此页面由 Cloud Translation API 翻译。

为新 Edge 体验配置 TLS

适用于私有云的 Edge v4.19.01

默认情况下，您可以访问新版 Edge 通过使用 New Edge 体验节点的 IP 地址或 DNS 名称以及端口 3001 进行 HTTP 连接。例如：

http://newue_IP:3001

或者，您也可以为新版 Edge 配置 TLS 访问，则可采用以下格式进行访问：

https://newue_IP:3001

TLS 要求

新版 Edge 仅支持 TLS v1.2。如果您在新版 Edge 上启用 TLS，用户必须使用与 TLS v1.2 兼容的浏览器连接到新版 Edge。

TLS 配置属性

执行以下命令，为新版 Edge 体验配置 TLS：

/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

其中，configFile 是您用于安装全新 Edge 体验。

执行此命令之前，您必须修改配置文件，控制 TLS 的必要属性下表介绍了属性：

属性	说明	是否必需？
`MANAGEMENT_UI_SCHEME`	设置协议“http”或“https”，用于访问新版 Edge。默认值为“http”。将其设置为“https”启用 TLS： MANAGEMENT_UI_SCHEME=https	是
`MANAGEMENT_UI_TLS_OFFLOAD`	如果为“n”，则表示对新版 Edge 体验的 TLS 请求会终止您必须设置 `MANAGEMENT_UI_TLS_KEY_FILE` 和 `MANAGEMENT_UI_TLS_CERT_FILE.` 如果为“y”，则表示发送至新版 Edge 体验的 TLS 请求会在以下时间后终止：负载平衡器，之后该负载平衡器会使用 HTTP 将请求转发到 New Edge 体验。如果您在负载平衡器上终止 TLS，则仍需使用新版 Edge 请注意，原始请求是通过 TLS 发送的。例如，某些 Cookie 设置了安全标记。您必须将 `MANAGEMENT_UI_SCHEME` 设置为“https”否则，系统将忽略 `MANAGEMENT_UI_TLS_OFFLOAD`： MANAGEMENT_UI_SCHEME=https MANAGEMENT_UI_TLS_OFFLOAD=y	是
`MANAGEMENT_UI_TLS_KEY_FILE` `MANAGEMENT_UI_TLS_CERT_FILE`	如果为 `MANAGEMENT_UI_TLS_OFFLOAD=n`，请指定绝对路径 TLS 密钥和证书文件这些文件必须格式化为 PEM 文件，没有口令，并且必须由“apigee”拥有用户。建议将这些文件存储到以下位置： /opt/apigee/customer/application/edge-management-ui 如果该目录不存在，请创建该目录。如果为 `MANAGEMENT_UI_TLS_OFFLOAD=y`，则省略 `MANAGEMENT_UI_TLS_KEY_FILE` 和 `MANAGEMENT_UI_TLS_CERT_FILE.` 它们会被忽略，因为向全新 Edge 体验通过 HTTP 提供。	如果`MANAGEMENT_UI_TLS_OFFLOAD=n`，则为是
`MANAGEMENT_UI_PUBLIC_URIS`	如果为 `MANAGEMENT_UI_TLS_OFFLOAD=n`，请指定新版 Edge 体验的网址。根据配置文件中的其他属性设置此属性。例如： MANAGEMENT_UI_PUBLIC_URIS=`$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT` 其中： `MANAGEMENT_UI_SCHEME` 指定协议“http”或“https”开头，如上所述。 `MANAGEMENT_UI_IP` 指定新版 Edge 体验的 IP 地址或 DNS 名称。 `MANAGEMENT_UI_PORT` 指定新版 Edge 体验使用的端口。请参阅安装全新 Edge 体验，详细了解这些属性。如果为 `MANAGEMENT_UI_TLS_OFFLOAD=y`： `MANAGEMENT_UI_IP` 指定负载平衡器的 IP 地址或 DNS 名称。非新版 Edge 体验。负载平衡器和新 UE 必须对请求使用相同的端口号，例如 3001。使用 `MANAGEMENT_UI_PORT` 指定负载平衡器和新 UE 上的端口号。	是
`SHOEHORN_SCHEME`	在安装新版 Edge 之前，您需要先安装名为 shoehorn 的 Edge 基本界面。安装配置文件使用以下属性用于指定用于访问 Edge 基本界面的协议“http”： SHOEHORN_SCHEME=http 基本 Edge 界面不支持 TLS，因此即使您在新版 Edge 上启用 TLS，此属性必须仍设置为“http”。	是，并设置为“http”

配置 TLS

如需为新版 Edge 配置 TLS 访问权限，请执行以下操作：

以不含密码的 PEM 文件形式生成 TLS 证书和密钥。例如：
```
mykey.pem
mycert.pem
```
您可以通过多种方式生成 TLS 证书和密钥。例如，您可以执行以下命令命令生成未签名的证书和密钥：
```
openssl req -x509 -newkey rsa:4096 -keyout mykey.pem -out mycert.pem -days 365 -nodes -subj '/CN=localhost'
```
注意：您通常不会在生产环境中使用未签名的证书和密钥。
将密钥文件和证书文件复制到 /opt/apigee/customer/application/edge-management-ui 目录。如果该目录不存在，请创建该目录。

确保证书和密钥归“apigee”所有用户：

chown apigee:apigee /opt/apigee/customer/application/edge-management-ui/*.pem

修改您用于安装新版 Edge 体验的配置文件，设置以下 TLS 属性：

# Set to https to enable TLS.
MANAGEMENT_UI_SCHEME=https 
# Do NOT terminate TLS on a load balancer.
MANAGEMENT_UI_TLS_OFFLOAD=n

# Specify the key and cert. 
MANAGEMENT_UI_TLS_KEY_FILE=/opt/apigee/customer/application/edge-management-ui/mykey.pem
MANAGEMENT_UI_TLS_CERT_FILE=/opt/apigee/customer/application/edge-management-ui/mycert.pem

# Leave these properties set to the same values as when you installed the New Edge experience:
MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT
SHOEHORN_SCHEME=http

执行以下命令以配置 TLS：
```
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
```
其中，configFile 是配置文件的名称。

脚本会重启新版 Edge。
运行以下命令以设置和重启 shoehorn：
```
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
```
重启后，新版 Edge 将支持通过 HTTPS 访问。如果您在启用 TLS 后无法登录新版 Edge，请清除浏览器缓存，然后尝试重新登录。

配置在负载平衡器上终止 TLS 时的新 Edge 体验

如果您有将请求转发到新版 Edge 体验的负载平衡器，则可能需要选择终止负载平衡器上的 TLS 连接负载平衡器通过 HTTP 将请求转发到新版 Edge：

此配置受支持但您需要相应地配置负载平衡器和 New Edge 体验。

如需在负载平衡器上终止 TLS 时配置新 Edge 体验，请执行以下操作：

修改您用于安装新版 Edge 体验的配置文件，设置以下 TLS 属性：

# Set to https to enable TLS
MANAGEMENT_UI_SCHEME=https
# Terminate TLS on a load balancer
MANAGEMENT_UI_TLS_OFFLOAD=y
# Set to the IP address or DNS name of the load balancer.
MANAGEMENT_UI_IP=LB_IP_DNS
# Set to the port number for the load balancer and New Edge experience.
# The load balancer and the New Edge experience must use the same port number.
MANAGEMENT_UI_IP=3001

# Leave these properties set to the same values as when you installed the New Edge experience:
MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT
SHOEHORN_SCHEME=http

如果您设置了 MANAGEMENT_UI_TLS_OFFLOAD=y，请省略 MANAGEMENT_UI_TLS_KEY_FILE 和 MANAGEMENT_UI_TLS_CERT_FILE. 它们会被忽略，因为发送到新版 Edge 体验的请求是通过 HTTP 传入的。

执行以下命令以配置 TLS：
```
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
```
其中，configFile 是配置文件的名称。

脚本会重启新版 Edge。
运行以下命令以设置和重启 shoehorn：
```
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
```
重启后，新版 Edge 将支持通过 HTTPS 访问。如果您在启用 TLS 后无法登录新版 Edge，请清除浏览器缓存，然后尝试重新登录。

在新版 Edge 上停用 TLS

如需在新版 Edge 上停用 TLS，请执行以下操作：

修改您用于安装新版 Edge 体验的配置文件，以便以下 TLS 属性：

# Set to http to disable TLS.
MANAGEMENT_UI_SCHEME=http

# Only if you had terminated TLS on a load balancer,
# reset to the IP address or DNS name of the New Edge experience.
MANAGEMENT_UI_IP=newue_IP_DNS

执行以下命令以停用 TLS：
```
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
```
其中，configFile 是配置文件的名称。

脚本会重启新版 Edge。
运行以下命令以设置和重启 shoehorn：
```
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
```
您现在可以通过 HTTP 访问新版 Edge 体验了。如果您在停用 TLS 后无法登录新版 Edge，请清除浏览器缓存，然后尝试重新登录。