Cette page a été traduite par l'API Cloud Translation.

Configurer TLS pour l'interface utilisateur de gestion

Edge for Private Cloud v4.18.01

Par défaut, vous accédez à l'interface utilisateur de gestion Edge via HTTP en utilisant l'adresse IP du nœud du serveur de gestion et le port 9000. Exemple :

http://ms_IP:9000

Vous pouvez également configurer l'accès TLS à l'interface utilisateur de gestion pour y accéder sous la forme suivante:

https://ms_IP:9443

Dans cet exemple, vous configurez l'accès TLS pour utiliser le port 9443. Cependant, ce numéro de port n'est pas requis par Edge - vous pouvez configurer le serveur de gestion pour utiliser d'autres valeurs de port. La seule condition requise est que votre pare-feu autorise le trafic sur le port spécifié.

Assurez-vous que votre port TLS est ouvert

La procédure de cette section permet de configurer le protocole TLS de sorte qu'il utilise le port 9443 sur le serveur de gestion. Quel que soit le port que vous utilisez, vous devez vous assurer qu'il est ouvert sur le serveur de gestion. Par exemple, vous pouvez utiliser la commande suivante pour l'ouvrir:

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose

Remarque:Cet exemple utilise le port 9443 pour le port TLS, et non le port 443, le plus courant. En effet, les ports inférieurs à 1024 sont généralement protégés par le système d'exploitation et nécessitent que le processus qui y accède ait un accès root. L'interface utilisateur Edge s'exécute en tant qu'utilisateur "apigee" et n'a donc généralement pas accès aux ports inférieurs à 1024.

Vous pouvez aussi utiliser un équilibreur de charge avec l'interface utilisateur Edge et arrêter TLS sur l'équilibreur de charge sur le port 443. Vous pouvez ensuite utiliser le protocole HTTP ou HTTPS entre l'équilibreur de charge et l'interface utilisateur Edge.

Une autre alternative consiste à utiliser iptables pour transférer les requêtes du port 443 vers le port 9443. Exemple :

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 9443

Configurer TLS

Procédez comme suit pour configurer l'accès TLS à l'interface utilisateur de gestion:

Générez le fichier JKS du keystore contenant votre certification TLS et votre clé privée, puis copiez-le sur le nœud du serveur de gestion. Pour plus d'informations, consultez la section Configurer TLS/SSL pour Edge On Premises.
Exécutez la commande suivante pour configurer TLS:
$ /opt/apigee/apigee-service/bin/apigee-service Edge-ui configure-ssl
Saisissez le numéro de port HTTPS (par exemple, 9443).
Indiquez si vous souhaitez désactiver l'accès HTTP à l'interface utilisateur de gestion. Par défaut, l'interface utilisateur de gestion est accessible via HTTP sur le port 9000.
Saisissez l'algorithme du keystore. La valeur par défaut est JKS.
Saisissez le chemin absolu vers le fichier JKS du keystore.

Le script copie le fichier dans le répertoire /opt/apigee/customer/conf sur le nœud Management Server et change la propriété du fichier en apigee.
Saisissez le mot de passe du keystore en texte clair.
Le script redémarre ensuite l'interface utilisateur de gestion Edge. Après le redémarrage, l'interface utilisateur de gestion prend en charge l'accès via TLS.
Vous pouvez voir ces paramètres dans /opt/apigee/etc/edge-ui.d/SSL.sh.

Vous pouvez également transmettre un fichier de configuration à la commande au lieu de répondre aux invites. Le fichier de configuration utilise les propriétés suivantes:

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

Utilisez ensuite la commande suivante pour configurer TLS de l'interface utilisateur Edge:

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

Configurer l'interface utilisateur Edge lorsque TLS s'arrête sur l'équilibreur de charge

Si vous disposez d'un équilibreur de charge qui transfère les requêtes à l'interface utilisateur Edge, vous pouvez choisir d'arrêter la connexion TLS au niveau de l'équilibreur de charge, puis de demander à l'équilibreur de charge de transférer les requêtes à l'interface utilisateur Edge via HTTP. Cette configuration est compatible, mais vous devez configurer l'équilibreur de charge et l'interface utilisateur Edge en conséquence.

La configuration supplémentaire est requise lorsque l'interface utilisateur Edge envoie des e-mails aux utilisateurs pour définir leur mot de passe lors de la création de l'utilisateur ou lorsque l'utilisateur demande la réinitialisation d'un mot de passe perdu. Cet e-mail contient une URL que l'utilisateur sélectionne pour définir ou réinitialiser un mot de passe. Par défaut, si l'interface utilisateur Edge n'est pas configurée pour utiliser TLS, l'URL dans l'e-mail généré utilise le protocole HTTP et non HTTPS. Vous devez configurer l'équilibreur de charge et l'interface utilisateur Edge pour générer une adresse e-mail qui utilise HTTPS.

Pour configurer l'équilibreur de charge, assurez-vous qu'il définit l'en-tête suivant sur les requêtes transférées à l'interface utilisateur Edge:

X-Forwarded-Proto: https

Pour configurer l'interface utilisateur Edge:

Ouvrez le fichier /opt/apigee/customer/application/ui.properties dans un éditeur. Si le fichier n'existe pas, créez-le:
> vi /opt/apigee/customer/application/ui.properties
Définissez la propriété suivante dans ui.properties:
conf/application.conf+trustxforwarded=true
Enregistrez les modifications apportées à ui.properties.
Redémarrez l'interface utilisateur Edge:
> /opt/apigee/apigee-service/bin/apigee-service Edge-ui restart

Désactiver TLS dans l'interface utilisateur Edge

Pour désactiver TLS dans l'interface utilisateur Edge, utilisez la commande suivante:

/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl