Эта страница переведена с помощью Cloud Translation API.

Настройка TLS для работы с New Edge

Edge для частного облака v4.19.01

По умолчанию вы получаете доступ к интерфейсу New Edge через HTTP, используя IP-адрес или DNS-имя узла интерфейса New Edge и порт 3001. Например:

http://newue_IP:3001

Альтернативно вы можете настроить доступ TLS к интерфейсу New Edge, чтобы иметь к нему доступ в форме:

https://newue_IP:3001

Требования TLS

Интерфейс New Edge поддерживает только TLS v1.2. Если вы включите TLS в интерфейсе New Edge, пользователи должны будут подключиться к интерфейсу New Edge с помощью браузера, совместимого с TLS v1.2.

Свойства конфигурации TLS

Выполните следующую команду, чтобы настроить TLS для работы с New Edge:

/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

Где configFile — это файл конфигурации, который вы использовали для установки интерфейса New Edge.

Прежде чем выполнить эту команду, необходимо отредактировать файл конфигурации, чтобы установить необходимые свойства, управляющие TLS. В следующей таблице описаны свойства, которые вы используете для настройки TLS для интерфейса New Edge:

Свойство	Описание	Необходимый?
`MANAGEMENT_UI_SCHEME`	Устанавливает протокол «http» или «https», используемый для доступа к интерфейсу New Edge. Значение по умолчанию — «http». Установите для него значение «https», чтобы включить TLS: MANAGEMENT_UI_SCHEME=https	Да
`MANAGEMENT_UI_TLS_OFFLOAD`	Если «n», указывает, что запросы TLS к интерфейсу New Edge завершаются в интерфейсе New Edge. Вы должны установить `MANAGEMENT_UI_TLS_KEY_FILE` и `MANAGEMENT_UI_TLS_CERT_FILE.` Если «y» указывает, что запросы TLS к интерфейсу New Edge завершаются на балансировщике нагрузки, а затем балансировщик нагрузки перенаправляет запрос на интерфейс New Edge с помощью HTTP. Если вы отключите TLS на балансировщике нагрузки, New Edge все равно должен знать, что исходный запрос поступил через TLS. Например, для некоторых файлов cookie установлен флаг безопасности. Вы должны установить для `MANAGEMENT_UI_SCHEME` значение «https», иначе `MANAGEMENT_UI_TLS_OFFLOAD` будет игнорироваться: MANAGEMENT_UI_SCHEME=https MANAGEMENT_UI_TLS_OFFLOAD=y	Да
`MANAGEMENT_UI_TLS_KEY_FILE` `MANAGEMENT_UI_TLS_CERT_FILE`	Если `MANAGEMENT_UI_TLS_OFFLOAD=n` , указывает абсолютный путь к файлам ключа TLS и сертификатов. Файлы должны быть отформатированы как файлы PEM без парольной фразы и должны принадлежать пользователю «apigee». Рекомендуемое расположение этих файлов: /opt/apigee/customer/application/edge-management-ui Если этот каталог не существует, создайте его. Если `MANAGEMENT_UI_TLS_OFFLOAD=y` , опустите `MANAGEMENT_UI_TLS_KEY_FILE` и `MANAGEMENT_UI_TLS_CERT_FILE.` Они игнорируются, поскольку запросы к New Edge поступают через HTTP.	Да, если `MANAGEMENT_UI_TLS_OFFLOAD=n`
`MANAGEMENT_UI_PUBLIC_URIS`	Если `MANAGEMENT_UI_TLS_OFFLOAD=n` указывает URL-адрес интерфейса New Edge. Установите это свойство на основе других свойств в файле конфигурации. Например: MANAGEMENT_UI_PUBLIC_URIS=`$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT` Где: `MANAGEMENT_UI_SCHEME` указывает протокол «http» или «https», как описано выше. `MANAGEMENT_UI_IP` указывает IP-адрес или DNS-имя интерфейса New Edge. `MANAGEMENT_UI_PORT` указывает порт, используемый интерфейсом New Edge. Дополнительные сведения об этих свойствах см. в разделе Установка New Edge Experience . Если `MANAGEMENT_UI_TLS_OFFLOAD=y` : `MANAGEMENT_UI_IP` указывает IP-адрес или DNS-имя балансировщика нагрузки , а не интерфейса New Edge. Балансировщик нагрузки и новое UE должны использовать один и тот же номер порта для запросов, например 3001. Используйте `MANAGEMENT_UI_PORT` , чтобы указать номер порта на балансировщике нагрузки и на новом UE.	Да
`SHOEHORN_SCHEME`	Прежде чем устанавливать интерфейс New Edge , сначала необходимо установить базовый пользовательский интерфейс Edge, называемый Shohorn . В файле конфигурации установки используется следующее свойство для указания протокола «http», используемого для доступа к базовому пользовательскому интерфейсу Edge: SHOEHORN_SCHEME=http Базовый пользовательский интерфейс Edge не поддерживает TLS, поэтому даже если вы включаете TLS в интерфейсе New Edge, для этого свойства все равно должно быть установлено значение «http».	Да и установите «http»

Настроить TLS

Чтобы настроить доступ TLS к интерфейсу New Edge:

Создайте сертификат и ключ TLS в виде файлов PEM без парольной фразы. Например:
```
mykey.pem
mycert.pem
```
Существует множество способов создания сертификата и ключа TLS. Например, вы можете выполнить следующую команду, чтобы сгенерировать неподписанный сертификат и ключ:
```
openssl req -x509 -newkey rsa:4096 -keyout mykey.pem -out mycert.pem -days 365 -nodes -subj '/CN=localhost'
```
Примечание. Обычно в производственной среде неиспользуемые сертификат и ключ не используются.
Скопируйте файлы ключа и сертификата в каталог /opt/apigee/customer/application/edge-management-ui . Если этот каталог не существует, создайте его.
Убедитесь, что сертификат и ключ принадлежат пользователю «apigee»:
```
chown apigee:apigee /opt/apigee/customer/application/edge-management-ui/*.pem
```

Отредактируйте файл конфигурации, который вы использовали для установки интерфейса New Edge, чтобы установить следующие свойства TLS :

# Set to https to enable TLS.
MANAGEMENT_UI_SCHEME=https 
# Do NOT terminate TLS on a load balancer.
MANAGEMENT_UI_TLS_OFFLOAD=n

# Specify the key and cert. 
MANAGEMENT_UI_TLS_KEY_FILE=/opt/apigee/customer/application/edge-management-ui/mykey.pem
MANAGEMENT_UI_TLS_CERT_FILE=/opt/apigee/customer/application/edge-management-ui/mycert.pem

# Leave these properties set to the same values as when you installed the New Edge experience:
MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT
SHOEHORN_SCHEME=http

Выполните следующую команду для настройки TLS:
```
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
```
Где configFile — имя файла конфигурации.
Скрипт перезапускает работу New Edge.
Выполните следующие команды, чтобы настроить и перезапустить рожок для обуви:
```
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
```
После перезапуска интерфейс New Edge поддерживает доступ по протоколу HTTPS. Если вы не можете войти в систему New Edge после включения TLS, очистите кеш браузера и попробуйте войти снова.

Настройте работу New Edge, когда TLS завершается на балансировщике нагрузки.

Если у вас есть балансировщик нагрузки, который пересылает запросы в интерфейс New Edge, вы можете прекратить соединение TLS на балансировщике нагрузки, а затем перенаправить запросы балансировщика нагрузки в интерфейс New Edge через HTTP:

Завершить TLS на балансировщике нагрузки

Эта конфигурация поддерживается, но вам необходимо соответствующим образом настроить балансировщик нагрузки и возможности New Edge.

Чтобы настроить работу New Edge при завершении TLS на балансировщике нагрузки:

Отредактируйте файл конфигурации, который вы использовали для установки интерфейса New Edge, чтобы установить следующие свойства TLS :
Примечание. При включении TLS необходимо передать полный файл конфигурации, который вы использовали для установки интерфейса New Edge.
```
# Set to https to enable TLS
MANAGEMENT_UI_SCHEME=https
# Terminate TLS on a load balancer
MANAGEMENT_UI_TLS_OFFLOAD=y
# Set to the IP address or DNS name of the load balancer.
MANAGEMENT_UI_IP=LB_IP_DNS
# Set to the port number for the load balancer and New Edge experience.
# The load balancer and the New Edge experience must use the same port number.
MANAGEMENT_UI_IP=3001

# Leave these properties set to the same values as when you installed the New Edge experience:
MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT
SHOEHORN_SCHEME=http
```
Если вы установили MANAGEMENT_UI_TLS_OFFLOAD=y , опустите MANAGEMENT_UI_TLS_KEY_FILE и MANAGEMENT_UI_TLS_CERT_FILE. Они игнорируются, поскольку запросы к New Edge поступают через HTTP.
Выполните следующую команду для настройки TLS:
```
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
```
Где configFile — имя файла конфигурации.
Скрипт перезапускает работу New Edge.
Выполните следующие команды, чтобы настроить и перезапустить рожок для обуви:
```
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
```
После перезапуска интерфейс New Edge поддерживает доступ по протоколу HTTPS. Если вы не можете войти в систему New Edge после включения TLS, очистите кеш браузера и попробуйте войти снова.

Отключите TLS в интерфейсе New Edge

Чтобы отключить TLS в интерфейсе New Edge:

Отредактируйте файл конфигурации, который вы использовали для установки интерфейса New Edge, чтобы установить следующее свойство TLS :
Примечание. При отключении TLS необходимо передать полный файл конфигурации, который вы использовали для установки интерфейса New Edge.
```
# Set to http to disable TLS.
MANAGEMENT_UI_SCHEME=http

# Only if you had terminated TLS on a load balancer,
# reset to the IP address or DNS name of the New Edge experience.
MANAGEMENT_UI_IP=newue_IP_DNS
```
Выполните следующую команду, чтобы отключить TLS:
```
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
```
Где configFile — имя файла конфигурации.
Скрипт перезапускает работу New Edge.
Выполните следующие команды, чтобы настроить и перезапустить рожок для обуви:
```
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
```
Теперь вы можете получить доступ к возможностям New Edge через HTTP. Если вы не можете войти в систему New Edge после отключения TLS, очистите кеш браузера и попробуйте войти снова.