管理 UI の TLS の構成

Edge for Private Cloud v4.18.05

デフォルトでは、Management Server ノードの IP アドレスとポート 9000 を使用して HTTP で Edge 管理 UI にアクセスします。次に例を示します。

http://ms_IP:9000

または、管理 UI への TLS アクセスを構成することで、次のフォームで Edge 管理 UI にアクセスできます。

https://ms_IP:9443

この例では、ポート 9443 を使用する TLS アクセスを構成しています。ただし、Edge ではこのポート番号を使う必要はありません。他のポート番号を使うように Management Server を構成することもできます。唯一の要件は、ファイアウォールが指定のポートでトラフィックを許可していることです。

TLS ポートが開いていることを確認する

このセクションの手順で、Management Server でポート 9443 を使用するように TLS を構成します。使用するポートにかかわらず、Management Server 上で該当ポートが開いている必要があります。たとえば、次のコマンドを使用してポートを開きます。

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose

注: この例では、TLS ポートにポート 9443 を使用しており、より一般的なポート 443 を使用しておりません。その理由は、1024 未満のポートは通常オペレーティングシステムによって予約されており、アクセス処理には root アクセス権が必要であるためです。Edge UI は「apigee」ユーザーで実行されるため、基本的には 1024 未満のポートにアクセスできません。

他には、Edge UI とともにロードバランサを使用し、ポート 443 の TLS をロードバランサで終端させる方法があります。これにより、ロードバランサと Edge UI 間で HTTP または HTTPS が使用できます。

もう 1 つの方法は、iptables を使用してポート 443 へのリクエストをポート 9443 へ転送することです。次に例を示します。

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 9443

TLS を構成する

管理 UI への TLS アクセスを構成するには、次の手順を実施します。

TLS 証明書と秘密鍵を含むキーストア JKS ファイルを生成し、Management Server ノードにコピーします。詳細については、オンプレミスの Edge での TLS / SSL の構成をご覧ください。

次のコマンドを実行して、TLS を構成します。

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl

HTTPS ポート番号を入力します（例: 9443）。
管理 UI への HTTP アクセスを無効にするかどうかを指定します。デフォルトでは、ポート 9000 の HTTP で管理 UI にアクセスできます。
キーストアアルゴリズムを入力します。デフォルトは JKS です。
キーストア JKS ファイルへの絶対パスを入力します。
スクリプトによって、Management Server ノード上の /opt/apigee/customer/conf ディレクトリにキーストア JKS ファイルがコピーされ、ファイルの所有者が「apigee」に変更されます。
平文のキーストアパスワードを入力します。
スクリプトによって、Edge 管理 UI が再起動されます。再起動後、Edge 管理 UI は TLS でのアクセスをサポートします。
これらの設定は、/opt/apigee/etc/edge-ui.d/SSL.sh で確認できます。

プロンプトで応答するのではなく、コマンドに構成ファイルを渡すこともできます。構成ファイルは、次のプロパティを含みます。

HTTPSPORT=9443
    DISABLE_HTTP=y
    KEY_ALGO=JKS
    KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
    KEY_PASS=clearTextKeystorePWord

次のコマンドを使用して、Edge UI の TLS を構成します。

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

TLS をロードバランサで終端させる場合に Edge UI を構成する

Egde UI へリクエストを転送するロードバランサを配置している場合、ロードバランサで TLS 接続を終端させて、ロードバランサが HTTP で Edge UI にリクエストを転送するように選択できます。この構成はサポートされていますが、この構成に応じてロードバランサと Edge UI を構成する必要があります。

ユーザーが作成されたり、ユーザーが失われたパスワードのリセットをリクエストしたりする際に Edge UI がユーザーにパスワード設定メールを送信しますが、その場合は追加の構成が必要です。このメールには、パスワードを設定するかリセットするかを選択するための URL が含まれています。デフォルトでは、Edge UI が TLS を使用するように構成されていない場合、生成されたメールの URL には、HTTPS プロトコルではなく HTTP プロトコルが使用されます。HTTPS を使用するメールアドレスを生成するには、ロードバランサと Edge UI を構成する必要があります。

ロードバランサを構成するには、Edge UI へ転送されたリクエストに次のヘッダーが設定されていることを確認します。

X-Forwarded-Proto: https

Edge UI を構成するには:

エディタで /opt/apigee/customer/application/ui.properties ファイルを開きます。ファイルが存在しない場合は、作成します。
```
vi /opt/apigee/customer/application/ui.properties
```
ui.properties で、次のプロパティを設定します。
```
conf/application.conf+trustxforwarded=true
```
ui.properties に対する変更を保存します。

Edge UI を再起動します。

/opt/apigee/apigee-service/bin/apigee-service edge-ui restart

Edge UI で TLS を無効にする

Edge UI で TLS を無効にするには、次のコマンドを使用します。

/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl