Yönetim kullanıcı arayüzü için TLS'yi yapılandırma

Edge for Private Cloud s. 4.17.01

Varsayılan olarak, Yönetim Sunucusu düğümünün IP adresini ve 9000 bağlantı noktasını kullanarak Edge yönetim kullanıcı arayüzüne HTTP üzerinden erişirsiniz. Örneğin:

http://ms_IP:9000

Alternatif olarak, yönetim kullanıcı arayüzüne TLS erişimini yapılandırarak forma erişebilirsiniz:

https://ms_IP:9443

Bu örnekte, TLS erişimini 9443 bağlantı noktasını kullanacak şekilde yapılandırırsınız. Ancak bu bağlantı noktası numarası Edge için gerekli değildir. Yönetim Sunucusu'nu diğer bağlantı noktası değerlerini kullanacak şekilde yapılandırabilirsiniz. Tek şart, güvenlik duvarınızın belirtilen bağlantı noktasından trafiğe izin vermesidir.

TLS bağlantı noktanızın açık olduğundan emin olun

Bu bölümdeki prosedür, TLS'yi Yönetim Sunucusu'ndaki 9443 numaralı bağlantı noktasını kullanacak şekilde yapılandırır. Kullandığınız bağlantı noktasından bağımsız olarak, bağlantı noktasının Yönetim Sunucusu'nda açık olduğundan emin olmanız gerekir. Örneğin, dosyayı açmak için aşağıdaki komutu kullanabilirsiniz:

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose 

TLS'yi yapılandırma

Yönetim kullanıcı arayüzüne TLS erişimini yapılandırmak için aşağıdaki prosedürü uygulayın:

  1. TLS sertifikanızı ve özel anahtarınızı içeren anahtar deposu JKS dosyasını oluşturup Yönetim Sunucusu düğümüne kopyalayın. Daha fazla bilgi için Şirket İçi Edge için TLS/SSL'yi yapılandırma başlıklı makaleyi inceleyin.
  2. TLS'yi yapılandırmak için aşağıdaki komutu çalıştırın:
    $ /opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl
  3. HTTPS bağlantı noktası numarasını girin (ör. 9443).
  4. Yönetim kullanıcı arayüzüne HTTP erişimini devre dışı bırakmak isteyip istemediğinizi belirtin. Yönetim arayüzüne varsayılan olarak 9000 numaralı bağlantı noktasında HTTP üzerinden erişilebilir.
  5. Anahtar deposu algoritmasını girin. Varsayılan değer JKS'dir.
  6. Anahtar deposu JKS dosyasının mutlak yolunu girin.

    Komut dosyası, dosyayı Yönetim Sunucusu düğümündeki /opt/apigee/customer/conf dizinine kopyalar ve dosyanın sahipliğini apigee olarak değiştirir.
  7. Açık metin anahtar deposu şifresini girin.
  8. Ardından komut dosyası, Edge yönetim kullanıcı arayüzünü yeniden başlatır. Yeniden başlatmadan sonra yönetim kullanıcı arayüzü, TLS üzerinden erişimi destekler.
    Bu ayarları /opt/apigee/etc/edge-ui.d/SSL.sh dosyasında görebilirsiniz.

İstemlere yanıt vermek yerine komuta bir yapılandırma dosyası da iletebilirsiniz. Yapılandırma dosyası aşağıdaki özellikleri alır:

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

Ardından, Edge kullanıcı arayüzünün TLS'sini yapılandırmak için aşağıdaki komutu kullanın:

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

TLS, yük dengeleyicide sonlandırıldığında Edge kullanıcı arayüzünü yapılandırma

İstekleri Edge kullanıcı arayüzüne yönlendiren bir yük dengeleyiciniz varsa yük dengeleyicideki TLS bağlantısını sonlandırabilir ve ardından yük dengeleyicinin istekleri HTTP üzerinden Edge kullanıcı arayüzüne yönlendirmesini sağlayabilirsiniz. Bu yapılandırma desteklenir ancak yük dengeleyiciyi ve Edge kullanıcı arayüzünü buna göre yapılandırmanız gerekir.

Edge kullanıcı arayüzü, kullanıcı oluşturulduğunda veya kullanıcı kayıp şifresini sıfırlama isteğinde bulunduğunda kullanıcılara şifrelerini ayarlamaları için e-posta gönderdiğinde ek yapılandırma gerekir. Bu e-posta kullanıcının şifre oluşturmak veya sıfırlamak için seçtiği bir URL'yi içerir. Varsayılan olarak, Edge kullanıcı arayüzü TLS'yi kullanacak şekilde yapılandırılmazsa oluşturulan e-postadaki URL, HTTPS yerine HTTP protokolünü kullanır. Yük dengeleyiciyi ve Edge kullanıcı arayüzünü, HTTPS kullanan bir e-posta adresi oluşturacak şekilde yapılandırmanız gerekir.

Yük dengeleyiciyi yapılandırmak için Edge kullanıcı arayüzüne yönlendirilen isteklerde aşağıdaki başlığın ayarlandığından emin olun:

X-Forwarded-Proto: https

Edge kullanıcı arayüzünü yapılandırmak için:

  1. /opt/apigee/customer/application/ui.properties dosyasını bir düzenleyicide açın. Dosya mevcut değilse dosyayı oluşturun:
    > vi /opt/apigee/customer/application/ui.properties
  2. ui.properties dosyasında aşağıdaki özelliği ayarlayın:
    conf/application.conf+trustxforwarded=true
  3. Değişikliklerinizi ui.properties dosyasına kaydedin.
  4. Edge kullanıcı arayüzünü yeniden başlatın:
    > /opt/apigee/apigee-service/bin/apigee-service edge-ui restart