Diese Seite wurde von der Cloud Translation API übersetzt.

TLS für die Verwaltungs-UI konfigurieren

Edge for Private Cloud Version 4.17.01

Standardmäßig greifen Sie über HTTP auf die Edge-Verwaltungsbenutzeroberfläche mithilfe der IP-Adresse der Verwaltungsserverknoten und Port 9000. Beispiel:

http://ms_IP:9000

Alternativ können Sie den TLS-Zugriff auf die Verwaltungsoberfläche konfigurieren, sodass Sie darauf zugreifen können in das Formular:

https://ms_IP:9443

In diesem Beispiel konfigurieren Sie den TLS-Zugriff für die Verwendung von Port 9443. Diese Portnummer muss jedoch nicht für Edge erforderlich: Sie können den Verwaltungsserver so konfigurieren, dass andere Portwerte verwendet werden. Die einzige Voraussetzung ist, dass Ihre Firewall Traffic über den angegebenen Port zulässt.

Achten Sie darauf, dass der TLS-Port geöffnet ist

Mit dem Verfahren in diesem Abschnitt wird TLS für die Verwendung von Port 9443 auf dem Verwaltungsserver konfiguriert. Unabhängig von dem verwendeten Port müssen Sie darauf achten, dass der Port auf der Verwaltungsseite geöffnet ist. Server. Sie können sie beispielsweise mit dem folgenden Befehl öffnen:

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose

</ph> Hinweis:In diesem Beispiel wird als TLS-Port Port 9443 und nicht der gebräuchlichere Port 443 verwendet. Der Grund dafür ist, dass Ports unter 1024 in der Regel durch das Betriebssystem geschützt sind und für den Zugriff auf das Stammverzeichnis. Die Edge-Benutzeroberfläche wird als der „apigee“ ausgeführt Nutzende und hat daher in der Regel keinen Zugriff auf Ports unter 1024.

Eine Alternative ist die Verwendung eines Load-Balancers mit der Edge-Benutzeroberfläche und die Beendigung von TLS beim Laden. an Port 443 an. Sie können dann entweder HTTP oder HTTPS zwischen dem Load-Balancer und dem Edge-Benutzeroberfläche

Eine weitere Alternative ist die Verwendung von iptables, um Anfragen an Port 443 an Port 443 weiterzuleiten. Port 9443. Beispiel:

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 9443

TLS konfigurieren

So konfigurieren Sie den TLS-Zugriff auf die Verwaltungsbenutzeroberfläche:

Generieren Sie die Schlüsselspeicher-JKS-Datei mit Ihrer TLS-Zertifizierung und Ihrem privaten Schlüssel und kopieren Sie sie an den Verwaltungsserverknoten. Weitere Informationen finden Sie unter TLS/SSL für Edge On Premises konfigurieren.
Führen Sie den folgenden Befehl aus, um TLS zu konfigurieren:
$ /opt/apigee/apigee-service/bin/apigee-service Edge-uiconfigure-ssl
Geben Sie die HTTPS-Portnummer ein, z. B. 9443.
Geben Sie an, ob Sie den HTTP-Zugriff auf die Verwaltungsoberfläche deaktivieren möchten. Standardmäßig legt die Verwaltung Die UI ist über HTTP an Port 9000 zugänglich.
Geben Sie den Schlüsselspeicheralgorithmus ein. Die Standardeinstellung ist JKS.
Geben Sie den absoluten Pfad zur JKS-Datei des Schlüsselspeichers ein.

Das Skript kopiert die Datei in das Verzeichnis /opt/apigee/customer/conf des Verwaltungsserverknoten und ändert die Eigentümerschaft der Datei in apigee.
Geben Sie das Klartextpasswort für den Schlüsselspeicher ein.
Das Skript startet dann die Edge-Management-Benutzeroberfläche neu. Nach dem Neustart zeigt die Verwaltungsoberfläche unterstützt den Zugriff über TLS.
Sie können diese Einstellungen unter /opt/apigee/etc/edge-ui.d/SSL.sh einsehen.

Sie können auch eine Konfigurationsdatei an den Befehl übergeben, anstatt auf Aufforderungen zu antworten. Die Konfiguration hat folgende Eigenschaften:

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

Verwenden Sie dann den folgenden Befehl, um TLS der Edge-Benutzeroberfläche zu konfigurieren:

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

Konfigurieren Sie die Edge-Benutzeroberfläche bei TLS wird auf dem Load-Balancer beendet.

Wenn Sie einen Load-Balancer haben, der Anfragen an die Edge-Benutzeroberfläche weiterleitet, können Sie beenden Sie die TLS-Verbindung auf dem Load-Balancer und lassen Sie den Load-Balancer dann weiterleiten. Anfragen an die Edge-Benutzeroberfläche über HTTP. Diese Konfiguration wird unterstützt, Sie müssen jedoch die den Load-Balancer und die Edge-Benutzeroberfläche.

Die zusätzliche Konfiguration ist erforderlich, wenn die Edge-Benutzeroberfläche Benutzer-E-Mails sendet, um ihre Passwort, wenn der Nutzer erstellt wird oder wenn der Nutzer das Zurücksetzen eines verlorenen Passworts anfordert. Diese E-Mail enthält eine URL, über die der Nutzer ein Passwort festlegen oder zurücksetzen kann. Wenn die Edge-Benutzeroberfläche standardmäßig nicht für TLS konfiguriert ist, wird für die URL in der generierten E-Mail das HTTP-Protokoll anstelle von HTTPS verwendet. Sie müssen den Load-Balancer und die Edge-Benutzeroberfläche so konfigurieren, dass eine E-Mail-Adresse generiert wird, die HTTPS

Zum Konfigurieren des Load-Balancers muss der folgende Header für weitergeleitete Anfragen festgelegt werden zur Edge-Benutzeroberfläche:

X-Forwarded-Proto: https

So konfigurieren Sie die Edge-Benutzeroberfläche:

Öffnen Sie die Datei /opt/apigee/customer/application/ui.properties. in einem Editor öffnen. Wenn die Datei nicht vorhanden ist, erstellen Sie sie:
> Vi /opt/apigee/customer/application/ui.properties
Legen Sie die folgende Property in ui.properties fest:
conf/application.conf+trustxforwarded=true
Speichern Sie die Änderungen an ui.properties.
Starten Sie die Edge-Benutzeroberfläche neu:
> /opt/apigee/apigee-service/bin/apigee-service Edge-ui neustart