Yönetim kullanıcı arayüzü için TLS'yi yapılandırma

Edge for Private Cloud 4.18.01 sürümü

Varsayılan olarak, Yönetim Sunucusu düğümünün ve bağlantı noktasının 9000 IP adresini kullanarak HTTP üzerinden Edge yönetim kullanıcı arayüzüne erişirsiniz. Örneğin:

http://ms_IP:9000

Alternatif olarak, yönetim kullanıcı arayüzüne TLS erişimini yapılandırarak ona şu biçimde erişebilirsiniz:

https://ms_IP:9443

Bu örnekte, TLS erişimini 9443 bağlantı noktasını kullanacak şekilde yapılandırıyorsunuz. Ancak bu bağlantı noktası numarası Edge için gerekli değildir. Yönetim Sunucusu'nu diğer bağlantı noktası değerlerini kullanacak şekilde yapılandırabilirsiniz. Tek şart, güvenlik duvarınızın belirtilen bağlantı noktası üzerinden trafiğe izin vermesidir.

TLS bağlantı noktanızın açık olduğundan emin olun

Bu bölümdeki prosedür, TLS'yi Yönetim Sunucusu'nda 9443 numaralı bağlantı noktasını kullanacak şekilde yapılandırır. Kullandığınız bağlantı noktası ne olursa olsun, Yönetim Sunucusu'nda bağlantı noktasının açık olduğundan emin olmanız gerekir. Örneğin, dosyayı açmak için aşağıdaki komutu kullanabilirsiniz:

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose 

TLS'yi yapılandırın

Yönetim kullanıcı arayüzüne TLS erişimini yapılandırmak için aşağıdaki prosedürü kullanın:

  1. TLS sertifikanızı ve özel anahtarınızı içeren anahtar deposu JKS dosyasını oluşturun ve bu dosyayı Yönetim Sunucusu düğümüne kopyalayın. Daha fazla bilgi edinmek için Edge On Tesisler için TLS/SSL'yi yapılandırma başlıklı makaleye bakın.
  2. TLS'yi yapılandırmak için aşağıdaki komutu çalıştırın:
    $ /opt/../..//Apigee-service/bin/../../-service Edge-uiconfigure-ssl
  3. HTTPS bağlantı noktası numarasını girin (örneğin, 9443).
  4. Yönetim kullanıcı arayüzüne HTTP erişimini devre dışı bırakmak isteyip istemediğinizi belirtin. Varsayılan olarak, yönetim kullanıcı arayüzüne 9000 bağlantı noktası üzerinden HTTP üzerinden erişilebilir.
  5. Anahtar deposu algoritmasını girin. Varsayılan değer JKS'dir.
  6. Anahtar deposu JKS dosyasının mutlak yolunu girin.

    Komut dosyası, dosyayı Yönetim Sunucusu düğümündeki /opt/apigee/customer/conf dizinine kopyalar ve dosyanın sahipliğini /opt/apigee/customer/conf olarak değiştirir.
  7. Açık metin anahtar deposu şifresini girin.
  8. Daha sonra komut dosyası, Edge yönetim kullanıcı arayüzünü yeniden başlatır. Yeniden başlatma sonrasında yönetim kullanıcı arayüzü, TLS üzerinden erişimi destekler.
    Bu ayarları /opt/apigee/etc/edge-ui.d/SSL.sh adresinde bulabilirsiniz.

İstemlere yanıt vermek yerine komuta bir yapılandırma dosyası da aktarabilirsiniz. Yapılandırma dosyası aşağıdaki özellikleri alır:

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

Ardından, Edge kullanıcı arayüzünün TLS'sini yapılandırmak için aşağıdaki komutu kullanın:

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

Yük dengeleyicide TLS sona erdiğinde Edge kullanıcı arayüzünü yapılandırın

İstekleri Edge kullanıcı arayüzüne yönlendiren bir yük dengeleyiciniz varsa yük dengeleyicideki TLS bağlantısını sonlandırmayı ve ardından yük dengeleyicinin istekleri HTTP üzerinden Edge kullanıcı arayüzüne yönlendirmesini sağlayabilirsiniz. Bu yapılandırma desteklenir ancak yük dengeleyiciyi ve Edge kullanıcı arayüzünü buna göre yapılandırmanız gerekir.

Kullanıcı oluşturulduğunda veya kullanıcı kaybedilen bir şifreyi sıfırlama isteğinde bulunduğunda Edge kullanıcı arayüzü kullanıcılara şifrelerini ayarlamaları için e-postalar gönderdiğinde ek yapılandırma gerekir. Bu e-posta, kullanıcının şifre belirlemek veya sıfırlamak için seçtiği bir URL'yi içerir. Varsayılan olarak, Edge kullanıcı arayüzü TLS kullanacak şekilde yapılandırılmamışsa oluşturulan e-postadaki URL, HTTPS yerine HTTP protokolünü kullanır. Yük dengeleyiciyi ve Edge kullanıcı arayüzünü, HTTPS kullanan bir e-posta adresi oluşturacak şekilde yapılandırmanız gerekir.

Yük dengeleyiciyi yapılandırmak için, Edge kullanıcı arayüzüne yönlendirilen isteklerde aşağıdaki üst bilgiyi ayarladığından emin olun:

X-Forwarded-Proto: https

Edge kullanıcı arayüzünü yapılandırmak için:

  1. /opt/apigee/customer/application/ui.properties dosyasını bir düzenleyicide açın. Dosya mevcut değilse oluşturun:
    > vi /opt/Apigee/customer/application/ui.properties
  2. ui.properties dosyasında aşağıdaki özelliği ayarlayın:
    conf/application.conf+trustxforwarded=true
  3. ui.properties üzerinde yaptığınız değişiklikleri kaydedin.
  4. Edge kullanıcı arayüzünü yeniden başlatın:
    > /opt/../..//Apigee-service/bin/Apigee-service kenar-ui yeniden başlatma

Uç kullanıcı arayüzünde TLS'yi devre dışı bırak

Uç kullanıcı arayüzünde TLS'yi devre dışı bırakmak için aşağıdaki komutu kullanın:

/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl