הגדרת TLS עבור ממשק המשתמש לניהול

Edge for Private Cloud v. 4.17.05

כברירת מחדל, ניגשים לממשק המשתמש של ניהול Edge ב-HTTP באמצעות כתובת ה-IP של צומת של שרת ניהול ויציאה 9000. לדוגמה:

http://ms_IP:9000

לחלופין, אפשר להגדיר גישה של TLS לממשק המשתמש של הניהול כדי לגשת אליו הטופס:

https://ms_IP:9443

בדוגמה הזו, מגדירים גישה של TLS לשימוש ביציאה 9443. עם זאת, מספר היציאה הזה לא נדרש ל-Edge – אפשר להגדיר את שרת הניהול כך שישתמש בערכים אחרים של יציאות. היחיד הדרישה היא שחומת האש תאפשר תעבורת נתונים דרך היציאה שצוינה.

מוודאים שיציאת ה-TLS פתוחה

התהליך שמתואר בקטע הזה מגדיר את TLS כך שישתמש ביציאה 9443 בשרת הניהול. לא משנה באיזו יציאה משתמשים, צריך לוודא שהיציאה פתוחה בשרת הניהול. לדוגמה, אפשר להשתמש בפקודה הבאה כדי לפתוח אותו:

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose

הגדרת TLS

כדי להגדיר גישה ל-TLS לממשק המשתמש לניהול:

  1. יצירת קובץ ה-JKS של מאגר המפתחות שמכיל את אישור ה-TLS ואת המפתח הפרטי והעותק שלך אותו לצומת של שרת הניהול. מידע נוסף זמין במאמר הגדרת TLS/SSL (אבטחת שכבת התעבורה)/SSL עבור Edge On Premises.
  2. מריצים את הפקודה הבאה כדי להגדיר TLS:
    $ /opt/apigee/apigee-service/bin/apigee-service edge-ui configuration-ssl
  3. מזינים את מספר היציאה של ה-HTTPS, לדוגמה, 9443.
  4. מציינים אם רוצים להשבית את הגישה של HTTP לממשק המשתמש לניהול. כברירת מחדל, אפשר לגשת לממשק המשתמש לניהול דרך HTTP ביציאה 9000.
  5. מזינים את האלגוריתם של מאגר המפתחות. ברירת המחדל היא JKS.
  6. מזינים את הנתיב המוחלט לקובץ ה-JKS של מאגר המפתחות.

    הסקריפט מעתיק את הקובץ לספרייה /opt/apigee/customer/conf שנמצא צומת של שרת הניהול, ומשנה את הבעלות על הקובץ ל-apigee.
  7. מזינים את הסיסמה של מאגר המפתחות של הטקסט הניקוי.
  8. לאחר מכן, הסקריפט מפעיל מחדש את ממשק המשתמש לניהול של Edge. אחרי ההפעלה מחדש, ממשק המשתמש לניהול תומך בגישה דרך TLS.
    ניתן לראות את ההגדרות האלה בכתובת /opt/apigee/etc/edge-ui.d/SSL.sh.

אפשר גם להעביר קובץ תצורה לפקודה במקום להגיב להנחיות. ההגדרות מקבל את המאפיינים הבאים:

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

משתמשים בפקודה הבאה כדי להגדיר TLS בממשק המשתמש של Edge:

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

הגדרת ממשק המשתמש של Edge כש-TLS מסתיים במאזן העומסים

אם יש לכם מאזן עומסים שמעביר בקשות לממשק המשתמש של Edge, אפשר לבחור לסיים את חיבור ה-TLS במאזן העומסים, ואז להפעיל את מאזן העומסים קדימה בקשות לממשק המשתמש של Edge ב-HTTP. ההגדרה הזו נתמכת, אבל צריך להגדיר את מאזן העומסים ואת ממשק המשתמש של Edge בהתאם.

ההגדרה הנוספת נדרשת כשממשק המשתמש של Edge שולח למשתמשים אימיילים להגדרת הסיסמה שלהם כשהם נוצרים, או כשהם מבקשים לאפס סיסמה שאבדה. האימייל הזה מכילה כתובת URL שהמשתמש בוחר כדי להגדיר או לאפס סיסמה. כברירת מחדל, אם לא הוגדר להשתמש ב-TLS, כתובת ה-URL באימייל שנוצר משתמשת בפרוטוקול HTTP ולא ב-HTTPS. צריך להגדיר את מאזן העומסים ואת ממשק המשתמש של Edge כדי ליצור כתובת אימייל שמשתמשת HTTPS.

כדי להגדיר את מאזן העומסים, צריך לוודא שהוא מגדיר את הכותרת הבאה בבקשות שמועברות לממשק המשתמש של Edge:

X-Forwarded-Proto: https

כדי להגדיר את ממשק המשתמש של Edge:

  1. פותחים את /opt/apigee/customer/application/ui.properties את הקובץ בעורך. אם הקובץ לא קיים, יוצרים אותו:
    > vi /opt/apigee/customer/application/ui.properties
  2. מגדירים את המאפיין הבא ב-ui.properties:
    conf/application.conf+trustxforwarded=true
  3. שומרים את השינויים בקובץ ui.properties.
  4. מפעילים מחדש את ממשק המשתמש של Edge:
    > /opt/apigee/apigee-service/bin/apigee-service edge-ui restart