הגדרת TLS עבור ממשק המשתמש לניהול

Edge for Private Cloud v. 4.17.01

כברירת מחדל, ניגשים לממשק המשתמש לניהול של Edge דרך HTTP באמצעות כתובת ה-IP של הצומת של שרת הניהול והיציאה 9000. לדוגמה:

http://ms_IP:9000

לחלופין, אפשר להגדיר גישה של TLS לממשק המשתמש של הניהול כדי לגשת אליה בטופס:

https://ms_IP:9443

בדוגמה הזו, מגדירים גישה ל-TLS באמצעות יציאה 9443. עם זאת, מספר היציאה הזה לא נדרש ל-Edge – אפשר להגדיר את שרת הניהול כך שישתמש בערכים אחרים של יציאות. הדרישה היחידה היא שחומת האש תאפשר תעבורת נתונים דרך היציאה שצוינה.

מוודאים שיציאת ה-TLS פתוחה

התהליך שמתואר בקטע הזה מגדיר את TLS כך שישתמש ביציאה 9443 בשרת הניהול. לא משנה באיזו יציאה אתם משתמשים, עליכם לוודא שהיציאה פתוחה בשרת הניהול. לדוגמה, אפשר להשתמש בפקודה הבאה כדי לפתוח אותו:

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose

הגדרת TLS

כדי להגדיר גישה ל-TLS לממשק המשתמש לניהול:

  1. יוצרים את קובץ ה-JKS של מאגר המפתחות שמכיל את אישור ה-TLS ואת המפתח הפרטי, ומעתיקים אותו לצומת של שרת הניהול. מידע נוסף זמין במאמר הגדרת TLS/SSL ל-Edge On Premises.
  2. מריצים את הפקודה הבאה כדי להגדיר את TLS:
    $ /opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl
  3. מזינים את מספר היציאה של ה-HTTPS, לדוגמה, 9443.
  4. מציינים אם רוצים להשבית גישת HTTP לממשק המשתמש של הניהול. כברירת מחדל, אפשר לגשת לממשק המשתמש לניהול דרך HTTP ביציאה 9000.
  5. מזינים את האלגוריתם של מאגר המפתחות. ברירת המחדל היא JKS.
  6. מזינים את הנתיב המוחלט לקובץ ה-JKS של מאגר המפתחות.

    הסקריפט מעתיק את הקובץ לספרייה /opt/apigee/customer/conf בצומת של שרת הניהול, ומשנה את הבעלות על הקובץ ל-apigee.
  7. מזינים את הסיסמה של מאגר המפתחות בטקסט ללא הצפנה.
  8. לאחר מכן, הסקריפט מפעיל מחדש את ממשק המשתמש לניהול של Edge. לאחר ההפעלה מחדש, ממשק המשתמש של הניהול תומך בגישה באמצעות TLS.
    אפשר לראות את ההגדרות האלה בכתובת /opt/apigee/etc/edge-ui.d/SSL.sh.

אפשר גם להעביר קובץ תצורה לפקודה במקום להשיב להנחיות. קובץ התצורה מכיל את המאפיינים הבאים:

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

לאחר מכן, משתמשים בפקודה הבאה כדי להגדיר את TLS של ממשק המשתמש של Edge:

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

הגדרת ממשק המשתמש של Edge כש-TLS מסתיים במאזן העומסים

אם יש מאזן עומסים שמעביר בקשות לממשק המשתמש של Edge, אפשר לסיים את חיבור ה-TLS במאזן העומסים, ולאחר מכן להעביר את הבקשות להעברת מאזן העומסים לממשק המשתמש של Edge ב-HTTP. ההגדרה הזו נתמכת, אבל צריך להגדיר את מאזן העומסים ואת ממשק המשתמש של Edge בהתאם.

ההגדרה הנוספת נדרשת כשממשק המשתמש של Edge שולח למשתמשים אימיילים להגדרת הסיסמה שלהם כשהם נוצרים, או כשהם מבקשים לאפס סיסמה שאבדה. האימייל הזה מכיל כתובת URL שהמשתמש בוחר כדי להגדיר או לאפס סיסמה. כברירת מחדל, אם ממשק המשתמש של Edge לא מוגדר לשימוש ב-TLS, כתובת ה-URL באימייל שנוצר משתמשת בפרוטוקול HTTP ולא ב-HTTPS. צריך להגדיר את מאזן העומסים ואת ממשק Edge UI כך שייצרו כתובת אימייל שמשתמשת ב-HTTPS.

כדי להגדיר את מאזן העומסים, צריך לוודא שהכותרת הבאה מוגדרת בבקשות שמועברות לממשק המשתמש של Edge:

X-Forwarded-Proto: https

כדי להגדיר את ממשק המשתמש של Edge:

  1. פותחים את הקובץ /opt/apigee/customer/application/ui.properties בעורך. אם הקובץ לא קיים, יוצרים אותו:
    > vi /opt/apigee/customer/application/ui.properties
  2. מגדירים את המאפיין הבא ב-ui.properties:
    conf/application.conf+trustxForwarded=true
  3. שומרים את השינויים בקובץ ui.properties.
  4. מפעילים מחדש את ממשק המשתמש של Edge:
    > /opt/apigee/apigee-service/bin/apigee-service edge-ui מחדש