Configura TLS para la IU de administración

Edge for Private Cloud v4.18.01

De forma predeterminada, puedes acceder a la IU de administración perimetral a través de HTTP con la dirección IP de la Nodo y puerto 9000 del servidor de administración. Por ejemplo:

http://ms_IP:9000

De manera alternativa, puedes configurar el acceso TLS a la IU de administración para que puedas acceder a ella en el formulario:

https://ms_IP:9443

En este ejemplo, se configura el acceso TLS para usar el puerto 9443. Sin embargo, ese número de puerto no es que requiere Edge. Puedes configurar el servidor de administración para que use otros valores de puerto. El único es que tu firewall permita el tráfico en el puerto especificado.

Asegúrate de que el puerto TLS esté abierto

El procedimiento de esta sección configura TLS para usar el puerto 9443 en el servidor de administración. Sin importar el puerto que uses, debes asegurarte de que esté abierto en la consola de administración Servidor. Por ejemplo, puedes usar el siguiente comando para abrirlo:

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose 

Configura TLS

Usa el siguiente procedimiento para configurar el acceso TLS a la IU de administración:

  1. Genera el archivo JKS del almacén de claves que contiene tu certificación TLS y tu clave privada, y copia en el nodo del servidor de administración. Si deseas obtener más información, consulta Configura TLS/SSL para Edge On-Local.
  2. Ejecuta el siguiente comando para configurar TLS:
    $ /opt/apigee/apigee-service/bin/apigee-service Edge-ui configure-ssl
  3. Ingresa el número de puerto HTTPS, por ejemplo, 9443.
  4. Especifica si deseas inhabilitar el acceso HTTP a la IU de administración. De forma predeterminada, el administrador Se puede acceder a la IU a través de HTTP en el puerto 9000.
  5. Ingresa el algoritmo del almacén de claves. El valor predeterminado es JKS.
  6. Ingresa la ruta de acceso absoluta al archivo JKS del almacén de claves.

    La secuencia de comandos copia el archivo en el directorio /opt/apigee/customer/conf de la Management Server y cambia la propiedad del archivo a apigee.
  7. Ingresa la contraseña del almacén de claves en texto no encriptado.
  8. Luego, la secuencia de comandos reinicia la IU de administración de Edge. Después del reinicio, la IU de administración admite el acceso a través de TLS.
    Puedes ver esta configuración en /opt/apigee/etc/edge-ui.d/SSL.sh.

También puedes pasar un archivo de configuración al comando en lugar de responder a los mensajes. La configuración toma las siguientes propiedades:

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

Luego, usa el siguiente comando para configurar TLS de la IU de Edge:

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

Configurar la IU de Edge cuando TLS finaliza en el balanceador de cargas

Si tienes un balanceador de cargas que reenvía solicitudes a la IU de Edge, puedes optar por finalizar la conexión TLS en el balanceador de cargas y, luego, hacer que este reenvíe a la IU de Edge a través de HTTP. Esta configuración es compatible, pero debes establecer la balanceador de cargas y a la IU de Edge según corresponda.

La configuración adicional es obligatoria cuando la IU de Edge envía correos electrónicos a los usuarios para establecer su cuando se crea el usuario o cuando solicita restablecer una contraseña perdida. Este correo electrónico contiene una URL que el usuario selecciona para establecer o restablecer una contraseña. De forma predeterminada, si la IU de Edge está no está configurada para usar TLS, la URL del correo electrónico generado usa el protocolo HTTP y no HTTPS. Debes configurar el balanceador de cargas y la IU de Edge para generar una dirección de correo electrónico que use HTTPS

Para configurar el balanceador de cargas, asegúrate de que establezca el siguiente encabezado en las solicitudes reenviadas. a la IU de Edge:

X-Forwarded-Proto: https

Para configurar la IU de Edge, sigue estos pasos:

  1. Abre /opt/apigee/customer/application/ui.properties. en un editor. Si el archivo no existe, créalo:
    > vi /opt/apigee/customer/application/ui.properties
  2. Configura la siguiente propiedad en ui.properties:
    conf/application.conf+trustxforwarded=true
  3. Guarda los cambios en ui.properties.
  4. Reinicia la IU de Edge:
    > /opt/apigee/apigee-service/bin/apigee-service Edge-ui restart

Inhabilita TLS en la IU de Edge

Para inhabilitar TLS en la IU de Edge, usa el siguiente comando:

/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl