Esta página foi traduzida pela API Cloud Translation.

Como configurar o TLS para a nova experiência do Edge

Edge para nuvem privada v4.19.01

Por padrão, você acessa a Nova experiência do Edge sobre HTTP usando o endereço IP ou o nome DNS do nó da nova experiência do Edge e a porta 3001. Exemplo:

http://newue_IP:3001

Também é possível configurar o acesso TLS à experiência do novo Edge para que você pode acessá-lo no formulário:

https://newue_IP:3001

Requisitos de TLS

A nova experiência do Edge só é compatível com o TLS v1.2. Se você ativar o TLS na nova experiência do Edge, os usuários precisam se conectar à experiência do New Edge usando um navegador compatível com o TLS v1.2.

Propriedades de configuração do TLS

Execute o seguinte comando para configurar o TLS para a nova experiência do Edge:

/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

Em que configFile é o arquivo de configuração usado para instalar o Nova experiência do Edge.

Antes de executar este comando, edite o arquivo de configuração para definir as propriedades necessárias que controlam o TLS. A tabela a seguir descreve Propriedades usadas para configurar o TLS para a nova experiência do Edge:

Propriedade	Descrição	Obrigatório?
`MANAGEMENT_UI_SCHEME`	Define o protocolo "http" ou "https", usado para acessar a experiência do novo Edge. O valor padrão é "http". Defina-o como "https". para ativar o TLS: MANAGEMENT_UI_SCHEME=https	Sim
`MANAGEMENT_UI_TLS_OFFLOAD`	Se for "n", especifica que as solicitações TLS para a nova experiência do Edge são encerradas. na experiência do New Edge. Defina `MANAGEMENT_UI_TLS_KEY_FILE` e `MANAGEMENT_UI_TLS_CERT_FILE.` Se "y", especifica que as solicitações TLS para a nova experiência de borda são encerradas em um balanceador de carga que, por sua vez, encaminhe a solicitação para a experiência do New Edge usando HTTP. Se você encerrar o TLS no balanceador de carga, a nova experiência do Edge ainda precisará a solicitação original foi recebida por TLS. Por exemplo, alguns cookies têm uma flag "Secure" definida. Defina `MANAGEMENT_UI_SCHEME` como "https" Caso contrário, `MANAGEMENT_UI_TLS_OFFLOAD` será ignorado: MANAGEMENT_UI_SCHEME=https MANAGEMENT_UI_TLS_OFFLOAD=y	Sim
`MANAGEMENT_UI_TLS_KEY_FILE` `MANAGEMENT_UI_TLS_CERT_FILE`	Se `MANAGEMENT_UI_TLS_OFFLOAD=n`, especifica o caminho absoluto aos arquivos de chave e de certificado TLS. Os arquivos devem ser formatados como PEM sem senha longa e precisa ser de propriedade da "apigee" usuário. O local recomendado para esses arquivos é: /opt/apigee/customer/application/edge-management-ui Se esse diretório não existir, crie-o. Se for `MANAGEMENT_UI_TLS_OFFLOAD=y`, omita `MANAGEMENT_UI_TLS_KEY_FILE`. e `MANAGEMENT_UI_TLS_CERT_FILE.`. Elas são ignoradas porque as solicitações A nova experiência do Edge é oferecida por HTTP.	Sim se `MANAGEMENT_UI_TLS_OFFLOAD=n`
`MANAGEMENT_UI_PUBLIC_URIS`	Se `MANAGEMENT_UI_TLS_OFFLOAD=n`, especifica o URL da nova experiência do Edge. Defina essa propriedade com base em outras propriedades no arquivo de configuração. Exemplo: MANAGEMENT_UI_PUBLIC_URIS=`$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT` Em que: `MANAGEMENT_UI_SCHEME` especifica o protocolo "http". ou "https", conforme descrito acima. `MANAGEMENT_UI_IP` especifica o endereço IP ou o nome DNS da nova experiência do Edge. `MANAGEMENT_UI_PORT` especifica a porta usada pela experiência do novo Edge. Consulte Como instalar a nova experiência do Edge para saber mais sobre essas propriedades. Se `MANAGEMENT_UI_TLS_OFFLOAD=y`: `MANAGEMENT_UI_IP` especifica o endereço IP ou o nome DNS do balanceador de carga; não da experiência do novo Edge. O balanceador de carga e o novo UE precisam usar o mesmo número de porta para solicitações, por exemplo, 3001. Use `MANAGEMENT_UI_PORT` para especificar o número da porta no balanceador de carga e no novo UE.	Sim
`SHOEHORN_SCHEME`	Antes de instalar a experiência do novo Edge, faça o seguinte: Instale primeiro a interface básica do Edge, chamada shoehorn. O arquivo de configuração de instalação usa a propriedade a seguir para especificar o protocolo "http", usado para acessar a interface básica do Edge: SHOEHORN_SCHEME=http A interface básica do Edge não é compatível com TLS. Por isso, mesmo quando você ativa o TLS na nova experiência do Edge, a propriedade ainda precisa ser definida como "http".	Sim e definido como "http"

Configurar a TLS

Para configurar o acesso TLS à nova experiência do Edge:

Gere o certificado e a chave TLS como arquivos PEM sem senha longa. Exemplo:
```
mykey.pem
mycert.pem
```
Há muitas maneiras de gerar um certificado e uma chave TLS. Por exemplo, é possível executar o seguinte para gerar um certificado e uma chave não assinados:
```
openssl req -x509 -newkey rsa:4096 -keyout mykey.pem -out mycert.pem -days 365 -nodes -subj '/CN=localhost'
```
Observação : normalmente, não use uma chave e um certificado não assinados em um ambiente de produção.
Copie os arquivos de chave e certificado para o diretório /opt/apigee/customer/application/edge-management-ui. Se esse diretório não existir, crie-o.

Verifique se o certificado e a chave pertencem à "apigee" usuário:

chown apigee:apigee /opt/apigee/customer/application/edge-management-ui/*.pem

Edite o arquivo de configuração usado para instalar a experiência do New Edge para defina estas propriedades de TLS:

# Set to https to enable TLS.
MANAGEMENT_UI_SCHEME=https 
# Do NOT terminate TLS on a load balancer.
MANAGEMENT_UI_TLS_OFFLOAD=n

# Specify the key and cert. 
MANAGEMENT_UI_TLS_KEY_FILE=/opt/apigee/customer/application/edge-management-ui/mykey.pem
MANAGEMENT_UI_TLS_CERT_FILE=/opt/apigee/customer/application/edge-management-ui/mycert.pem

# Leave these properties set to the same values as when you installed the New Edge experience:
MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT
SHOEHORN_SCHEME=http

Execute o seguinte comando para configurar o TLS:
```
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
```
Em que configFile é o nome do arquivo de configuração.

O script reinicia a experiência do novo Edge.
Execute os comandos abaixo para configurar e reiniciar o shoehorn:
```
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
```
Após a reinicialização, a nova experiência do Edge será compatível com o acesso por HTTPS. Se não for possível fazer login na experiência do New Edge após ativar o TLS, limpe o cache do navegador e tente fazer login novamente.

Configurar a nova experiência do Edge quando o TLS for encerrado no balanceador de carga

Se você tiver um balanceador de carga que encaminha solicitações para a experiência do New Edge, poderá optar por encerrar a conexão TLS no balanceador de carga e depois balanceador de carga encaminha solicitações para a nova experiência do Edge por HTTP:

Esta configuração é compatível mas você precisa configurar o balanceador de carga e a nova experiência do Edge de acordo.

Para configurar a nova experiência do Edge quando o TLS for encerrado no balanceador de carga:

Edite o arquivo de configuração usado para instalar a experiência do New Edge para defina estas propriedades de TLS:

# Set to https to enable TLS
MANAGEMENT_UI_SCHEME=https
# Terminate TLS on a load balancer
MANAGEMENT_UI_TLS_OFFLOAD=y
# Set to the IP address or DNS name of the load balancer.
MANAGEMENT_UI_IP=LB_IP_DNS
# Set to the port number for the load balancer and New Edge experience.
# The load balancer and the New Edge experience must use the same port number.
MANAGEMENT_UI_IP=3001

# Leave these properties set to the same values as when you installed the New Edge experience:
MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT
SHOEHORN_SCHEME=http

Se você definir MANAGEMENT_UI_TLS_OFFLOAD=y, omita MANAGEMENT_UI_TLS_KEY_FILE. e MANAGEMENT_UI_TLS_CERT_FILE. Elas são ignoradas porque as solicitações para a experiência do New Edge são feitas por HTTP.

Execute o seguinte comando para configurar o TLS:
```
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
```
Em que configFile é o nome do arquivo de configuração.

O script reinicia a experiência do novo Edge.
Execute os comandos abaixo para configurar e reiniciar o shoehorn:
```
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
```
Após a reinicialização, a nova experiência do Edge será compatível com o acesso por HTTPS. Se não for possível fazer login na experiência do New Edge após ativar o TLS, limpe o cache do navegador e tente fazer login novamente.

Desativar o TLS na nova experiência do Edge

Para desativar o TLS na nova experiência do Edge:

Edite o arquivo de configuração usado para instalar a nova experiência do Edge para definir a seguinte propriedade TLS:

Observação : ao desativar o TLS, você precisa transmitir o arquivo de configuração completo usada para instalar a experiência do New Edge.
```
# Set to http to disable TLS.
MANAGEMENT_UI_SCHEME=http

# Only if you had terminated TLS on a load balancer,
# reset to the IP address or DNS name of the New Edge experience.
MANAGEMENT_UI_IP=newue_IP_DNS
```
Execute o seguinte comando para desativar o TLS:
```
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
```
Em que configFile é o nome do arquivo de configuração.

O script reinicia a experiência do novo Edge.
Execute os comandos abaixo para configurar e reiniciar o shoehorn:
```
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
```
Agora você pode acessar a experiência do novo Edge por HTTP. Se não for possível fazer login na experiência do New Edge após desativar o TLS, limpe o cache do navegador e tente fazer login novamente.