Konfigurowanie protokołu TLS w interfejsie zarządzania

Edge for Private Cloud w wersji 4.17.09

Domyślnie dostęp do interfejsu zarządzania brzegiem jest uzyskiwany przez HTTP przy użyciu adresu IP Węzeł serwera zarządzania i port 9000. Na przykład:

http://ms_IP:9000

Możesz też skonfigurować dostęp TLS do interfejsu zarządzania, aby mieć do niego dostęp w formularz:

https://ms_IP:9443

W tym przykładzie skonfigurujesz dostęp TLS tak, aby używał portu 9443. Ten numer portu nie jest jednak wymagane przez serwer Edge – możesz skonfigurować serwer zarządzania tak, aby używał innych wartości portów. Jedyna wymaganiem jest, aby zapora sieciowa zezwalała na ruch przez określony port.

Sprawdź, czy port TLS jest otwarty

Procedura opisana w tej sekcji pozwala skonfigurować protokół TLS tak, aby używał portu 9443 na serwerze zarządzania. Niezależnie od używanego portu musisz sprawdzić, czy port jest otwarty w sekcji zarządzania Serwer Możesz na przykład otworzyć je za pomocą tego polecenia:

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose 

Konfigurowanie TLS

Aby skonfigurować dostęp TLS do interfejsu zarządzania, wykonaj czynności opisane poniżej:

  1. Wygeneruj plik JKS magazynu kluczy zawierający certyfikat TLS, klucz prywatny i kopię go do węzła serwera zarządzania. Więcej informacji znajdziesz w artykule Konfigurowanie TLS/SSL dla usługi Edge On.
  2. Uruchom to polecenie, aby skonfigurować TLS:
    $ /opt/apigee/apigee-service/bin/apigee-service Edge-ui configure-ssl
  3. Wpisz numer portu HTTPS, na przykład 9443.
  4. Określ, czy chcesz wyłączyć dostęp HTTP do interfejsu zarządzania. Domyślnie funkcja zarządzania Interfejs użytkownika jest dostępny przez HTTP na porcie 9000.
  5. Wpisz algorytm magazynu kluczy. Wartość domyślna to JKS.
  6. Wpisz ścieżkę bezwzględną do pliku JKS magazynu kluczy.

    Skrypt kopiuje plik do katalogu /opt/apigee/customer/conf w węzła serwera zarządzania i zmienia własność pliku na apigee.
  7. Wpisz hasło magazynu kluczy zwykłego tekstu.
  8. Następnie skrypt ponownie uruchomi interfejs zarządzania brzegiem. Po ponownym uruchomieniu interfejs zarządzania obsługuje dostęp przez TLS.
    Znajdziesz te ustawienia pod adresem /opt/apigee/etc/edge-ui.d/SSL.sh.

Zamiast odpowiadać na prompty, możesz też przekazać do polecenia plik konfiguracyjny. Konfiguracja ma następujące właściwości:

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

Następnie użyj tego polecenia, aby skonfigurować protokół TLS w interfejsie Edge:

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

Konfigurowanie interfejsu Edge przy korzystaniu z protokołu TLS kończy się w systemie równoważenia obciążenia

Jeśli masz system równoważenia obciążenia, który przekazuje żądania do interfejsu Edge, możesz wybrać zakończyć połączenie TLS w systemie równoważenia obciążenia, a następnie ustawić przekierowanie do interfejsu Edge przez HTTP. Ta konfiguracja jest obsługiwana, ale musisz skonfigurować systemu równoważenia obciążenia i interfejsu Edge.

Dodatkowa konfiguracja jest wymagana, gdy interfejs Edge wysyła użytkownikom e-maile w celu określenia ich po utworzeniu użytkownika lub po wysłaniu przez niego prośby o zresetowanie utraconego hasła. Ten e-mail zawiera adres URL, który użytkownik wybiera, aby ustawić lub zresetować hasło. Domyślnie, jeśli interfejs Edge nie jest skonfigurowany do używania TLS, adres URL w wygenerowanym e-mailu używa protokołu HTTP, a nie HTTPS. Musisz skonfigurować system równoważenia obciążenia i interfejs użytkownika Edge tak, aby generowały adres e-mail wykorzystujący HTTPS.

Aby skonfigurować system równoważenia obciążenia, upewnij się, że w przypadku przekazywanych żądań ustawia ten nagłówek w interfejsie Edge:

X-Forwarded-Proto: https

Aby skonfigurować interfejs użytkownika Edge:

  1. Otwórz /opt/apigee/customer/application/ui.properties w edytorze. Jeśli plik nie istnieje, utwórz go:
    > vi /opt/apigee/customer/application/ui.properties
  2. Ustaw tę właściwość w pliku ui.properties:
    conf/application.conf+trustxforwarded=true
  3. Zapisz zmiany w pliku ui.properties.
  4. Uruchom ponownie interfejs Edge:
    > /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

Wyłączenie TLS w interfejsie Edge

Aby wyłączyć TLS w interfejsie Edge, użyj tego polecenia:

/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl