Настройка TLS для пользовательского интерфейса управления

Edge для частного облака v. 4.16.05

По умолчанию вы получаете доступ к пользовательскому интерфейсу управления Edge через HTTP, используя IP-адрес узла сервера управления и порт 9000. Например:

http://ms_IP:9000

Альтернативно вы можете настроить доступ TLS к пользовательскому интерфейсу управления, чтобы иметь к нему доступ в форме:

https://ms_IP:9443

В этом примере вы настраиваете доступ TLS для использования порта 9443. Однако этот номер порта не требуется для Edge — вы можете настроить сервер управления на использование других значений порта. Единственное требование — ваш брандмауэр разрешает трафик через указанный порт.

Убедитесь, что ваш порт TLS открыт

Процедура, описанная в этом разделе, настраивает TLS для использования порта 9443 на сервере управления. Независимо от того, какой порт вы используете, вы должны убедиться, что порт открыт на сервере управления. Например, вы можете использовать следующую команду, чтобы открыть его:

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose

Настроить TLS

Используйте следующую процедуру для настройки доступа TLS к пользовательскому интерфейсу управления:

  1. Создайте файл JKS хранилища ключей, содержащий сертификат TLS и закрытый ключ, и скопируйте его на узел сервера управления. Дополнительные сведения см. в разделе Настройка TLS/SSL для Edge On Premises .
  2. Выполните следующую команду для настройки TLS:
    $ /<inst_root>/apigee/apigee-service/bin/apigee-service Edge-UI configure-ssl
  3. Введите номер порта HTTPS, например, 9443.
  4. Укажите, хотите ли вы отключить HTTP-доступ к пользовательскому интерфейсу управления. По умолчанию пользовательский интерфейс управления доступен через HTTP через порт 9000.
  5. Введите алгоритм хранилища ключей. По умолчанию — JKS.
  6. Введите абсолютный путь к файлу JKS хранилища ключей.

    Сценарий копирует файл в каталог /<inst_root>/apigee/customer/conf на узле Management Server и меняет владельца файла на apigee .
  7. Введите пароль хранилища ключей в виде открытого текста.
  8. Затем сценарий перезапускает пользовательский интерфейс управления Edge. После перезапуска пользовательский интерфейс управления поддерживает доступ по TLS.
    Вы можете увидеть эти настройки в /<inst_root>/apigee/etc/edge-ui.d/SSL.sh .

Вы также можете передать команде файл конфигурации вместо ответа на запросы. Конфигурационный файл принимает следующие свойства:

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/tmp/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

Затем используйте следующую команду для настройки TLS пользовательского интерфейса Edge:

/<inst_root>/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile