การกําหนดค่า TLS สําหรับ UI การจัดการ

Edge for Private Cloud เวอร์ชัน 4.17.09

โดยค่าเริ่มต้น คุณจะเข้าถึง UI การจัดการ Edge ผ่าน HTTP ได้โดยใช้ที่อยู่ IP ของ โหนดเซิร์ฟเวอร์การจัดการและพอร์ต 9000 เช่น

http://ms_IP:9000

อีกทางเลือกหนึ่งคือกำหนดค่าการเข้าถึง TLS ใน UI การจัดการเพื่อให้คุณสามารถเข้าถึง UI ดังกล่าวได้ แบบฟอร์ม:

https://ms_IP:9443

ในตัวอย่างนี้ คุณได้กำหนดค่าการเข้าถึง TLS เพื่อใช้พอร์ต 9443 แต่หมายเลขพอร์ตดังกล่าวไม่ใช่ Edge ต้องใช้ - คุณสามารถกำหนดค่าเซิร์ฟเวอร์การจัดการให้ใช้ค่าพอร์ตอื่น มีเพียง นั่นคือไฟร์วอลล์ของคุณอนุญาตให้มีการรับส่งข้อมูลผ่านพอร์ตที่ระบุ

ตรวจสอบว่าพอร์ต TLS เปิดอยู่

กระบวนการในส่วนนี้จะกำหนดค่า TLS ให้ใช้พอร์ต 9443 ในเซิร์ฟเวอร์การจัดการ ไม่ว่าคุณจะใช้พอร์ตใด คุณต้องตรวจสอบว่าพอร์ตนั้นเปิดอยู่ในส่วนการจัดการ เซิร์ฟเวอร์ เช่น คุณใช้คำสั่งต่อไปนี้เพื่อเปิดไฟล์ได้

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose 

กำหนดค่า TLS

ใช้ขั้นตอนต่อไปนี้ในการกำหนดค่าการเข้าถึง TLS ของ UI การจัดการ

  1. สร้างไฟล์ JKS คีย์สโตร์ที่มีใบรับรอง TLS รวมถึงคีย์ส่วนตัวและสำเนา ลงในโหนดเซิร์ฟเวอร์การจัดการ โปรดดูข้อมูลเพิ่มเติมที่การกำหนดค่า TLS/SSL สำหรับ Edge On Premises
  2. เรียกใช้คำสั่งต่อไปนี้เพื่อกำหนดค่า TLS
    $ /opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl
  3. ป้อนหมายเลขพอร์ต HTTPS เช่น 9443
  4. ระบุว่าคุณต้องการปิดใช้การเข้าถึง HTTP ใน UI การจัดการหรือไม่ โดยค่าเริ่มต้น การจัดการ เข้าถึง UI ได้ผ่าน HTTP บนพอร์ต 9000
  5. ป้อนอัลกอริทึมคีย์สโตร์ ค่าเริ่มต้นคือ JKS
  6. ป้อนเส้นทางสัมบูรณ์ไปยังไฟล์ JKS ของคีย์สโตร์

    สคริปต์จะคัดลอกไฟล์ไปยังไดเรกทอรี /opt/apigee/customer/conf ใน โหนดเซิร์ฟเวอร์การจัดการ แล้วเปลี่ยนการเป็นเจ้าของไฟล์เป็น apigee
  7. ป้อนรหัสผ่านคีย์สโตร์ที่เป็นข้อความธรรมดา
  8. จากนั้นสคริปต์จะรีสตาร์ท UI การจัดการ Edge หลังจากรีสตาร์ท UI การจัดการ รองรับการเข้าถึงผ่าน TLS
    คุณดูการตั้งค่าเหล่านี้ได้ใน /opt/apigee/etc/edge-ui.d/SSL.sh

นอกจากนี้ยังส่งไฟล์การกำหนดค่าไปยังคำสั่งดังกล่าวแทนการตอบกลับข้อความแจ้งได้อีกด้วย การกำหนดค่า จะใช้พร็อพเพอร์ตี้ต่อไปนี้

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

จากนั้นใช้คำสั่งต่อไปนี้เพื่อกำหนดค่า TLS ของ Edge UI

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

กำหนดค่า Edge UI เมื่อ TLS สิ้นสุดบนตัวจัดสรรภาระงาน

หากคุณมีตัวจัดสรรภาระงานที่ส่งต่อคำขอไปยัง Edge UI คุณอาจเลือกที่จะ สิ้นสุดการเชื่อมต่อ TLS บนตัวจัดสรรภาระงาน จากนั้นจึงส่งต่อตัวจัดสรรภาระงาน ไปยัง Edge UI ผ่าน HTTP ระบบรองรับการกำหนดค่านี้ แต่คุณต้องกำหนดค่า ตัวจัดสรรภาระงานและ Edge UI ตามความเหมาะสม

ต้องมีการกำหนดค่าเพิ่มเติมเมื่อ Edge UI ส่งอีเมลให้ผู้ใช้เพื่อตั้งค่า รหัสผ่าน เมื่อสร้างผู้ใช้ หรือเมื่อผู้ใช้ขอรีเซ็ตรหัสผ่านที่สูญหาย อีเมลนี้ มี URL ที่ผู้ใช้เลือกที่จะตั้งค่าหรือรีเซ็ตรหัสผ่าน โดยค่าเริ่มต้น ถ้า Edge UI คือ ไม่ได้กำหนดค่าให้ใช้ TLS URL ในอีเมลที่สร้างจะใช้โปรโตคอล HTTP ไม่ใช่ HTTPS คุณต้องกำหนดค่าตัวจัดสรรภาระงานและ Edge UI เพื่อสร้างที่อยู่อีเมลที่ใช้ HTTPS

หากต้องการกำหนดค่าตัวจัดสรรภาระงาน โปรดตรวจสอบว่าตัวจัดสรรภาระงานตั้งค่าส่วนหัวต่อไปนี้สำหรับคำขอที่ส่งต่อ ไปยัง Edge UI ดังนี้

X-Forwarded-Proto: https

วิธีกำหนดค่า Edge UI

  1. เปิด /opt/apigee/customer/application/ui.properties ในตัวแก้ไข หากไม่มีไฟล์ ให้สร้างขึ้นมา:
    > Vi /opt/apigee/customer/application/ui.properties
  2. ตั้งค่าพร็อพเพอร์ตี้ต่อไปนี้ใน ui.properties
    conf/application.conf+trustxforwarded=true
  3. บันทึกการเปลี่ยนแปลงลงใน ui.properties
  4. รีสตาร์ท Edge UI ดังนี้
    > /opt/apigee/apigee-service/bin/apigee-service รีสตาร์ท EDGE-UI ของการบริการ

ปิดใช้ TLS ใน Edge UI

หากต้องการปิดใช้ TLS ใน Edge UI ให้ใช้คำสั่งต่อไปนี้

/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl