הגדרת TLS עבור ממשק המשתמש לניהול

Edge for Private Cloud גרסה 4.17.09

כברירת מחדל, ניגשים לממשק המשתמש של ניהול Edge ב-HTTP באמצעות כתובת ה-IP של צומת של שרת ניהול ויציאה 9000. לדוגמה:

http://ms_IP:9000

לחלופין, אפשר להגדיר גישה של TLS לממשק המשתמש של הניהול כדי לגשת אליו הטופס:

https://ms_IP:9443

בדוגמה הזו, מגדירים גישה של TLS לשימוש ביציאה 9443. עם זאת, מספר היציאה הזה אינו שנדרשים על ידי Edge – אפשר להגדיר ששרת הניהול ישתמש בערכי יציאות אחרים. היחיד הדרישה היא שחומת האש תאפשר תעבורת נתונים דרך היציאה שצוינה.

צריך לוודא שיציאת ה-TLS פתוחה

התהליך שבקטע הזה מגדיר את TLS לשימוש ביציאה 9443 בשרת הניהול. ללא קשר ליציאה שבה משתמשים, עליך לוודא שהיציאה פתוחה בממשק הניהול שרת. לדוגמה, משתמשים בפקודה הבאה כדי לפתוח אותו:

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose 

הגדרת TLS

כדי להגדיר גישה של TLS לממשק המשתמש של הניהול, מבצעים את התהליך הבא:

  1. יצירת קובץ ה-JKS של מאגר המפתחות שמכיל את אישור ה-TLS ואת המפתח הפרטי והעותק שלך אותו לצומת של שרת הניהול. מידע נוסף זמין במאמר הגדרת TLS/SSL (אבטחת שכבת התעבורה)/SSL עבור Edge On Premises.
  2. מריצים את הפקודה הבאה כדי להגדיר TLS:
    $ /opt/apigee/apigee-service/bin/apigee-service edge-ui configuration-ssl
  3. מזינים את מספר יציאת ה-HTTPS, לדוגמה 9443.
  4. מציינים אם רוצים להשבית גישת HTTP לממשק המשתמש של הניהול. כברירת מחדל, מנהל ממשק המשתמש נגיש באמצעות HTTP ביציאה 9000.
  5. מזינים את האלגוריתם של מאגר המפתחות. ברירת המחדל היא JKS.
  6. מזינים את הנתיב המוחלט לקובץ ה-JKS של מאגר המפתחות.

    הסקריפט מעתיק את הקובץ לספרייה /opt/apigee/customer/conf שנמצא צומת של שרת הניהול, ומשנה את הבעלות על הקובץ ל-apigee.
  7. מזינים את הסיסמה של מאגר המפתחות של הטקסט הניקוי.
  8. לאחר מכן, הסקריפט יפעיל מחדש את ממשק המשתמש של ניהול Edge. לאחר ההפעלה מחדש, ממשק המשתמש של הניהול תומכת בגישה באמצעות TLS.
    ניתן לראות את ההגדרות האלה בכתובת /opt/apigee/etc/edge-ui.d/SSL.sh.

אפשר גם להעביר קובץ תצורה לפקודה במקום להגיב להנחיות. ההגדרות מקבל את המאפיינים הבאים:

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

משתמשים בפקודה הבאה כדי להגדיר TLS בממשק המשתמש של Edge:

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

הגדרת ממשק המשתמש של Edge בזמן TLS מסתיים במאזן העומסים

אם יש לכם מאזן עומסים שמעביר בקשות לממשק המשתמש של Edge, אפשר לבחור לסיים את חיבור ה-TLS במאזן העומסים, ואז להפעיל את מאזן העומסים קדימה בקשות לממשק המשתמש של Edge ב-HTTP. ההגדרות האישיות האלה נתמכות, אבל צריך להגדיר את את מאזן העומסים ואת ממשק המשתמש של Edge בהתאם.

ההגדרות האישיות הנוספות נדרשות כשממשק המשתמש של Edge שולח למשתמשים אימיילים כדי להגדיר כשהמשתמש נוצר או כשהוא מבקש לאפס סיסמה שאבדה. האימייל הזה מכילה כתובת URL שהמשתמש בוחר כדי להגדיר או לאפס סיסמה. כברירת מחדל, אם לא הוגדר להשתמש ב-TLS, כתובת ה-URL באימייל שנוצר משתמשת בפרוטוקול HTTP ולא ב-HTTPS. צריך להגדיר את מאזן העומסים ואת ממשק המשתמש של Edge כדי ליצור כתובת אימייל שמשתמשת HTTPS.

כדי להגדיר את מאזן העומסים, צריך לוודא שהוא מגדיר את הכותרת הבאה בבקשות שמועברות לממשק המשתמש של Edge:

X-Forwarded-Proto: https

כדי להגדיר את ממשק המשתמש של Edge:

  1. פותחים את הקובץ /opt/apigee/customer/application/ui.properties את הקובץ בעורך. אם הקובץ לא קיים, יוצרים אותו:
    > וי /opt/apigee/customer/application/ui.properties
  2. מגדירים את המאפיין הבא ב-ui.properties:
    conf/application.conf+trustxforwarded=true
  3. שומרים את השינויים ב-ui.properties.
  4. מפעילים מחדש את ממשק המשתמש של Edge:
    > /opt/apigee/apigee-service/bin/apigee-service edge-ui מחדש

השבתת TLS בממשק המשתמש של Edge

כדי להשבית TLS בממשק המשתמש של Edge, משתמשים בפקודה הבאה:

/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl