Настройка TLS для пользовательского интерфейса управления

Edge для частного облака v. 4.17.09

По умолчанию вы получаете доступ к пользовательскому интерфейсу управления Edge через HTTP, используя IP-адрес узла сервера управления и порт 9000. Например:

http://ms_IP:9000

Альтернативно вы можете настроить доступ TLS к пользовательскому интерфейсу управления, чтобы иметь к нему доступ в форме:

https://ms_IP:9443

В этом примере вы настраиваете доступ TLS для использования порта 9443. Однако этот номер порта не требуется для Edge — вы можете настроить сервер управления на использование других значений порта. Единственное требование — ваш брандмауэр разрешает трафик через указанный порт.

Убедитесь, что ваш порт TLS открыт

Процедура, описанная в этом разделе, настраивает TLS для использования порта 9443 на сервере управления. Независимо от того, какой порт вы используете, вы должны убедиться, что порт открыт на сервере управления. Например, вы можете использовать следующую команду, чтобы открыть его:

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose

Настроить TLS

Используйте следующую процедуру для настройки доступа TLS к пользовательскому интерфейсу управления:

  1. Создайте файл JKS хранилища ключей, содержащий сертификат TLS и закрытый ключ, и скопируйте его на узел сервера управления. Дополнительные сведения см. в разделе Настройка TLS/SSL для Edge On Premises .
  2. Выполните следующую команду для настройки TLS:
    $ /opt/apigee/apigee-service/bin/apigee-service Edge-UI configure-ssl
  3. Введите номер порта HTTPS, например, 9443.
  4. Укажите, хотите ли вы отключить HTTP-доступ к пользовательскому интерфейсу управления. По умолчанию пользовательский интерфейс управления доступен через HTTP через порт 9000.
  5. Введите алгоритм хранилища ключей. По умолчанию — JKS.
  6. Введите абсолютный путь к файлу JKS хранилища ключей.

    Сценарий копирует файл в каталог /opt/apigee/customer/conf на узле Management Server и меняет владельца файла на apigee .
  7. Введите пароль хранилища ключей в виде открытого текста.
  8. Затем сценарий перезапускает пользовательский интерфейс управления Edge. После перезапуска пользовательский интерфейс управления поддерживает доступ по TLS.
    Вы можете увидеть эти настройки в /opt/apigee/etc/edge-ui.d/SSL.sh .

Вы также можете передать команде файл конфигурации вместо ответа на запросы. Конфигурационный файл принимает следующие свойства:

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

Затем используйте следующую команду для настройки TLS пользовательского интерфейса Edge:

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

Настройка пользовательского интерфейса Edge при завершении TLS на балансировщике нагрузки

Если у вас есть балансировщик нагрузки, который перенаправляет запросы в пользовательский интерфейс Edge, вы можете прекратить соединение TLS на балансировщике нагрузки, а затем заставить балансировщик нагрузки пересылать запросы в пользовательский интерфейс Edge через HTTP. Эта конфигурация поддерживается, но вам необходимо соответствующим образом настроить балансировщик нагрузки и пользовательский интерфейс Edge.

Дополнительная настройка требуется, когда пользовательский интерфейс Edge отправляет пользователям электронные письма для установки пароля при создании пользователя или когда пользователь запрашивает сброс утерянного пароля. Это электронное письмо содержит URL-адрес, который пользователь выбирает для установки или сброса пароля. По умолчанию, если пользовательский интерфейс Edge не настроен на использование TLS, URL-адрес в созданном электронном письме использует протокол HTTP, а не HTTPS. Необходимо настроить балансировщик нагрузки и пользовательский интерфейс Edge для создания адреса электронной почты, использующего HTTPS.

Чтобы настроить балансировщик нагрузки, убедитесь, что он устанавливает следующий заголовок для запросов, пересылаемых в пользовательский интерфейс Edge:

X-Forwarded-Proto: https

Чтобы настроить пользовательский интерфейс Edge:

  1. Откройте файл /opt/apigee/customer/application/ui.properties в редакторе. Если файл не существует, создайте его:
    > vi /opt/apigee/customer/application/ui.properties
  2. Установите следующее свойство в ui.properties :
    conf/application.conf+trustxforwarded=истина
  3. Сохраните изменения в ui.properties .
  4. Перезапустите пользовательский интерфейс Edge:
    > /opt/apigee/apigee-service/bin/apigee-service Edge-UI перезапуск

Отключите TLS в пользовательском интерфейсе Edge.

Чтобы отключить TLS в пользовательском интерфейсе Edge, используйте следующую команду:

/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl