הגדרת TLS עבור ממשק המשתמש לניהול

Edge for Private Cloud גרסה 4.18.01

כברירת מחדל, אפשר לגשת לממשק המשתמש לניהול Edge באמצעות HTTP באמצעות כתובת ה-IP של הצומת של שרת הניהול ושל היציאה 9000. לדוגמה:

http://ms_IP:9000

לחלופין, אפשר להגדיר גישת TLS לממשק המשתמש של הניהול, כך שתוכלו לגשת אליה באמצעות הטופס:

https://ms_IP:9443

בדוגמה הזו מגדירים גישה ל-TLS (אבטחת שכבת התעבורה) לשימוש ביציאה 9443. אבל ל-Edge אין דרישה למספר היציאה הזה, אבל אפשר להגדיר לשרת הניהול להשתמש בערכי יציאות אחרים. הדרישה היחידה היא שחומת האש תאפשר תעבורה דרך היציאה שצוינה.

בדיקה שיציאת ה-TLS (אבטחת שכבת התעבורה) פתוחה

בקטע הזה מגדירים את TLS להשתמש ביציאה 9443 בשרת הניהול. ללא קשר ליציאה שבה אתם משתמשים, עליכם לוודא שהיציאה פתוחה בשרת הניהול. לדוגמה, כדי לפתוח אותו, אפשר להשתמש בפקודה הבאה:

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose

הגדרת TLS (אבטחת שכבת התעבורה)

כדי להגדיר גישת TLS לממשק המשתמש של הניהול, משתמשים בתהליך הבא:

  1. יוצרים את קובץ ה-JKS של מאגר המפתחות שמכיל את אישור ה-TLS ואת המפתח הפרטי ומעתיקים אותו לצומת של שרת הניהול. למידע נוסף, ראה הגדרת TLS/SSL עבור Edge On Premises.
  2. כדי להגדיר TLS (אבטחת שכבת התעבורה), מריצים את הפקודה הבאה:
    $ /opt/apigee/apigee-service/bin/apigee-service edge-ui configuration-ssl
  3. צריך להזין את מספר יציאת ה-HTTPS, לדוגמה, 9443.
  4. מציינים אם רוצים להשבית את גישת HTTP לממשק המשתמש של הניהול. כברירת מחדל, אפשר לגשת לממשק המשתמש לניהול באמצעות HTTP ביציאה 9000.
  5. מזינים את האלגוריתם של מאגר המפתחות. ברירת המחדל היא JKS.
  6. צריך להזין את הנתיב המוחלט לקובץ ה-JKS של מאגר המפתחות.

    הסקריפט מעתיק את הקובץ לספרייה /opt/apigee/customer/conf בצומת של שרת הניהול, ומשנה את הבעלות על הקובץ ל-apigee.
  7. מזינים את הסיסמה של מאגר המפתחות בטקסט נקי.
  8. הסקריפט יפעיל מחדש את ממשק המשתמש לניהול Edge. אחרי ההפעלה מחדש, ממשק המשתמש לניהול תומך בגישה באמצעות TLS.
    אפשר לראות את ההגדרות האלה בכתובת /opt/apigee/etc/edge-ui.d/SSL.sh.

אפשר גם להעביר לפקודה קובץ תצורה במקום להגיב להנחיות. קובץ התצורה מקבל את המאפיינים הבאים:

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

לאחר מכן משתמשים בפקודה הבאה כדי להגדיר TLS בממשק המשתמש של Edge:

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

הגדרת ממשק המשתמש של Edge כשמסתיימת TLS במאזן העומסים

אם יש לך מאזן עומסים שמעביר בקשות לממשק המשתמש של Edge, אפשר לבחור לסיים את חיבור ה-TLS במאזן העומסים, ואז לבקש ממאזן העומסים להעביר בקשות לממשק המשתמש של Edge באמצעות HTTP. יש תמיכה בתצורה הזו, אבל צריך להגדיר את מאזן העומסים ואת ממשק המשתמש של Edge בהתאם.

ההגדרה הנוספת נדרשת כשממשק המשתמש של Edge שולח למשתמשים אימיילים להגדרת הסיסמה שלהם, כשהמשתמשים נוצרים או כשהמשתמשים מבקשים לאפס סיסמה שאבדה. האימייל הזה מכיל כתובת URL שהמשתמש בוחר כדי להגדיר או לאפס סיסמה. כברירת מחדל, אם ממשק המשתמש של Edge לא מוגדר לשימוש ב-TLS (אבטחת שכבת התעבורה), כתובת ה-URL באימייל שנוצר תשתמש בפרוטוקול HTTP ולא ב-HTTPS. צריך להגדיר את מאזן העומסים ואת ממשק המשתמש של Edge כדי ליצור כתובת אימייל שמשתמשת ב-HTTPS.

כדי להגדיר את מאזן העומסים, צריך להקפיד להגדיר את הכותרת הבאה בבקשות שמועברות לממשק המשתמש של Edge:

X-Forwarded-Proto: https

כך מגדירים את ממשק המשתמש של Edge:

  1. פותחים את הקובץ /opt/apigee/customer/application/ui.properties בעורך. אם הקובץ לא קיים, יוצרים אותו:
    > vi /opt/apigee/customer/application/ui.properties
  2. מגדירים את המאפיין הבא ב-ui.properties:
    conf/application.conf+trustxforwarded=true.
  3. שומרים את השינויים ב-ui.properties.
  4. מפעילים מחדש את ממשק המשתמש של Edge:
    > /opt/apigee/apigee-service/bin/apigee-service edge-ui הפעלה מחדש

השבתת TLS בממשק המשתמש של Edge

כדי להשבית TLS בממשק המשתמש של Edge, משתמשים בפקודה הבאה:

/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl