پیکربندی TLS برای رابط کاربری مدیریت

Edge for Private Cloud نسخه 4.17.09

به طور پیش‌فرض، با استفاده از آدرس IP گره سرور مدیریت و پورت 9000، از طریق HTTP به رابط مدیریت Edge دسترسی دارید. به عنوان مثال:

http://ms_IP:9000

همچنین، می‌توانید دسترسی TLS را به رابط کاربری مدیریت پیکربندی کنید تا بتوانید به شکل زیر به آن دسترسی داشته باشید:

https://ms_IP:9443

در این مثال، شما دسترسی TLS را برای استفاده از پورت 9443 پیکربندی می‌کنید. با این حال، شماره پورت مورد نیاز Edge نیست - می‌توانید مدیریت سرور را برای استفاده از مقادیر پورت دیگر پیکربندی کنید. تنها شرط این است که فایروال شما اجازه عبور از پورت مشخص شده را بدهد.

مطمئن شوید که پورت TLS شما باز است

روش موجود در این بخش، TLS را برای استفاده از پورت 9443 در سرور مدیریت پیکربندی می کند. صرف نظر از پورتی که استفاده می کنید، باید مطمئن شوید که پورت روی سرور مدیریت باز است. برای مثال می توانید از دستور زیر برای باز کردن آن استفاده کنید:

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose 

پیکربندی TLS

از روش زیر برای پیکربندی دسترسی TLS به رابط کاربری مدیریت استفاده کنید:

  1. فایل JKS فروشگاه کلید حاوی گواهینامه TLS و کلید خصوصی خود را ایجاد کنید و آن را در گره مدیریت سرور کپی کنید. برای اطلاعات بیشتر، به پیکربندی TLS/SSL برای Edge On Premises مراجعه کنید.
  2. برای پیکربندی TLS دستور زیر را اجرا کنید:
    $ /opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl
  3. شماره پورت HTTPS، به عنوان مثال، 9443 را وارد کنید.
  4. مشخص کنید که آیا می خواهید دسترسی HTTP به رابط کاربری مدیریت را غیرفعال کنید. به طور پیش فرض، رابط کاربری مدیریت از طریق HTTP در پورت 9000 قابل دسترسی است.
  5. الگوریتم keystore را وارد کنید. پیش فرض JKS است.
  6. مسیر مطلق فایل JKS را وارد کنید.

    اسکریپت فایل را در پوشه /opt/apigee/customer/conf در گره مدیریت سرور کپی می کند و مالکیت فایل را به apigee تغییر می دهد.
  7. رمز عبور ذخیره کلید متنی را وارد کنید.
  8. سپس اسکریپت رابط کاربری Edge management را مجددا راه اندازی می کند. پس از راه اندازی مجدد، رابط کاربری مدیریت از دسترسی از طریق TLS پشتیبانی می کند.
    می توانید این تنظیمات را در /opt/apigee/etc/edge-ui.d/SSL.sh مشاهده کنید.

همچنین می توانید به جای پاسخ دادن به دستورات، یک فایل پیکربندی را به دستور ارسال کنید. فایل کانفیگ دارای ویژگی های زیر است:

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

سپس از دستور زیر برای پیکربندی TLS رابط کاربری Edge استفاده کنید:

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

هنگامی که TLS به بار متعادل کننده خاتمه می یابد، رابط کاربری Edge را پیکربندی کنید

اگر متعادل‌کننده بار دارید که درخواست‌ها را به Edge UI ارسال می‌کند، ممکن است انتخاب کنید که اتصال TLS را در بار متعادل‌کننده خاتمه دهید و سپس از طریق HTTP درخواست‌های load balancer را به Edge UI ارسال کنید. این پیکربندی پشتیبانی می‌شود، اما باید متعادل‌کننده بار و رابط کاربری Edge را بر این اساس پیکربندی کنید.

هنگامی که رابط کاربری Edge به کاربران ایمیل می فرستد تا رمز عبور خود را هنگام ایجاد کاربر یا زمانی که کاربر درخواست بازنشانی رمز عبور گم شده را می دهد، پیکربندی اضافی مورد نیاز است. این ایمیل حاوی URL است که کاربر برای تنظیم یا بازنشانی رمز عبور انتخاب می کند. به طور پیش‌فرض، اگر رابط کاربری Edge برای استفاده از TLS پیکربندی نشده باشد، URL در ایمیل تولید شده از پروتکل HTTP استفاده می‌کند و نه HTTPS. باید load balancer و Edge UI را برای ایجاد آدرس ایمیلی که از HTTPS استفاده می کند، پیکربندی کنید.

برای پیکربندی load balancer، اطمینان حاصل کنید که هدر زیر را در درخواست های ارسال شده به Edge UI تنظیم می کند:

X-Forwarded-Proto: https

برای پیکربندی رابط کاربری Edge:

  1. فایل /opt/apigee/customer/application/ui.properties را در یک ویرایشگر باز کنید. اگر فایل وجود ندارد، آن را ایجاد کنید:
    > vi /opt/apigee/customer/application/ui.properties
  2. ویژگی زیر را در ui.properties تنظیم کنید:
    conf/application.conf+trustxforwarded=true
  3. تغییرات خود را در ui.properties ذخیره کنید.
  4. رابط کاربری Edge را مجددا راه اندازی کنید:
    > /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

TLS را در رابط کاربری Edge غیرفعال کنید

برای غیرفعال کردن TLS در رابط کاربری Edge، از دستور زیر استفاده کنید:

/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl