הגדרת TLS עבור ממשק המשתמש לניהול

Edge for Private Cloud גרסה 4.16.05

כברירת מחדל, אפשר לגשת לממשק המשתמש לניהול Edge באמצעות HTTP באמצעות כתובת ה-IP של הצומת של שרת הניהול ושל היציאה 9000. לדוגמה:

http://ms_IP:9000

לחלופין, אפשר להגדיר גישת TLS לממשק המשתמש של הניהול, כך שתוכלו לגשת אליה באמצעות הטופס:

https://ms_IP:9443

בדוגמה הזו מגדירים גישה ל-TLS (אבטחת שכבת התעבורה) לשימוש ביציאה 9443. אבל ל-Edge אין דרישה למספר היציאה הזה, אבל אפשר להגדיר לשרת הניהול להשתמש בערכי יציאות אחרים. הדרישה היחידה היא שחומת האש תאפשר תעבורה דרך היציאה שצוינה.

בדיקה שיציאת ה-TLS (אבטחת שכבת התעבורה) פתוחה

בקטע הזה מגדירים את TLS להשתמש ביציאה 9443 בשרת הניהול. ללא קשר ליציאה שבה אתם משתמשים, עליכם לוודא שהיציאה פתוחה בשרת הניהול. לדוגמה, כדי לפתוח אותו, אפשר להשתמש בפקודה הבאה:

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose

הגדרת TLS (אבטחת שכבת התעבורה)

כדי להגדיר גישת TLS לממשק המשתמש של הניהול, משתמשים בתהליך הבא:

  1. יוצרים את קובץ ה-JKS של מאגר המפתחות שמכיל את אישור ה-TLS ואת המפתח הפרטי ומעתיקים אותו לצומת של שרת הניהול. למידע נוסף, ראה הגדרת TLS/SSL עבור Edge On Premises.
  2. מריצים את הפקודה הבאה כדי להגדיר TLS:
    $ /<inst_root>/apigee/apigee-service/bin/apigee-service edge-ui configuration-ssl
  3. צריך להזין את מספר יציאת ה-HTTPS, לדוגמה, 9443.
  4. מציינים אם רוצים להשבית את גישת HTTP לממשק המשתמש של הניהול. כברירת מחדל, אפשר לגשת לממשק המשתמש לניהול באמצעות HTTP ביציאה 9000.
  5. מזינים את האלגוריתם של מאגר המפתחות. ברירת המחדל היא JKS.
  6. צריך להזין את הנתיב המוחלט לקובץ ה-JKS של מאגר המפתחות.

    הסקריפט מעתיק את הקובץ לספרייה /<inst_root>/apigee/customer/conf בצומת של שרת הניהול, ומשנה את הבעלות על הקובץ ל-apigee.
  7. מזינים את הסיסמה של מאגר המפתחות בטקסט נקי.
  8. הסקריפט יפעיל מחדש את ממשק המשתמש לניהול Edge. אחרי ההפעלה מחדש, ממשק המשתמש לניהול תומך בגישה באמצעות TLS.
    אפשר לראות את ההגדרות האלה בכתובת /<inst_root>/apigee/etc/edge-ui.d/SSL.sh.

אפשר גם להעביר לפקודה קובץ תצורה במקום להגיב להנחיות. קובץ התצורה מקבל את המאפיינים הבאים:

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/tmp/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

לאחר מכן משתמשים בפקודה הבאה כדי להגדיר TLS בממשק המשתמש של Edge:

/<inst_root>/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile