הגדרת TLS עבור ממשק המשתמש לניהול

Edge for Private Cloud v4.18.05

כברירת מחדל, כדי לגשת לממשק המשתמש לניהול של Edge באמצעות HTTP, משתמשים בכתובת ה-IP של הצומת של שרת הניהול וביציאה 9000. לדוגמה:

http://ms_IP:9000

לחלופין, אפשר להגדיר גישה ל-TLS לממשק המשתמש לניהול כדי לגשת אליו בטופס:

https://ms_IP:9443

בדוגמה הזו, מגדירים גישה ל-TLS באמצעות יציאה 9443. עם זאת, מספר היציאה הזה לא נדרש ל-Edge – אפשר להגדיר את שרת הניהול כך שישתמש בערכים אחרים של יציאות. הדרישה היחידה היא שחומת האש תאפשר תעבורת נתונים ביציאה שצוינה.

מוודאים שיציאת ה-TLS פתוחה

התהליך שמתואר בקטע הזה מגדיר את TLS כך שישתמש ביציאה 9443 בשרת הניהול. בלי קשר ליציאה שבה אתם משתמשים, עליכם לוודא שהיציאה פתוחה בשרת הניהול. לדוגמה, אפשר להשתמש בפקודה הבאה כדי לפתוח אותו:

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose

הגדרת TLS

כדי להגדיר גישה ל-TLS לממשק המשתמש לניהול:

  1. יוצרים את קובץ ה-JKS של מאגר המפתחות שמכיל את אישור ה-TLS ואת המפתח הפרטי, ומעתיקים אותו לצומת של שרת הניהול. מידע נוסף זמין במאמר הגדרת TLS/SSL ל-Edge On Premises.
  2. מריצים את הפקודה הבאה כדי להגדיר את TLS: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl
  3. מזינים את מספר היציאה של ה-HTTPS, לדוגמה, 9443.
  4. מציינים אם רוצים להשבית את הגישה של HTTP לממשק המשתמש לניהול. כברירת מחדל, אפשר לגשת לממשק המשתמש לניהול דרך HTTP ביציאה 9000.
  5. מזינים את האלגוריתם של מאגר המפתחות. ברירת המחדל היא JKS.
  6. מזינים את הנתיב המוחלט לקובץ ה-JKS של מאגר המפתחות.

    הסקריפט מעתיק את הקובץ לספרייה /opt/apigee/customer/conf בצומת של שרת הניהול, ומשנה את הבעלות על הקובץ ל-apigee.

  7. מזינים את הסיסמה של מאגר המפתחות בטקסט ללא הצפנה.
  8. לאחר מכן, הסקריפט מפעיל מחדש את ממשק המשתמש לניהול של Edge. אחרי ההפעלה מחדש, ממשק המשתמש לניהול תומך בגישה דרך TLS.

    אפשר לראות את ההגדרות האלה ב-/opt/apigee/etc/edge-ui.d/SSL.sh.

אפשר גם להעביר קובץ תצורה לפקודה במקום להשיב להנחיות. קובץ התצורה מכיל את המאפיינים הבאים:

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

לאחר מכן, משתמשים בפקודה הבאה כדי להגדיר את TLS של ממשק המשתמש של Edge:

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

הגדרת ממשק המשתמש של Edge כש-TLS מסתיים במאזן העומסים

אם יש לכם מאזן עומסים שמעביר בקשות לממשק המשתמש של Edge, תוכלו לסיים את חיבור ה-TLS במאזן העומסים, ואז להגדיר את מאזן העומסים להעביר את הבקשות לממשק המשתמש של Edge דרך HTTP. ההגדרה הזו נתמכת, אבל צריך להגדיר את מאזן העומסים ואת ממשק המשתמש של Edge בהתאם.

ההגדרה הנוספת נדרשת כשממשק המשתמש של Edge שולח למשתמשים אימיילים להגדרת הסיסמה שלהם כשהם נוצרים, או כשהם מבקשים לאפס סיסמה שאבדה. האימייל הזה מכיל כתובת URL שהמשתמש בוחר כדי להגדיר או לאפס סיסמה. כברירת מחדל, אם ממשק המשתמש של Edge לא מוגדר לשימוש ב-TLS, כתובת ה-URL באימייל שנוצר משתמשת בפרוטוקול HTTP ולא ב-HTTPS. צריך להגדיר את מאזן העומסים ואת ממשק Edge UI כך שייצרו כתובת אימייל שמשתמשת ב-HTTPS.

כדי להגדיר את מאזן העומסים, צריך לוודא שהוא מגדיר את הכותרת הבאה בבקשות שמועברות לממשק המשתמש של Edge:

X-Forwarded-Proto: https

כדי להגדיר את ממשק המשתמש של Edge:

  1. פותחים את הקובץ /opt/apigee/customer/application/ui.properties בעורך. אם הקובץ לא קיים, יוצרים אותו: 
    vi /opt/apigee/customer/application/ui.properties
  2. מגדירים את המאפיין הבא ב-ui.properties: 
    conf/application.conf+trustxforwarded=true
  3. שומרים את השינויים בקובץ ui.properties.
  4. מפעילים מחדש את ממשק המשתמש של Edge: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

השבתת TLS בממשק המשתמש של Edge

כדי להשבית את TLS בממשק המשתמש של Edge, משתמשים בפקודה הבאה:

/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl