorePWord
 

Затем используйте следующую команду для настройки TLS пользовательского интерфейса Edge:

/ opt / apigee / apigee-service / bin / apigee-service edge-ui configure-ssl -f   configFile  
 

Настроить интерфейс Edge при использовании TLS завершается на балансировщике нагрузки

Если у вас есть балансировщик нагрузки, который перенаправляет запросы в пользовательский интерфейс Edge, вы можете выбрать разорвать соединение TLS на балансировщике нагрузки, а затем передать балансировщик нагрузки запросы к пользовательскому интерфейсу Edge через HTTP.Эта конфигурация поддерживается, но вам необходимо настроить балансировщик нагрузки и пользовательский интерфейс Edge соответственно.

Дополнительная конфигурация требуется, когда пользовательский интерфейс Edge отправляет пользователям электронные письма, чтобы установить их пароль при создании пользователя или при запросе пользователя на сброс утерянного пароля. Это письмо содержит URL-адрес, который пользователь выбирает для установки или сброса пароля. По умолчанию, если пользовательский интерфейс Edge не настроен для использования TLS, URL в сгенерированном электронном письме использует протокол HTTP, а не HTTPS.Вы должны настроить балансировщик нагрузки и пользовательский интерфейс Edge для создания адреса электронной почты, который использует HTTPS.

Чтобы настроить балансировщик нагрузки, убедитесь, что он устанавливает следующий заголовок для перенаправленных запросов в интерфейс Edge:

X-Forwarded-Proto: https
 

Для настройки Edge UI:

1. Откройте /opt/apigee/customer/application/ui.properties файл в редакторе. Если файл не существует, создайте его:
   > vi / opt / apigee / customer / application / ui.недвижимость
2. Установите следующее свойство в ui.properties:
   conf / application.conf + trustxforwarded = true
3. Сохраните изменения в ui.properties.
4. Перезапустите пользовательский интерфейс Edge:
   > / opt / apigee / apigee-service / bin / apigee-service edge-ui restart

Отключить TLS в пользовательском интерфейсе Edge

Чтобы отключить TLS в пользовательском интерфейсе Edge, используйте следующую команду:

/ opt / apigee / apigee-service / bin / apigee-service edge-ui disable-ssl
 

Слабый SSL-шифр на порту 9443 / tcp Уязвимость в Консоли управления для сервера Unix.Отчеты о безопасности возвращают URL-адрес MCU для проблем. (84560)

Может потребоваться включить более безопасные шифры и отключить небезопасные в консоли управления для Unix Server.

РЕШЕНИЕ 1:

На серверах Windows 2008 или 2012.

1 — Остановить консоль управления Quest для Unix

2 — Сделать резервную копию файла Jetty.xml в C: \ Program Files (x86) \ Quest Software \ Management Console для Unix \ и т. Д. И переименовать его в причал.оригинал

3 — Затем замените C: \ Program Files (x86) \ Quest Software \ Management Console for Unix \ etc \ jetty.xml прикрепленным файлом. Обратите внимание, что это приложение находится внизу этого KB.

4 — Перезапустить службу

ВРЕМЕННОЕ РЕШЕНИЕ 2:

Вы можете предоставить свой собственный сертификат SSL. Пожалуйста, обратитесь к следующей статье базы знаний об этом: Как настроить SSL для использования с Jetty? Как настроить сертификат в MCU? (86932)

Также имеется некоторая информация в Консоли управления для руководства администратора Unix в главе «Безопасность» в разделе «Установка сертификата продукта».

ВОЗМОЖНОЕ РЕШЕНИЕ 3:

1 — На сервере MCU отредактируйте c: \ program files или program files (x86) \ Management Console for Unix \ etc \ jetty.xml, чтобы исключить нежелательные слабые шифры. использовал.

Это можно сделать, следуя документации, предоставленной Jetty: http://docs.codehaus.org/display/JETTY/SSL+Cipher+Suites

SSL Cipher Suites
Наборы шифров, используемые Jetty SSL, предоставляются JVM: http://java.sun.com/javase/6/docs/technotes/guides/security/SunProviders.html # SunJSSEProvider.

