Se usó la API de Cloud Translation para traducir esta página.

Configura TLS para la IU de administración

Edge for Private Cloud v. 4.17.01

De forma predeterminada, puedes acceder a la IU de administración perimetral a través de HTTP mediante la dirección IP del nodo del servidor de administración y el puerto 9000. Por ejemplo:

http://ms_IP:9000

Como alternativa, puedes configurar el acceso a TLS a la IU de administración para poder acceder a ella de la siguiente manera:

https://ms_IP:9443

En este ejemplo, se configura el acceso TLS para usar el puerto 9443. Sin embargo, Edge no requiere ese número de puerto. Puedes configurar el servidor de administración para que use otros valores de puerto. El único requisito es que el firewall permita el tráfico a través del puerto especificado.

Asegúrate de que el puerto TLS esté abierto

El procedimiento de esta sección configura TLS para que use el puerto 9443 en el servidor de administración. Independientemente del puerto que uses, debes asegurarte de que esté abierto en el servidor de administración. Por ejemplo, puedes usar el siguiente comando para abrirlo:

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose

Nota: En este ejemplo, se usa el puerto 9443 para el puerto TLS, y no el puerto 443 más común. El motivo es que, por lo general, el sistema operativo protege los puertos por debajo de 1024 y requiere que el proceso que accede a ellos tenga acceso de raíz. La IU de Edge se ejecuta como el usuario "apigee" y, por lo tanto, por lo general, no tiene acceso a puertos inferiores a 1024.

Una alternativa es usar un balanceador de cargas con la IU de Edge y finalizar TLS en el balanceador de cargas en el puerto 443. Luego, puedes usar HTTP o HTTPS entre el balanceador de cargas y la IU de Edge.

Otra alternativa es usar iptables para reenviar solicitudes al puerto 443 al puerto 9443. Por ejemplo:

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 9443

Configura TLS

Usa el siguiente procedimiento para configurar el acceso de TLS a la IU de administración:

Genera el archivo JKS del almacén de claves que contiene tu certificación TLS y clave privada, y cópialo en el nodo del servidor de administración. Para obtener más información, consulta Configura TLS/SSL para Edge On Premises.
Ejecuta el siguiente comando para configurar TLS:
$ /opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl
Ingresa el número de puerto HTTPS, por ejemplo, 9443.
Especifica si quieres inhabilitar el acceso HTTP a la IU de administración. De forma predeterminada, se puede acceder a la IU de administración a través de HTTP en el puerto 9000.
Ingresa el algoritmo del almacén de claves. El valor predeterminado es JKS.
Ingresa la ruta de acceso absoluta al archivo JKS del almacén de claves.

La secuencia de comandos copia el archivo en el directorio /opt/apigee/customer/conf del nodo de Management Server y cambia la propiedad del archivo a apigee.
Ingresa la contraseña del almacén de claves en texto no encriptado.
Luego, la secuencia de comandos reinicia la IU de administración de Edge. Después del reinicio, la IU de administración admite el acceso a través de TLS.
Puedes ver esta configuración en /opt/apigee/etc/edge-ui.d/SSL.sh.

También puedes pasar un archivo de configuración al comando en lugar de responder a las indicaciones. El archivo de configuración tiene las siguientes propiedades:

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

Luego, usa el siguiente comando para configurar TLS de la IU de Edge:

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

Configurar la IU de Edge cuando TLS finalice en el balanceador de cargas

Si tienes un balanceador de cargas que reenvía solicitudes a la IU de Edge, puedes finalizar la conexión TLS en el balanceador de cargas y, luego, hacer que el balanceador de cargas reenvíe las solicitudes a la IU de Edge a través de HTTP. Esta configuración es compatible, pero debes configurar el balanceador de cargas y la IU de Edge según corresponda.

La configuración adicional se requiere cuando la IU de Edge envía correos electrónicos a los usuarios para establecer su contraseña cuando se crea el usuario o cuando este solicita restablecer una contraseña perdida. Este correo electrónico contiene una URL que el usuario selecciona para establecer o restablecer una contraseña. De forma predeterminada, si la IU de Edge no está configurada para usar TLS, la URL del correo electrónico generado usa el protocolo HTTP, no HTTPS. Debes configurar el balanceador de cargas y la IU de Edge para que generen una dirección de correo electrónico que use HTTPS.

Para configurar el balanceador de cargas, asegúrate de que establece el siguiente encabezado en las solicitudes que se reenvían a la IU de Edge:

X-Forwarded-Proto: https

Para configurar la IU de Edge, sigue estos pasos:

Abre el archivo /opt/apigee/customer/application/ui.properties en un editor. Si el archivo no existe, créalo:
> vi /opt/apigee/customer/application/ui.properties
Establece la siguiente propiedad en ui.properties:
conf/application.conf+trustxforwarded=true
Guarda los cambios en ui.properties.
Reinicia la IU de Edge:
> /opt/apigee/apigee-service/bin/apigee-service edge-ui restart