Konfigurowanie protokołu TLS w interfejsie zarządzania

Edge for Private Cloud wer. 4.16.05

Domyślnie do interfejsu zarządzania brzegiem sieci możesz uzyskiwać dostęp przez HTTP przy użyciu adresu IP węzła serwera zarządzania i portu 9000. Na przykład:

http://ms_IP:9000

Możesz też skonfigurować dostęp TLS do interfejsu zarządzania, aby uzyskać do niego dostęp w tej formie:

https://ms_IP:9443

W tym przykładzie skonfigurujesz dostęp TLS tak, aby używać portu 9443. Jednak ten numer portu nie jest wymagany przez Edge. Możesz skonfigurować serwer zarządzania, aby używał innych wartości portów. Jedynym wymaganiem jest to, aby zapora sieciowa zezwalała na ruch przez określony port.

Upewnij się, że port TLS jest otwarty

Procedura podana w tej sekcji pozwala skonfigurować protokół TLS do używania portu 9443 na serwerze zarządzania. Niezależnie od używanego portu musisz się upewnić, że port na serwerze zarządzania musi być otwarty. Aby go otworzyć, możesz na przykład użyć tego polecenia:

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose

Konfigurowanie TLS

Aby skonfigurować dostęp TLS do interfejsu zarządzania, wykonaj poniższe czynności:

  1. Wygeneruj plik JKS magazynu kluczy zawierający certyfikat TLS i klucz prywatny, a następnie skopiuj go do węzła serwera zarządzania. Więcej informacji znajdziesz w artykule Konfigurowanie protokołu TLS/SSL dla przeglądarki Edge On.
  2. Aby skonfigurować protokół TLS, uruchom to polecenie:
    $ /<inst_root>/apigee/apigee-service/bin/apigee-service Edge-ui configure-ssl
  3. Wpisz numer portu HTTPS, np. 9443.
  4. Określ, czy chcesz wyłączyć dostęp HTTP do interfejsu zarządzania. Domyślnie interfejs zarządzania jest dostępny przez HTTP na porcie 9000.
  5. Wpisz algorytm magazynu kluczy. Wartość domyślna to JKS.
  6. Wpisz ścieżkę bezwzględną do pliku JKS magazynu kluczy.

    Skrypt kopiuje plik do katalogu /<inst_root>/apigee/customer/conf w węźle serwera zarządzania i zmienia własność pliku na apigee.
  7. Wpisz hasło do magazynu kluczy w postaci zwykłego tekstu.
  8. Następnie skrypt ponownie uruchamia interfejs zarządzania brzegowymi. Po ponownym uruchomieniu interfejs zarządzania obsługuje dostęp przez TLS.
    Te ustawienia możesz sprawdzić tutaj: /<inst_root>/apigee/etc/edge-ui.d/SSL.sh.

Zamiast odpowiadać na prompty, możesz też przekazać plik konfiguracyjny do polecenia. Plik konfiguracyjny zawiera te właściwości:

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/tmp/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

Następnie za pomocą tego polecenia skonfiguruj protokół TLS w interfejsie użytkownika Edge:

/<inst_root>/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile