管理 UI の TLS の構成

Edge for Private Cloud v4.18.05

デフォルトでは、Management Server ノードの IP アドレスとポート 9000 を使用して HTTP で Edge 管理 UI にアクセスします。次に例を示します。

http://ms_IP:9000

または、管理 UI への TLS アクセスを構成することで、次のフォームで Edge 管理 UI にアクセスできます。

https://ms_IP:9443

この例では、TLS アクセスでポート 9443 が使用されるように構成します。ただし、Edge についてこのポート番号が必要というわけではありません。他のポート番号を使うように Management Server を構成することもできます。唯一の要件は、ファイアウォールが指定のポートでトラフィックを許可していることです。

TLS ポートが開いていることを確認する

このセクションの手順で、Management Server でポート 9443 を使用するように TLS を構成します。使用するポートにかかわらず、Management Server 上でポートが開いている必要があります。たとえば、次のコマンドを使用してポートを開きます。

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose

TLS の構成

管理 UI への TLS アクセスを構成するには、次の手順を行います。

  1. TLS 証明書と秘密鍵を含むキーストア JKS ファイルを生成し、Management Server ノードにコピーします。詳細については、オンプレミスの Edge での TLS/SSL の構成をご覧ください。
  2. 次のコマンドを実行して TLS を構成します。
    /opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl
  3. HTTPS ポート番号を入力します(例: 9443)。
  4. 管理 UI への HTTP アクセスを無効にするかどうかを指定します。デフォルトでは、ポート 9000 の HTTP で管理 UI にアクセスできます。
  5. キーストア アルゴリズムを入力します。デフォルトは JKS です。
  6. キーストア JKS ファイルの絶対パスを入力します。

    このファイルは Management Server ノードの /opt/apigee/customer/conf ディレクトリにコピーされ、所有者が「apigee」に変更されます。

  7. 平文のキーストア パスワードを入力します。
  8. このスクリプトを実行すると、Edge 管理 UI が再起動します。再起動した後、管理 UI に TLS でアクセスできるようになります。

    これらの設定は /opt/apigee/etc/edge-ui.d/SSL.sh で確認できます。

プロンプトに応答するのではなく、コマンドに構成ファイルを渡すこともできます。構成ファイルは、次のプロパティを含みます。

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

次のコマンドを使用して、Edge UI の TLS を構成します。

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

TLS をロードバランサで終端させる場合の Edge UI の構成

リクエストを Edge UI に転送するロードバランサを配置している場合、TLS 接続をロードバランサで終端させ、ロードバランサから HTTP で Edge UI にリクエストを転送できます。この構成はサポートされていますが、ロードバランサと Edge UI をそれに応じて構成する必要があります。

ユーザーが作成されたとき、またはユーザーがパスワードの再設定をリクエストしたときに Edge UI からユーザーにパスワード設定メールを送信する場合は、追加の構成が必要です。このメールには、パスワードを設定または再設定するための URL が記載されています。デフォルトでは、Edge UI が TLS を使用するように構成されていない場合、生成されたメールの URL で使用されるプロトコルは HTTPS ではなく HTTP になります。HTTPS を使用したメールアドレスが生成されるようにロードバランサと Edge UI を構成する必要があります。

ロードバランサを構成するには、Edge UI に転送するリクエストに次のヘッダーが設定されるようにします。

X-Forwarded-Proto: https

Edge UI を構成するには:

  1. /opt/apigee/customer/application/ui.properties ファイルをエディタで開きます。ファイルが存在しない場合は作成します。
    vi /opt/apigee/customer/application/ui.properties
  2. ui.properties で次のプロパティを設定します。
    conf/application.conf+trustxforwarded=true
  3. 変更を ui.properties に保存します。
  4. Edge UI を再起動します。
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

Edge UI で TLS を無効にする

Edge UI で TLS を無効にするには、次のコマンドを使用します。

/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl