تمت ترجمة هذه الصفحة بواسطة Cloud Translation API‏.

ضبط بروتوكول أمان طبقة النقل (TLS) لواجهة مستخدم الإدارة

الإصدار 4.18.01 من Edge الخاص بخدمة Private Cloud

يمكنك تلقائيًا الوصول إلى واجهة مستخدم إدارة Edge عبر HTTP باستخدام عنوان IP لعقدة خادم الإدارة والمنفذ 9000. مثلاً:

http://ms_IP:9000

بدلاً من ذلك، يمكنك ضبط إمكانية وصول بروتوكول أمان طبقة النقل (TLS) إلى واجهة مستخدم الإدارة بحيث يمكنك الوصول إليه في النموذج:

https://ms_IP:9443

في هذا المثال، يمكنك ضبط الوصول إلى بروتوكول أمان طبقة النقل (TLS) لاستخدام المنفذ 9443. ومع ذلك، لا يشترط رقم المنفذ هذا، حيث يمكنك ضبط خادم الإدارة لاستخدام قيم منافذ أخرى. الشرط الوحيد هو أن يسمح الجدار الناري بالزيارات من خلال المنفذ المحدّد.

التأكُّد من أن منفذ بروتوكول أمان طبقة النقل (TLS) مفتوح

يعمل الإجراء الوارد في هذا القسم على تهيئة بروتوكول أمان طبقة النقل (TLS) لاستخدام المنفذ 9443 على خادم الإدارة. بغض النظر عن المنفذ الذي تستخدمه، يجب التأكّد من أنّ المنفذ مفتوح على خادم الإدارة. على سبيل المثال، يمكنك استخدام الأمر التالي لفتحه:

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose

ملاحظة: يستخدم هذا المثال المنفذ 9443 لمنفذ بروتوكول أمان طبقة النقل (TLS)، وليس المنفذ الأكثر شيوعًا 443. السبب هو أنّ المنافذ الأقدم من 1024 تكون عادةً محمية بواسطة نظام التشغيل وتتطلب العملية التي تصل إليها الوصول إلى الجذر. تعمل واجهة مستخدم Edge كمستخدم "apigee"، وبالتالي لا يمكنها عادةً الوصول إلى المنافذ الأقدم من 1024.

يمكن بدلاً من ذلك استخدام جهاز موازنة الحمل مع واجهة مستخدم Edge وإنهاء بروتوكول أمان طبقة النقل (TLS) في جهاز موازنة الحمل على المنفذ 443. يمكنك بعد ذلك استخدام HTTP أو HTTPS بين جهاز موازنة الحمل وواجهة مستخدم Edge.

ويمكنك بدلاً من ذلك استخدام iptables لإعادة توجيه الطلبات إلى المنفذ 443 إلى المنفذ 9443. مثلاً:

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 9443

إعداد بروتوكول أمان طبقة النقل (TLS)

اتّبِع الإجراء التالي لضبط وصول بروتوكول أمان طبقة النقل (TLS) إلى واجهة مستخدم الإدارة:

عليك إنشاء ملف JKS لملف تخزين المفاتيح الذي يحتوي على شهادة TLS والمفتاح الخاص ونسخه إلى عقدة Management Server. للمزيد من المعلومات، راجع ضبط بروتوكول أمان طبقة النقل (TLS) أو طبقة المقابس الآمنة (SSL) لشبكة Edge على المبنى.
نفِّذ الأمر التالي لضبط بروتوكول أمان طبقة النقل (TLS):
$ /opt/apigee/apigee-service/bin/apigee-service Edge-uiConfigure-ssl
أدخِل رقم منفذ HTTPS، على سبيل المثال، 9443.
حدِّد ما إذا كنت تريد إيقاف وصول HTTP إلى واجهة مستخدم الإدارة. بشكل تلقائي، يمكن الوصول إلى واجهة مستخدم الإدارة عبر HTTP على المنفذ 9000.
أدخِل خوارزمية ملف تخزين المفاتيح. الإعداد التلقائي هو JKS.
أدخِل المسار المطلق لملف JKS لملف تخزين المفاتيح.

ينسخ النص البرمجي الملف إلى الدليل /opt/apigee/customer/conf على عقدة خادم الإدارة، ويغيّر ملكية الملف إلى apigee.
أدخِل كلمة مرور ملف تخزين المفاتيح ذات النص الواضح.
سيُعيد النص البرمجي بعد ذلك تشغيل واجهة مستخدم إدارة Edge. بعد إعادة التشغيل، تتيح واجهة مستخدم الإدارة الوصول عبر بروتوكول أمان طبقة النقل (TLS).
يمكنك الاطّلاع على هذه الإعدادات في /opt/apigee/etc/edge-ui.d/SSL.sh.

يمكنك أيضًا ضبط ملف إعداد إلى الأمر بدلاً من الردّ على الطلبات. يأخذ ملف الإعداد السمات التالية:

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

بعد ذلك، استخدِم الأمر التالي لضبط بروتوكول أمان طبقة النقل (TLS) لواجهة مستخدم Edge:

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

ضبط واجهة مستخدم Edge عند إنهاء بروتوكول أمان طبقة النقل (TLS) في جهاز موازنة الحمل

إذا كان لديك جهاز لموازنة الحمل يعيد توجيه الطلبات إلى واجهة مستخدم Edge، يمكنك اختيار إنهاء اتصال بروتوكول أمان طبقة النقل (TLS) في جهاز موازنة الحمل، ثم الطلب من جهاز موازنة الحمل إعادة توجيه الطلبات إلى واجهة مستخدم Edge عبر HTTP. هذا الإعداد متوافق، ولكنك تحتاج إلى ضبط جهاز موازنة الحمل وواجهة مستخدم Edge وفقًا لذلك.

يجب ضبط الإعدادات الإضافية عندما ترسل واجهة مستخدم Edge عناوين بريد إلكتروني للمستخدمين لضبط كلمة المرور عند إنشاء حساب المستخدم أو عندما يطلب المستخدم إعادة ضبط كلمة مرور مفقودة. وتحتوي هذه الرسالة الإلكترونية على عنوان URL يختاره المستخدم لضبط كلمة مرور أو إعادة ضبطها. بشكل تلقائي، إذا لم يتم ضبط واجهة مستخدم Edge لاستخدام بروتوكول أمان طبقة النقل (TLS)، سيستخدم عنوان URL في الرسالة الإلكترونية التي تم إنشاؤها بروتوكول HTTP وليس HTTPS. يجب ضبط موازنة التحميل وواجهة مستخدم Edge لإنشاء عنوان بريد إلكتروني يستخدم HTTPS.

لضبط جهاز موازنة الحمل، تأكَّد من أنّه يضبط العنوان التالي على الطلبات المُعاد توجيهها إلى واجهة مستخدم Edge:

X-Forwarded-Proto: https

لإعداد واجهة مستخدم Edge:

افتح الملف /opt/apigee/customer/application/ui.properties في محرِّر. إذا لم يكن الملف متوفّرًا، يمكنك إنشاؤه:
> vi /opt/apigee/customer/application/ui.properties
اضبط السمة التالية في ui.properties:
conf/application.conf+trustxforwarded=true.
احفظ التغييرات على صفحة ui.properties.
أعِد تشغيل واجهة مستخدم Edge:
> /opt/apigee/apigee-service/bin/apigee-service Edge-ui redirect

إيقاف بروتوكول أمان طبقة النقل (TLS) على واجهة مستخدم Edge

لإيقاف TLS على واجهة مستخدم Edge، استخدم الأمر التالي:

/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl