Diese Seite wurde von der Cloud Translation API übersetzt.

TLS für die Verwaltungs-UI konfigurieren

Edge for Private Cloud v4.18.05

Standardmäßig greifen Sie über die IP-Adresse des Verwaltungsserverknotens und den Port 9000 über HTTP auf die Edge-Verwaltungsoberfläche zu. Beispiel:

http://ms_IP:9000

Alternativ können Sie den TLS-Zugriff auf die Verwaltungsoberfläche konfigurieren, damit Sie auf folgende Weise darauf zugreifen können:

https://ms_IP:9443

In diesem Beispiel konfigurieren Sie den TLS-Zugriff für Port 9443. Diese Portnummer ist jedoch für Edge nicht erforderlich. Sie können den Verwaltungsserver so konfigurieren, dass er andere Portwerte verwendet. Die einzige Voraussetzung ist, dass Ihre Firewall den Traffic über den angegebenen Port zulässt.

Prüfen, ob der TLS-Port geöffnet ist

Mit dem Verfahren in diesem Abschnitt wird TLS so konfiguriert, dass der Port 9443 auf dem Verwaltungsserver verwendet wird. Unabhängig vom verwendeten Port müssen Sie dafür sorgen, dass der Port auf dem Verwaltungsserver geöffnet ist. Sie können es beispielsweise mit dem folgenden Befehl öffnen:

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose

Hinweis:In diesem Beispiel wird Port 9443 für den TLS-Port verwendet, nicht der gängigere Port 443. Der Grund dafür ist, dass Ports unter 1024 normalerweise vom Betriebssystem geschützt sind und der Prozess, der darauf zugreift, Root-Zugriff benötigt. Die Edge-Benutzeroberfläche wird als „apigee“-Nutzer ausgeführt und hat daher in der Regel keinen Zugriff auf Ports unter 1024.

Eine Alternative besteht darin, einen Load Balancer mit der Edge-Benutzeroberfläche zu verwenden und TLS am Load Balancer auf Port 443 zu beenden. Sie können dann entweder HTTP oder HTTPS zwischen dem Load Balancer und der Edge-Benutzeroberfläche verwenden.

Alternativ können Sie iptables verwenden, um Anfragen an Port 443 an Port 9443 weiterzuleiten. Beispiel:

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 9443

TLS konfigurieren

So konfigurieren Sie den TLS-Zugriff auf die Verwaltungs-UI:

Erstellen Sie die JKS-Datei des Schlüsselspeichers mit Ihrer TLS-Zertifizierung und Ihrem privaten Schlüssel und kopieren Sie sie auf den Knoten des Verwaltungsservers. Weitere Informationen finden Sie unter TLS/SSL für Edge On Premises konfigurieren.

Führen Sie den folgenden Befehl aus, um TLS zu konfigurieren:

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl

Geben Sie die HTTPS-Portnummer ein, z. B. 9443.
Geben Sie an, ob der HTTP-Zugriff auf die Verwaltungsoberfläche deaktiviert werden soll. Standardmäßig ist über HTTP auf Port 9000 auf die Verwaltungs-UI zuzugreifen.
Geben Sie den Schlüsselspeicheralgorithmus ein. Der Standardwert ist JKS.
Geben Sie den absoluten Pfad zur JKS-Datei des Keystores ein.
Das Script kopiert die Datei in das Verzeichnis /opt/apigee/customer/conf auf dem Management-Serverknoten und ändert die Inhaberschaft der Datei in „apigee“.
Geben Sie das Klartextpasswort für den Schlüsselspeicher ein.
Das Script startet dann die Edge-Benutzeroberfläche neu. Nach dem Neustart unterstützt die Verwaltungsoberfläche den Zugriff über TLS.
Diese Einstellungen finden Sie unter /opt/apigee/etc/edge-ui.d/SSL.sh.

Sie können dem Befehl auch eine Konfigurationsdatei übergeben, anstatt auf Aufforderungen zu reagieren. Die Konfigurationsdatei hat die folgenden Eigenschaften:

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

Konfigurieren Sie dann mit dem folgenden Befehl TLS für die Edge-Benutzeroberfläche:

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

Edge-Benutzeroberfläche konfigurieren, wenn TLS am Load Balancer beendet wird

Wenn Sie einen Load Balancer haben, der Anfragen an die Edge-Benutzeroberfläche weiterleitet, können Sie die TLS-Verbindung am Load Balancer beenden und dann Anfragen über HTTP an die Edge-Benutzeroberfläche weiterleiten. Diese Konfiguration wird unterstützt, Sie müssen jedoch den Load Balancer und die Edge-Benutzeroberfläche entsprechend konfigurieren.

Die zusätzliche Konfiguration ist erforderlich, wenn die Edge-Benutzeroberfläche Nutzern E-Mails zum Festlegen ihres Passworts sendet, wenn der Nutzer erstellt wird oder wenn der Nutzer das Zurücksetzen eines verlorenen Passworts anfordert. Diese E-Mail enthält eine URL, über die der Nutzer ein Passwort festlegen oder zurücksetzen kann. Wenn die Edge-Benutzeroberfläche nicht für die Verwendung von TLS konfiguriert ist, wird für die URL in der generierten E-Mail standardmäßig das HTTP-Protokoll und nicht HTTPS verwendet. Sie müssen den Load Balancer und die Edge-Benutzeroberfläche so konfigurieren, dass eine E-Mail-Adresse mit HTTPS generiert wird.

Achten Sie bei der Konfiguration des Load Balancers darauf, dass er den folgenden Header für Anfragen festlegt, die an die Edge-Benutzeroberfläche weitergeleitet werden:

X-Forwarded-Proto: https

So konfigurieren Sie die Edge-Benutzeroberfläche:

Öffnen Sie die Datei /opt/apigee/customer/application/ui.properties in einem Editor. Wenn die Datei nicht vorhanden ist, erstellen Sie sie:
```
vi /opt/apigee/customer/application/ui.properties
```
Legen Sie in ui.properties die folgende Property fest:
```
conf/application.conf+trustxforwarded=true
```
Speichern Sie die Änderungen in ui.properties.

Starten Sie die Edge-Benutzeroberfläche neu:

/opt/apigee/apigee-service/bin/apigee-service edge-ui restart

TLS in der Edge-Benutzeroberfläche deaktivieren

Verwenden Sie den folgenden Befehl, um TLS in der Edge-Benutzeroberfläche zu deaktivieren:

/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl