為管理使用者介面設定傳輸層安全標準 (TLS)

Edge for Private Cloud 4.18.05

根據預設,您可以使用管理伺服器節點的 IP 位址和 9000 通訊埠,透過 HTTP 存取 Edge 管理介面。例如:

http://ms_IP:9000

或者,您也可以設定管理介面 TLS 存取權,以便透過下列表單存取:

https://ms_IP:9443

在這個範例中,您會將 TLS 存取權設為使用 9443 通訊埠。不過,Edge 不需要這個通訊埠號碼,您可以將管理伺服器設為使用其他通訊埠值。唯一的要求是防火牆必須允許透過指定通訊埠的流量。

確認 TLS 通訊埠已開啟

本節的程序會將 TLS 設為使用管理伺服器上的 9443 通訊埠。無論您使用哪個通訊埠,都必須確保管理伺服器已開啟該通訊埠。例如,您可以使用下列指令開啟它:

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose

設定 TLS

請按照下列程序,設定管理介面 (UI) 的 TLS 存取權:

  1. 產生含有 TLS 認證和私密金鑰的 KeyStore JKS 檔案,並將檔案複製到管理伺服器節點。如需更多資訊,請參閱「為 Edge On Premises 設定 TLS/SSL」。
  2. 執行下列指令來設定 TLS:
    /opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl
  3. 輸入 HTTPS 通訊埠號碼,例如 9443。
  4. 指定是否要停用管理 UI 的 HTTP 存取權。根據預設,管理介面可透過通訊埠 9000 上的 HTTP 存取。
  5. 輸入 KeyStore 演算法。預設值為 JKS。
  6. 輸入 KeyStore JKS 檔案的絕對路徑。

    這個指令碼會將檔案複製到管理伺服器節點的 /opt/apigee/customer/conf 目錄,並將檔案的擁有權變更為「apigee」。

  7. 輸入 KeyStore 純文字密碼。
  8. 然後指令碼會重新啟動 Edge 管理 UI。重新啟動後,管理 UI 就會支援透過 TLS 存取。

    您可以在 /opt/apigee/etc/edge-ui.d/SSL.sh 中查看這些設定。

您也可以將設定檔傳遞至指令,而非回應提示。設定檔會採用下列屬性:

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

接著,請使用下列指令設定 Edge UI 的 TLS:

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

在 TLS 在負載平衡器上終止時設定 Edge UI

如果您有負載平衡器,可將要求轉送至 Edge UI,您可以選擇終止負載平衡器上的 TLS 連線,然後讓負載平衡器透過 HTTP 將要求轉送至 Edge UI。系統支援這項設定,但您需要相應地設定負載平衡器和 Edge UI。

當 Edge UI 在使用者建立帳戶時,或使用者要求重設遺失的密碼時,傳送電子郵件要求使用者設定密碼,就需要額外設定。這封電子郵件包含使用者選取的網址,可用於設定或重設密碼。根據預設,如果 Edge UI 未設定為使用 TLS,則產生的電子郵件中網址會使用 HTTP 通訊協定,而非 HTTPS。您必須設定負載平衡器和 Edge UI,才能產生使用 HTTPS 的電子郵件地址。

如要設定負載平衡器,請確保在轉送至 Edge UI 的要求中設定下列標頭:

X-Forwarded-Proto: https

如要設定 Edge UI,請按照下列步驟操作:

  1. 在編輯器中開啟 /opt/apigee/customer/application/ui.properties 檔案。如果檔案不存在,請建立檔案:
    vi /opt/apigee/customer/application/ui.properties
  2. ui.properties 中設定下列屬性:
    conf/application.conf+trustxforwarded=true
  3. 將變更儲存至 ui.properties
  4. 重新啟動 Edge UI:
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

在 Edge UI 中停用 TLS

如要在 Edge UI 上停用 TLS,請使用下列指令:

/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl