Diese Seite wurde von der Cloud Translation API übersetzt.

TLS für die Verwaltungs-UI konfigurieren

Edge for Private Cloud Version 4.16.09

Standardmäßig greifen Sie über HTTP mit der IP-Adresse des Management Server-Knotens und Port 9000 auf die Edge-Management-UI zu. Beispiel:

http://ms_IP:9000

Alternativ können Sie den TLS-Zugriff auf die Verwaltungs-UI so konfigurieren, dass Sie folgendermaßen darauf zugreifen können:

https://ms_IP:9443

In diesem Beispiel konfigurieren Sie den TLS-Zugriff für die Verwendung von Port 9443. Diese Portnummer ist für Edge jedoch nicht erforderlich – Sie können den Management Server so konfigurieren, dass andere Portwerte verwendet werden. Die einzige Voraussetzung besteht darin, dass Ihre Firewall Traffic über den angegebenen Port zulässt.

Achten Sie darauf, dass Ihr TLS-Port offen ist

Mit der Anleitung in diesem Abschnitt wird TLS für die Verwendung von Port 9443 auf dem Verwaltungsserver konfiguriert. Unabhängig vom verwendeten Port muss der Port auf dem Verwaltungsserver offen sein. Sie können sie beispielsweise mit dem folgenden Befehl öffnen:

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose

Hinweis:In diesem Beispiel wird Port 9443 für den TLS-Port verwendet und nicht der übliche Port 443. Der Grund dafür ist, dass Ports unter 1024 in der Regel durch das Betriebssystem geschützt werden und der Prozess für den Zugriff auf die Ports erforderlich ist, um Root-Zugriff zu haben. Die Edge-Benutzeroberfläche wird als der Benutzer „apigee“ ausgeführt und hat daher normalerweise keinen Zugriff auf Ports unter 1024.

Eine Alternative ist die Verwendung eines Load-Balancers mit der Edge-UI und die Beendigung von TLS auf dem Load-Balancer an Port 443. Sie können dann entweder HTTP oder HTTPS zwischen dem Load-Balancer und der Edge-UI verwenden.

Eine weitere Alternative ist die Verwendung von iptables zum Weiterleiten von Anfragen an Port 443 an Port 9443. Beispiel:

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 9443

TLS konfigurieren

Gehen Sie so vor, um den TLS-Zugriff auf die Verwaltungs-UI zu konfigurieren:

Generieren Sie die Schlüsselspeicher-JKS-Datei mit Ihrer TLS-Zertifizierung und Ihrem privaten Schlüssel und kopieren Sie sie in den Knoten des Verwaltungsservers. Weitere Informationen finden Sie unter TLS/SSL für lokale Edge-Geräte konfigurieren.
Führen Sie den folgenden Befehl aus, um TLS zu konfigurieren:
$ /opt/apigee/apigee-service/bin/apigee-service Edge-ui configure-ssl
Geben Sie die HTTPS-Portnummer ein, z. B. 9443.
Geben Sie an, ob Sie den HTTP-Zugriff auf die Verwaltungsoberfläche deaktivieren möchten. Standardmäßig ist die Verwaltungs-UI über HTTP an Port 9000 zugänglich.
Geben Sie den Schlüsselspeicher-Algorithmus ein. Der Standardwert ist JKS.
Geben Sie den absoluten Pfad zur Keystore-JKS-Datei ein.

Das Skript kopiert die Datei in das Verzeichnis /opt/apigee/customer/conf auf dem Management Server-Knoten und ändert die Eigentümerschaft der Datei in apigee.
Geben Sie das Klartext-Keystore-Passwort ein.
Das Skript startet dann die Edge-Verwaltungs-UI neu. Nach dem Neustart unterstützt die Verwaltungs-UI den Zugriff über TLS.
Sie können diese Einstellungen unter /opt/apigee/etc/edge-ui.d/SSL.sh einsehen.

Sie können auch eine Konfigurationsdatei an den Befehl übergeben, anstatt auf Aufforderungen zu antworten. Die Konfigurationsdatei hat folgende Attribute:

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

Verwenden Sie dann den folgenden Befehl, um TLS der Edge-Benutzeroberfläche zu konfigurieren:

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

Konfigurieren Sie die Edge-UI, wenn TLS auf dem Load-Balancer beendet wird

Wenn Sie einen Load-Balancer haben, der Anfragen an die Edge-UI weiterleitet, können Sie die TLS-Verbindung auf dem Load-Balancer beenden und Anfragen dann über HTTP an die Edge-UI weiterleiten lassen. Diese Konfiguration wird unterstützt, aber Sie müssen den Load-Balancer und die Edge-UI entsprechend konfigurieren.

Die zusätzliche Konfiguration ist erforderlich, wenn die Edge-Benutzeroberfläche bei der Erstellung des Nutzers E-Mails zum Festlegen ihres Passworts sendet oder wenn der Nutzer das Zurücksetzen eines verlorenen Passworts anfordert. Diese E-Mail enthält eine URL, die der Nutzer zum Festlegen oder Zurücksetzen eines Passworts auswählt. Wenn die Edge-Benutzeroberfläche nicht für die Verwendung von TLS konfiguriert ist, verwendet die URL in der generierten E-Mail standardmäßig das HTTP-Protokoll und nicht HTTPS. Sie müssen den Load-Balancer und die Edge-UI so konfigurieren, dass eine E-Mail-Adresse generiert wird, die HTTPS verwendet.

Achten Sie beim Konfigurieren des Load-Balancers darauf, dass er den folgenden Header für Anfragen festlegt, die an die Edge-Benutzeroberfläche weitergeleitet werden:

X-Forwarded-Proto: https

So konfigurieren Sie die Edge-Benutzeroberfläche:

Öffnen Sie die Datei /opt/apigee/customer/application/ui.properties in einem Editor. Wenn die Datei nicht vorhanden ist, erstellen Sie sie:
> vi /opt/apigee/customer/application/ui.properties
Legen Sie in ui.properties die folgende Eigenschaft fest:
conf/application.conf+trustxforwarded=true
Speichern Sie die Änderungen an ui.properties.
Starten Sie die Edge-Benutzeroberfläche neu:
> /opt/apigee/apigee-service/bin/apigee-service-Edge-ui-Neustart