Configurazione di TLS per l'interfaccia utente di gestione

Edge per Private Cloud v4.18.05

Per impostazione predefinita, puoi accedere all'interfaccia utente di gestione perimetrale tramite HTTP utilizzando l'indirizzo IP del il nodo del server di gestione e la porta 9000. Ad esempio:

http://ms_IP:9000

In alternativa, puoi configurare l'accesso TLS all'interfaccia utente di gestione in modo da potervi accedere in il modulo:

https://ms_IP:9443

In questo esempio, configuri l'accesso TLS in modo che utilizzi la porta 9443. Tuttavia, quel numero di porta non è richiesto da Edge: puoi configurare il server di gestione in modo che utilizzi altri valori di porta. L'unico è che il firewall consenta il traffico sulla porta specificata.

Assicurati che la porta TLS sia aperta

La procedura in questa sezione configura TLS in modo che utilizzi la porta 9443 sul server di gestione. Indipendentemente dalla porta che utilizzi, devi assicurarti che sia aperta sul server di gestione Server. Ad esempio, puoi utilizzare il seguente comando per aprirlo:

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose

Configura TLS

Utilizza la seguente procedura per configurare l'accesso TLS all'interfaccia utente di gestione:

  1. Genera il file JKS dell'archivio chiavi contenente la certificazione TLS, la chiave privata e la copia al nodo del server di gestione. Per ulteriori informazioni, consulta Configurazione di TLS/SSL per Edge on-premise.
  2. Esegui questo comando per configurare TLS:
    /opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl
  3. Inserisci il numero di porta HTTPS, ad esempio 9443.
  4. Specifica se vuoi disattivare l'accesso HTTP all'interfaccia utente di gestione. Per impostazione predefinita, La UI è accessibile tramite HTTP sulla porta 9000.
  5. Inserisci l'algoritmo dell'archivio chiavi. Il valore predefinito è JKS.
  6. Inserisci il percorso assoluto al file JKS dell'archivio chiavi.

    Lo script copia il file nella directory /opt/apigee/customer/conf nella che modifica la proprietà del file in "apigee".

  7. Inserisci la password dell'archivio chiavi in testo in chiaro.
  8. Lo script riavvia quindi l'interfaccia utente di gestione perimetrale. Dopo il riavvio, la UI di gestione supporta l'accesso tramite TLS.

    Puoi visualizzare queste impostazioni in /opt/apigee/etc/edge-ui.d/SSL.sh.

Puoi anche passare un file di configurazione al comando anziché rispondere ai prompt. La configurazione assume le seguenti proprietà:

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

Quindi, utilizza il comando seguente per configurare il TLS della UI Edge:

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

Configurare l'UI Edge quando TLS termina sul bilanciatore del carico

Se hai un bilanciatore del carico che inoltra le richieste alla UI Edge, potresti scegliere di termina la connessione TLS sul bilanciatore del carico e poi fa in modo che inoltri il bilanciatore del carico richieste alla UI Edge tramite HTTP. Questa configurazione è supportata, ma devi configurare il bilanciatore del carico e la UI perimetrale di conseguenza.

La configurazione aggiuntiva è necessaria quando la UI Edge invia email agli utenti per impostare password quando l'utente viene creato o quando l'utente richiede di reimpostare una password dimenticata. Questo indirizzo email contiene un URL selezionato dall'utente per impostare o reimpostare una password. Per impostazione predefinita, se la UI Edge se non è configurato per l'utilizzo di TLS, l'URL nell'email generata utilizza il protocollo HTTP e non HTTPS. Devi configurare il bilanciatore del carico e la UI perimetrale in modo da generare un indirizzo email che utilizzi HTTPS.

Per configurare il bilanciatore del carico, assicurati che imposti la seguente intestazione per le richieste inoltrate alla UI Edge:

X-Forwarded-Proto: https

Per configurare la UI Edge:

  1. Apri /opt/apigee/customer/application/ui.properties in un editor. Se il file non esiste, crealo:
    vi /opt/apigee/customer/application/ui.properties
  2. Imposta la seguente proprietà in ui.properties:
    conf/application.conf+trustxforwarded=true
  3. Salva le modifiche apportate a ui.properties.
  4. Riavvia la UI Edge:
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

Disattiva TLS nell'interfaccia utente perimetrale

Per disabilitare TLS nella UI perimetrale, utilizza il seguente comando:

/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl