Ta strona została przetłumaczona przez Cloud Translation API.

Konfigurowanie protokołu TLS w interfejsie zarządzania

Edge for Private Cloud w wersji 4.18.01

Domyślnie do interfejsu zarządzania brzegiem sieci możesz uzyskiwać dostęp przez HTTP przy użyciu adresu IP węzła serwera zarządzania i portu 9000. Na przykład:

http://ms_IP:9000

Możesz też skonfigurować dostęp TLS do interfejsu zarządzania, aby uzyskać do niego dostęp w tej formie:

https://ms_IP:9443

W tym przykładzie skonfigurujesz dostęp TLS tak, aby używać portu 9443. Jednak ten numer portu nie jest wymagany przez Edge. Możesz skonfigurować serwer zarządzania, aby używał innych wartości portów. Jedynym wymaganiem jest to, aby zapora sieciowa zezwalała na ruch przez określony port.

Upewnij się, że port TLS jest otwarty

Procedura podana w tej sekcji pozwala skonfigurować protokół TLS do używania portu 9443 na serwerze zarządzania. Niezależnie od używanego portu musisz się upewnić, że port na serwerze zarządzania musi być otwarty. Aby go otworzyć, możesz na przykład użyć tego polecenia:

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose

Uwaga: w tym przykładzie użyto portu 9443 jako portu TLS, a nie bardziej popularnego portu 443. Porty poniżej 1024 są zwykle chronione przez system operacyjny i wymagają dostępu do roota przez proces, który uzyskuje do nich dostęp. Interfejs Edge działa jako użytkownik „apigee”, więc zwykle nie ma dostępu do portów poniżej 1024.

Alternatywnym rozwiązaniem jest użycie systemu równoważenia obciążenia w interfejsie użytkownika Edge i wyłączenie TLS w systemie równoważenia obciążenia na porcie 443. Następnie możesz używać protokołu HTTP lub HTTPS między systemem równoważenia obciążenia a interfejsem użytkownika Edge.

Inną możliwością jest użycie iptables do przekierowania żądań do portu 443 na port 9443. Na przykład:

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 9443

Konfigurowanie TLS

Aby skonfigurować dostęp TLS do interfejsu zarządzania, wykonaj poniższe czynności:

Wygeneruj plik JKS magazynu kluczy zawierający certyfikat TLS i klucz prywatny, a następnie skopiuj go do węzła serwera zarządzania. Więcej informacji znajdziesz w artykule Konfigurowanie protokołu TLS/SSL dla przeglądarki Edge On.
Aby skonfigurować protokół TLS, uruchom to polecenie:
$ /opt/apigee/apigee-service/bin/apigee-serviceedge-ui configure-ssl
Wpisz numer portu HTTPS, np. 9443.
Określ, czy chcesz wyłączyć dostęp HTTP do interfejsu zarządzania. Domyślnie interfejs zarządzania jest dostępny przez HTTP na porcie 9000.
Wpisz algorytm magazynu kluczy. Wartość domyślna to JKS.
Wpisz ścieżkę bezwzględną do pliku JKS magazynu kluczy.

Skrypt kopiuje plik do katalogu /opt/apigee/customer/conf w węźle serwera zarządzania i zmienia własność pliku na apigee.
Wpisz hasło do magazynu kluczy w postaci zwykłego tekstu.
Następnie skrypt ponownie uruchamia interfejs zarządzania brzegowymi. Po ponownym uruchomieniu interfejs zarządzania obsługuje dostęp przez TLS.
Te ustawienia znajdziesz na stronie /opt/apigee/etc/edge-ui.d/SSL.sh.

Zamiast odpowiadać na prompty, możesz też przekazać plik konfiguracyjny do polecenia. Plik konfiguracyjny zawiera te właściwości:

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

Następnie za pomocą tego polecenia skonfiguruj protokół TLS w interfejsie użytkownika Edge:

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

Skonfiguruj interfejs użytkownika Edge po zakończeniu TLS w systemie równoważenia obciążenia

Jeśli masz system równoważenia obciążenia, który przekazuje żądania do interfejsu użytkownika Edge, możesz zakończyć połączenie TLS w systemie równoważenia obciążenia, a następnie ustawić przez system równoważenia obciążenia przekazywanie żądań do interfejsu Edge przez HTTP. Ta konfiguracja jest obsługiwana, ale musisz odpowiednio skonfigurować system równoważenia obciążenia i interfejs użytkownika Edge.

Dodatkowa konfiguracja jest wymagana, gdy interfejs Edge wysyła do użytkowników e-maile z prośbą o ustawienie hasła podczas tworzenia konta użytkownika lub gdy wysyła on prośbę o zresetowanie utraconego hasła. Zawiera on adres URL, który użytkownik wybiera, aby ustawić lub zresetować hasło. Domyślnie, jeśli interfejs Edge nie jest skonfigurowany do używania protokołu TLS, adres URL w wygenerowanym e-mailu używa protokołu HTTP, a nie HTTPS. Musisz skonfigurować system równoważenia obciążenia i interfejs użytkownika Edge, aby wygenerować adres e-mail korzystający z HTTPS.

Aby skonfigurować system równoważenia obciążenia, upewnij się, że ustawia on następujący nagłówek w żądaniach przekazywanych do interfejsu użytkownika Edge:

X-Forwarded-Proto: https

Aby skonfigurować interfejs Edge:

Otwórz plik /opt/apigee/customer/application/ui.properties w edytorze. Jeśli plik nie istnieje, utwórz go:
> vi /opt/apigee/customer/application/ui.properties
Ustaw tę właściwość w ui.properties:
conf/application.conf+trustxforwarded=true
Zapisz zmiany w pliku ui.properties.
Ponownie uruchom interfejs Edge:
> /opt/apigee/apigee-service/bin/apigee-service Edge-ui restart

Wyłącz TLS w interfejsie użytkownika Edge

Aby wyłączyć TLS w interfejsie użytkownika Edge, użyj tego polecenia:

/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl