Como configurar o TLS para a IU de gerenciamento

Edge para nuvem privada v4.18.01

Por padrão, você acessa a IU de gerenciamento de borda por HTTP usando o endereço IP do nó do servidor de gerenciamento e a porta 9000. Exemplo:

http://ms_IP:9000

Como alternativa, você pode configurar o acesso TLS à interface de gerenciamento para acessá-lo desta forma:

https://ms_IP:9443

Neste exemplo, você configura o acesso TLS para usar a porta 9443. No entanto, esse número de porta não é exigido pela Edge. Você pode configurar o servidor de gerenciamento para usar outros valores de porta. O único requisito é que o firewall permita o tráfego na porta especificada.

Verifique se a porta TLS está aberta

O procedimento nesta seção configura o TLS para usar a porta 9443 no servidor de gerenciamento. Independentemente da porta usada, você precisa garantir que ela esteja aberta no servidor de gerenciamento. Por exemplo, use o seguinte comando para abri-lo:

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose 

Configurar a TLS

Use o procedimento a seguir para configurar o acesso TLS à interface de gerenciamento:

  1. Gere o arquivo JKS do keystore que contém a certificação de TLS e a chave privada e copie-o para o nó do servidor de gerenciamento. Para mais informações, consulte Como configurar o TLS/SSL para o Edge local.
  2. Execute o seguinte comando para configurar o TLS:
    $ /opt/apigee/apigee-service/bin/apigee-serviceedge-ui configure-ssl
  3. Insira o número da porta HTTPS, por exemplo, 9443.
  4. Especifique se você quer desativar o acesso HTTP à interface de gerenciamento. Por padrão, a IU de gerenciamento pode ser acessada por HTTP na porta 9000.
  5. Insira o algoritmo de keystore. O padrão é JKS.
  6. Insira o caminho absoluto para o arquivo JKS do keystore.

    O script copia o arquivo para o diretório /opt/apigee/customer/conf no nó "Servidor de gerenciamento" e muda a propriedade do arquivo para apigee.
  7. Digite a senha do keystore em texto não criptografado.
  8. Em seguida, o script reinicia a IU de gerenciamento do Edge. Após a reinicialização, a interface de gerenciamento vai permitir o acesso por TLS.
    Essas configurações estão disponíveis em /opt/apigee/etc/edge-ui.d/SSL.sh.

Também é possível transmitir um arquivo de configuração para o comando em vez de responder a solicitações. O arquivo de configuração recebe as seguintes propriedades:

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

Em seguida, use o seguinte comando para configurar o TLS da IU do Edge:

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

Configurar a IU do Edge quando o TLS for encerrado no balanceador de carga

Se você tiver um balanceador de carga que encaminha solicitações para a interface do Edge, poderá encerrar a conexão TLS no balanceador de carga e, em seguida, fazer com que o balanceador de carga encaminhe as solicitações para a interface do Edge por HTTP. Essa configuração é compatível, mas você precisa configurar o balanceador de carga e a IU do Edge de maneira adequada.

A configuração extra é necessária quando a interface do Edge envia e-mails para os usuários definirem a senha na criação do usuário ou quando ele solicita a redefinição de uma senha perdida. Esse e-mail contém um URL que o usuário seleciona para definir ou redefinir uma senha. Por padrão, se a IU do Edge não estiver configurada para usar TLS, o URL no e-mail gerado usará o protocolo HTTP, e não HTTPS. Configure o balanceador de carga e a IU do Edge para gerar um endereço de e-mail que use HTTPS.

Para configurar o balanceador de carga, verifique se ele define o seguinte cabeçalho nas solicitações encaminhadas para a interface do Edge:

X-Forwarded-Proto: https

Para configurar a interface do usuário do Edge:

  1. Abra o arquivo /opt/apigee/customer/application/ui.properties em um editor. Se o arquivo não existir, crie-o:
    > vi /opt/apigee/customer/application/ui.properties
  2. Defina a seguinte propriedade em ui.properties:
    conf/application.conf+trustxforwarded=true
  3. Salve as mudanças em ui.properties.
  4. Reinicie a IU do Edge:
    > /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

Desativar o TLS na interface do Edge

Para desativar o TLS na interface do usuário do Edge, use o seguinte comando:

/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl