Trang này được dịch bởi Cloud Translation API.

Định cấu hình TLS cho giao diện người dùng quản lý

Edge for Private Cloud v4.18.05

Theo mặc định, bạn truy cập vào giao diện người dùng quản lý Edge qua HTTP bằng cách sử dụng địa chỉ IP của nút Máy chủ quản lý và cổng 9000. Ví dụ:

http://ms_IP:9000

Ngoài ra, bạn có thể định cấu hình quyền truy cập TLS vào giao diện người dùng quản lý để có thể truy cập vào giao diện đó ở dạng:

https://ms_IP:9443

Trong ví dụ này, bạn định cấu hình quyền truy cập TLS để sử dụng cổng 9443. Tuy nhiên, Edge không yêu cầu số cổng đó – bạn có thể định cấu hình Máy chủ quản lý để sử dụng các giá trị cổng khác. Yêu cầu duy nhất là tường lửa của bạn cho phép lưu lượng truy cập qua cổng đã chỉ định.

Đảm bảo rằng cổng TLS của bạn đang mở

Quy trình trong phần này định cấu hình TLS để sử dụng cổng 9443 trên Máy chủ quản lý. Bất kể cổng nào bạn sử dụng, bạn phải đảm bảo cổng đó đang mở trên Máy chủ quản lý. Ví dụ: bạn có thể sử dụng lệnh sau để mở tệp:

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose

Lưu ý: Ví dụ này sử dụng cổng 9443 cho cổng TLS chứ không phải cổng 443 phổ biến hơn. Lý do là các cổng dưới 1024 thường được hệ điều hành bảo vệ và yêu cầu quy trình truy cập vào các cổng đó phải có quyền truy cập thư mục gốc. Giao diện người dùng Edge chạy dưới dạng người dùng "apigee" và do đó thường không có quyền truy cập vào các cổng dưới 1024.

Một giải pháp thay thế là sử dụng trình cân bằng tải với giao diện người dùng Edge và chấm dứt TLS trên trình cân bằng tải trên cổng 443. Sau đó, bạn có thể sử dụng HTTP hoặc HTTPS giữa trình cân bằng tải và giao diện người dùng Edge.

Một cách khác là sử dụng iptables để chuyển tiếp các yêu cầu đến cổng 443 sang cổng 9443. Ví dụ:

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 9443

Định cấu hình TLS

Hãy làm theo quy trình sau để định cấu hình quyền truy cập TLS vào giao diện người dùng quản lý:

Tạo tệp JKS kho khoá chứa chứng chỉ TLS và khoá riêng tư, sau đó sao chép tệp đó vào nút Máy chủ quản lý. Để biết thêm thông tin, hãy xem bài viết Định cấu hình TLS/SSL cho Edge On Premises.

Chạy lệnh sau để định cấu hình TLS:

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl

Nhập số cổng HTTPS, ví dụ: 9443.
Chỉ định nếu bạn muốn tắt quyền truy cập HTTP vào giao diện người dùng quản lý. Theo mặc định, bạn có thể truy cập giao diện người dùng quản lý qua HTTP trên cổng 9000.
Nhập thuật toán kho khoá. Giá trị mặc định là JKS.
Nhập đường dẫn tuyệt đối đến tệp JKS của kho khoá.
Tập lệnh này sao chép tệp vào thư mục /opt/apigee/customer/conf trên nút Máy chủ quản lý và thay đổi quyền sở hữu của tệp thành "apigee".
Nhập mật khẩu kho khoá ở dạng văn bản thô.
Sau đó, tập lệnh sẽ khởi động lại giao diện người dùng quản lý Edge. Sau khi khởi động lại, giao diện người dùng quản lý sẽ hỗ trợ quyền truy cập qua TLS.
Bạn có thể xem các chế độ cài đặt này trong /opt/apigee/etc/edge-ui.d/SSL.sh.

Bạn cũng có thể truyền tệp cấu hình vào lệnh thay vì phản hồi lời nhắc. Tệp cấu hình có các thuộc tính sau:

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

Sau đó, hãy sử dụng lệnh sau để định cấu hình TLS của giao diện người dùng Edge:

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

Định cấu hình giao diện người dùng Edge khi TLS ngừng hoạt động trên trình cân bằng tải

Nếu có trình cân bằng tải chuyển tiếp các yêu cầu đến giao diện người dùng Edge, bạn có thể chọn chấm dứt kết nối TLS trên trình cân bằng tải, sau đó yêu cầu trình cân bằng tải chuyển tiếp các yêu cầu đến giao diện người dùng Edge qua HTTP. Cấu hình này được hỗ trợ nhưng bạn cần định cấu hình bộ cân bằng tải và giao diện người dùng Edge cho phù hợp.

Bạn cần có cấu hình bổ sung khi giao diện người dùng Edge gửi email cho người dùng để đặt mật khẩu khi người dùng được tạo hoặc khi người dùng yêu cầu đặt lại mật khẩu đã mất. Email này chứa một URL mà người dùng chọn để đặt hoặc đặt lại mật khẩu. Theo mặc định, nếu giao diện người dùng Edge không được định cấu hình để sử dụng TLS, thì URL trong email được tạo sẽ sử dụng giao thức HTTP chứ không phải HTTPS. Bạn phải định cấu hình bộ cân bằng tải và giao diện người dùng Edge để tạo một địa chỉ email sử dụng HTTPS.

Để định cấu hình bộ cân bằng tải, hãy đảm bảo rằng bộ cân bằng tải đặt tiêu đề sau đây trên các yêu cầu được chuyển tiếp đến giao diện người dùng Edge:

X-Forwarded-Proto: https

Cách định cấu hình giao diện người dùng Edge:

Mở tệp /opt/apigee/customer/application/ui.properties trong trình chỉnh sửa. Nếu tệp không tồn tại, hãy tạo tệp:
```
vi /opt/apigee/customer/application/ui.properties
```
Thiết lập thuộc tính sau trong ui.properties:
```
conf/application.conf+trustxforwarded=true
```
Lưu các thay đổi vào ui.properties.

Khởi động lại giao diện người dùng Edge:

/opt/apigee/apigee-service/bin/apigee-service edge-ui restart

Tắt TLS trên giao diện người dùng Edge

Để tắt TLS trên giao diện người dùng Edge, hãy sử dụng lệnh sau:

/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl