為管理使用者介面設定傳輸層安全標準 (TLS)

Edge for Private Cloud 4.17.05 版

根據預設,您可使用 Management Server 節點和通訊埠 9000。例如:

http://ms_IP:9000

或者,您也可以設定管理介面 TLS 存取權,以便透過下列表單存取:

https://ms_IP:9443

在本例中,您要將 TLS 存取權設為使用通訊埠 9443。不過,Edge 不需要這個通訊埠號碼,您可以將管理伺服器設為使用其他通訊埠值。唯一的要求是防火牆必須允許透過指定通訊埠的流量。

確認 TLS 通訊埠已開啟

本節的程序會將 TLS 設定為在管理伺服器上使用通訊埠 9443。 無論使用哪個通訊埠,您都必須確保該通訊埠在管理介面上已開啟 伺服器例如,您可以使用以下指令開啟:

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose 

設定 TLS

請按照下列程序設定 TLS 對管理 UI 的存取權:

  1. 產生含有 TLS 認證和私密金鑰的 KeyStore JKS 檔案,並將檔案複製到管理伺服器節點。如需更多資訊,請參閱「為 Edge On Premises 設定 TLS/SSL」。
  2. 執行下列指令來設定 TLS:
    美元 /opt/apigee/apigee-service/bin/apigee-service Edge-uiconfigure-ssl
  3. 輸入 HTTPS 通訊埠號碼,例如 9443。
  4. 指定是否要停用管理 UI 的 HTTP 存取功能。根據預設 可透過 HTTP 通訊埠 9000 存取 UI。
  5. 輸入 KeyStore 演算法。預設值為 JKS。
  6. 輸入 KeyStore JKS 檔案的絕對路徑。

    指令碼會將檔案複製到映像檔的 /opt/apigee/customer/conf 目錄 管理伺服器節點,並將檔案擁有權變更為 apigee
  7. 輸入 KeyStore 純文字密碼。
  8. 然後指令碼會重新啟動 Edge Management UI。重新啟動後,管理 UI 支援透過傳輸層安全標準 (TLS) 存取。
    您可以在 /opt/apigee/etc/edge-ui.d/SSL.sh 中查看這些設定。

您也可以將設定檔傳送至指令,而不回應提示。設定 檔案會採用以下屬性:

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

接著,請使用下列指令設定 Edge UI 的 TLS:

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

在 TLS 在負載平衡器上終止時設定 Edge UI

如果您的負載平衡器會將要求轉送至 Edge UI,您可以選擇 終止負載平衡器的 TLS 連線,然後讓負載平衡器進行轉送 向 Edge UI 傳送要求支援這項設定,但您必須設定 並據此設計 Edge UI

如果 Edge UI 傳送使用者電子郵件以進行設定,則必須完成這項額外設定 密碼。這封電子郵件 包含使用者選擇設定或重設密碼的網址。根據預設,如果 Edge UI 未設定為使用傳輸層安全標準 (TLS),產生電子郵件中的網址會使用 HTTP 通訊協定,而非 HTTPS。 您必須設定負載平衡器和 Edge UI,才能產生使用 HTTPS

如要設定負載平衡器,請務必對轉送的要求設定下列標頭 邊緣 UI:

X-Forwarded-Proto: https

如何設定 Edge UI:

  1. 在編輯器中開啟 /opt/apigee/customer/application/ui.properties 檔案。如果檔案不存在,請建立檔案:
    > vi /opt/apigee/customer/application/ui.properties
  2. ui.properties 中設定下列屬性:
    conf/application.conf+trustxforwarded=true
  3. 將變更儲存至 ui.properties
  4. 重新啟動 Edge UI:
    > /opt/apigee/apigee-service/bin/apigee-service Edge-ui restart 設為