Mengonfigurasi TLS untuk UI pengelolaan

Edge for Private Cloud v. 4.17.01

Secara default, Anda mengakses UI pengelolaan Edge melalui HTTP menggunakan alamat IP Node Server Pengelolaan dan port 9000. Contoh:

http://ms_IP:9000

Atau, Anda dapat mengonfigurasi akses TLS ke UI pengelolaan sehingga Anda dapat mengaksesnya di bentuknya:

https://ms_IP:9443

Dalam contoh ini, Anda mengonfigurasi akses TLS untuk menggunakan port 9443. Namun, nomor porta itu diperlukan oleh Edge - Anda dapat mengonfigurasi Server Pengelolaan untuk menggunakan nilai port lainnya. Satu-satunya persyaratan adalah firewall Anda mengizinkan lalu lintas data melalui porta yang telah ditentukan.

Pastikan port TLS Anda terbuka

Prosedur di bagian ini mengonfigurasi TLS untuk menggunakan port 9443 di Server Pengelolaan. Terlepas dari port yang digunakan, Anda harus memastikan bahwa port terbuka di Pengelolaan Server. Misalnya, Anda dapat menggunakan perintah berikut untuk membukanya:

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose 

Mengonfigurasi TLS

Gunakan prosedur berikut untuk mengonfigurasi akses TLS ke UI pengelolaan:

  1. Buat file JKS keystore yang berisi sertifikasi TLS dan kunci pribadi Anda, lalu salin ke node Server Pengelolaan. Untuk informasi selengkapnya, lihat Mengonfigurasi TLS/SSL untuk Edge On Premises.
  2. Jalankan perintah berikut untuk mengonfigurasi TLS:
    $ /opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl
  3. Masukkan nomor port HTTPS, misalnya, 9443.
  4. Tentukan apakah Anda ingin menonaktifkan akses HTTP ke UI pengelolaan. Secara default, pengelolaan UI dapat diakses melalui HTTP pada port 9000.
  5. Masukkan algoritma keystore. Defaultnya adalah JKS.
  6. Masukkan jalur absolut ke file JKS keystore.

    Skrip akan menyalin file ke direktori /opt/apigee/customer/conf pada Node Server Pengelolaan, dan mengubah kepemilikan file menjadi apigee.
  7. Masukkan sandi keystore teks kosong.
  8. Skrip kemudian memulai ulang UI pengelolaan Edge. Setelah dimulai ulang, UI pengelolaan mendukung akses melalui TLS.
    Anda dapat melihat setelan ini di /opt/apigee/etc/edge-ui.d/SSL.sh.

Anda juga dapat meneruskan file konfigurasi ke perintah, bukan merespons prompt. Konfigurasi mengambil properti berikut:

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

Lalu gunakan perintah berikut untuk mengonfigurasi TLS UI Edge:

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

Mengonfigurasi UI Edge saat TLS berhenti di load balancer

Jika Anda memiliki load balancer yang meneruskan permintaan ke UI Edge, Anda dapat memilih untuk menghentikan koneksi TLS pada load balancer, lalu meneruskan load balancer ke UI Edge melalui HTTP. Konfigurasi ini didukung, tetapi Anda perlu mengonfigurasi dan UI Edge.

Konfigurasi tambahan diperlukan saat UI Edge mengirim email kepada pengguna untuk menyetel {i>password<i} saat pengguna dibuat atau saat pengguna meminta untuk mengatur ulang {i>password<i} yang hilang. Email ini berisi URL yang dipilih pengguna untuk menyetel atau mereset sandi. Secara default, jika UI Edge tidak dikonfigurasikan untuk menggunakan TLS, URL di email yang dibuat menggunakan protokol HTTP, bukan HTTPS. Anda harus mengonfigurasi load balancer dan UI Edge untuk menghasilkan alamat email yang menggunakan dengan HTTPS.

Untuk mengonfigurasi load balancer, pastikan load balancer menetapkan header berikut pada permintaan yang diteruskan ke UI Edge:

X-Forwarded-Proto: https

Untuk mengonfigurasi UI Edge:

  1. Buka /opt/apigee/customer/application/ui.properties {i>file<i} di editor. Jika file tidak ada, buat file tersebut:
    &gt; vi /opt/apigee/customer/application/ui.properties
  2. Tetapkan properti berikut di ui.properties:
    conf/application.conf+trustxforwarded=true
  3. Simpan perubahan Anda pada ui.properties.
  4. Mulai ulang UI Edge:
    &gt; /opt/apigee/apigee-service/bin/apigee-service edge-ui restart