Шифры используются в порядке предпочтения. Если в шифре обнаружена уязвимость (или если она считается слишком слабой для использования), ее можно исключить без необходимости обновления JVM в jetty.xml:

8443
30000

/ etc / Хранилище ключей
OBF: 1vny1zlo1x8e1vnw1vn61x8g1zlu1vn4
OBF: 1u2u1wml1z7s1z7a1wnl1u2g
/ и т.д. / хранилище ключей
OBF: 1vny1zlo1x8e1vnw1vn61x8g1zlu1vn4

SSL_RSA_WITH_3DES_EDE_CBC_SHA SSL_DHE_RSA_WITH_DES_CBC_SHA

Используемые порты — Руководство по Veeam Backup Enterprise Manager

Изменение номера порта существующей установки Flexera Service Gateway

Flexera Service Gateway 2

Если вы хотите установить Flexera Service Gateway 2 на том же сервере, где уже установлена ​​предыдущая версия Flexera Service Gateway, вам необходимо изменить коммуникационный порт существующей установки Flexera Service Gateway с 9443 на следующий доступный порт, например 9445 или 9446.Flexera Service Gateway 2 будет использовать порт 9443.

Важно: Если вы устанавливаете Flexera Service Gateway 2 на тот же сервер, на котором уже установлена ​​предыдущая версия Flexera Service Gateway, выполните действия, описанные в этом разделе, перед установкой Flexera Service Gateway 2. Если вы не устанавливаете Flexera Service Gateway 2 на тот же сервер, что и предыдущая версия Flexera Service Gateway, вы можете проигнорировать этот раздел и просто выполнить действия, описанные в разделе «Запуск установщика Flexera Service Gateway 2».

Чтобы изменить номер порта существующей установки Flexera Service Gateway:

[Предыдущая версияFlexeraServiceGatewayInstallDirectory] \ repository \ conf \ carbon.xml

Примечание: изменение значения <смещение> на 2 переместит порт на 9445 (9443 + 2 = 9445), изменение значения <смещение> на 3 переместит порт на 9446 (9443 + 3 = 9446), и скоро.

https: // CURRENT_FSG_SERVER: 9443 / carbon / admin / index.jsp

Откроется экран «Завершение работы / перезапуск сервера».

https: // CURRENT_FSG_SERVER: NEW_PORT_NUMBER / carbon / admin / index.jsp

Сервисный шлюз Flexera

2,0

Изменение номера порта существующей установки Flexera Service Gateway

Как сервер в бэкэнд-пуле может прослушивать несколько портов с помощью fqdn в шлюзе приложений

Привет,

У меня есть один экземпляр, настроенный в бэкэнд-пуле.Его прослушиватель установлен с общедоступным IP-адресом frontend , портом 443 и прослушивателем multi site с типом хоста single . Скажем, demo.wso2.com

К этому слушателю прикреплено «базовое» правило маршрутизации запросов. (т.е. правила маршрутизации на основе пути не определены)

Параметр http настроен со следующими параметрами:

Внутренний протокол: HTTPS
Внутренний порт: 9443
Переопределение с новым именем хоста: Да
Переопределение с определенным именем домена: выбрано
демонстрация.wso2.com
специальный зонд: нет

Backend pool содержит виртуальную машину, на которой развернут сервер приложений, который прослушивает порт 9443, поэтому мы устанавливаем Backend port как 9443 в httpSettings.

Я могу подключиться по telnet к этому demo.wso2.com через порт 9443 публично без каких-либо проблем.

  telnet demo.wso2.com
  

Внутри этот сервер приложений также прослушивает другие порты, например, 10711 и 10500.] ‘.

… Я также могу использовать telnet-порт 433, используя имя хоста, настроенное как имя хоста в HttpSettings и прослушивателе, но я не могу подключиться к портам 10711 и 10500 по telnet аналогичным образом, используя fqdn (имя хоста), установленное в httpSetting. например:

Успех:
telnet demo.wso2.com 443
Выше показан успех, потому что прослушиватель настроен с портом 443, а в httpsetting внутренний порт настроен как 9443.

Ошибка:
telnet demo.wso2.com 10711
telnet demo.wso2.com 10500

Внутри все порты открыты и могут быть подключены по telnet (ed) с использованием имени хоста и частного IP-адреса, но использование fqdn не принесло успеха только для двух портов, а именно 10711 и 10500.