Configura TLS para la nueva IU de Edge

De forma predeterminada, accedes a la Nueva IU de Edge a través de HTTP mediante la dirección IP o el nombre de DNS del nodo de la IU de Edge y el puerto 3001. Por ejemplo:

http://newue_IP:3001

Como alternativa, puedes configurar el acceso TLS a la IU de Edge para que puedes acceder a él del siguiente formato:

https://newue_IP:3001

Requisitos de TLS

La IU de Edge solo es compatible con TLS v1.2. Si habilitas TLS en la IU de Edge, Los usuarios deben conectarse a la IU de Edge con un navegador compatible con TLS v1.2.

Propiedades de configuración de TLS

Ejecuta el siguiente comando a fin de configurar TLS para la IU de Edge:

/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

En el que configFile es el archivo de configuración que usaste para instalar el IU de Edge

Antes de ejecutar este comando, debes editar el archivo de configuración para establecer las propiedades necesarias que controlan TLS. En la siguiente tabla, se describen las Propiedades que usas para configurar TLS en la IU de Edge:

Propiedad Descripción ¿Obligatorio?
MANAGEMENT_UI_SCHEME

Establece el protocolo, "http". o “https”, que se usan para acceder a la IU de Edge. El valor predeterminado es "http". Establécelo en "https". Para habilitar TLS, haz lo siguiente:

MANAGEMENT_UI_SCHEME=https
MANAGEMENT_UI_TLS_OFFLOAD

Si es “n”, especifica que las solicitudes de TLS a la IU de Edge se finalizan en la IU de Edge. Debes configurar MANAGEMENT_UI_TLS_KEY_FILE y MANAGEMENT_UI_TLS_CERT_FILE.

Si es “y”, especifica que las solicitudes de TLS a la IU perimetral finalizan en un balanceador de cargas, y que este reenvíe la solicitud a la IU de Edge con HTTP.

Si finalizas TLS en el balanceador de cargas, la IU de Edge aún necesita ten en cuenta que la solicitud original llegó a través de TLS. Por ejemplo, algunas cookies tienen establecida una marca Secure.

Debes configurar MANAGEMENT_UI_SCHEME como "https". De lo contrario, se ignorará MANAGEMENT_UI_TLS_OFFLOAD:

MANAGEMENT_UI_SCHEME=https
MANAGEMENT_UI_TLS_OFFLOAD=y
MANAGEMENT_UI_TLS_KEY_FILE

MANAGEMENT_UI_TLS_CERT_FILE

Si es MANAGEMENT_UI_TLS_OFFLOAD=n, especifica la ruta de acceso absoluta. a la clave TLS y a los archivos de certificación. Los archivos deben tener el formato de archivos PEM con frase de contraseña y debe ser propiedad de la API de “Apigee” usuario.

La ubicación recomendada para estos archivos es la siguiente:

/opt/apigee/customer/application/edge-management-ui

Si ese directorio no existe, créalo.

Si es MANAGEMENT_UI_TLS_OFFLOAD=y, omite MANAGEMENT_UI_TLS_KEY_FILE. y MANAGEMENT_UI_TLS_CERT_FILE. Se ignoran porque las solicitudes al La IU de Edge llega a través de HTTP.

Sí, si MANAGEMENT_UI_TLS_OFFLOAD=n
MANAGEMENT_UI_PUBLIC_URIS

Si es MANAGEMENT_UI_TLS_OFFLOAD=n, especifica la URL de la IU de Edge.

Configura esta propiedad en función de otras propiedades del archivo de configuración. Por ejemplo:

MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT

Aquí:

  • MANAGEMENT_UI_SCHEME especifica el protocolo "http". o "https", como se describió anteriormente.
  • MANAGEMENT_UI_IP especifica la dirección IP o el nombre de DNS de la IU de Edge.
  • MANAGEMENT_UI_PORT especifica el puerto que usa la IU de Edge.

Consulta Instala la nueva IU de Edge para obtener más información sobre estas propiedades.

Si es MANAGEMENT_UI_TLS_OFFLOAD=y:

  • MANAGEMENT_UI_IP especifica la dirección IP o el nombre de DNS del balanceador de cargas. no de la IU de Edge.
  • El balanceador de cargas y el nuevo UE deben usar el mismo número de puerto para las solicitudes, por ejemplo, 3001. Usa MANAGEMENT_UI_PORT para especificar el número de puerto en el balanceador de cargas y en el nuevo UE.

MANAGEMENT_UI_TLS_ALLOWED_CIPHERS

Define la lista de cifrados de TLS disponibles como una string separada por comas o espacios.

Cadena separada por comas:

MANAGEMENT_UI_TLS_ALLOWED_CIPHERS=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

Cadena separada por espacios entre comillas dobles:

MANAGEMENT_UI_TLS_ALLOWED_CIPHERS="TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
SHOEHORN_SCHEME

Antes de instalar la nueva IU de Edge, haz lo siguiente: Primero, instales la IU básica de Edge, llamada shoehorn. El archivo de configuración de instalación usa la siguiente propiedad a fin de especificar el protocolo, “http”, que se usa para acceder a la IU base de Edge:

SHOEHORN_SCHEME=http

La IU básica de Edge no es compatible con TLS, por lo que, incluso cuando habilitas TLS en la IU de Edge, esta propiedad se debe configurar como "http".

Sí, y se configuró como "http"

Configura TLS

Para configurar el acceso de TLS a la IU de Edge, sigue estos pasos:

  1. Genera el certificado y la clave TLS como archivos PEM sin frase de contraseña. Por ejemplo:

    mykey.pem
    mycert.pem

    Existen muchas formas de generar un certificado y una clave TLS. Por ejemplo, puedes ejecutar el siguiente comando: para generar un certificado y una clave sin firmar:

    openssl req -x509 -newkey rsa:4096 -keyout mykey.pem -out mycert.pem -days 365 -nodes -subj '/CN=localhost'
  2. Copia los archivos de clave y certificado en el directorio /opt/apigee/customer/application/edge-management-ui. Si ese directorio no existe, créalo.
  3. Asegúrate de que el certificado y la clave sean propiedad de “apigee” usuario:

    chown apigee:apigee /opt/apigee/customer/application/edge-management-ui/*.pem
  4. Edita el archivo de configuración que usaste para instalar la IU de Edge establece las siguientes propiedades de TLS:

    # Set to https to enable TLS.
    MANAGEMENT_UI_SCHEME=https 
    # Do NOT terminate TLS on a load balancer.
    MANAGEMENT_UI_TLS_OFFLOAD=n
    
    # Specify the key and cert. 
    MANAGEMENT_UI_TLS_KEY_FILE=/opt/apigee/customer/application/edge-management-ui/mykey.pem
    MANAGEMENT_UI_TLS_CERT_FILE=/opt/apigee/customer/application/edge-management-ui/mycert.pem
    
    # Leave these properties set to the same values as when you installed the Edge UI:
    MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT
    SHOEHORN_SCHEME=http
  5. Ejecuta el siguiente comando para configurar TLS:

    /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

    En el ejemplo anterior, configFile es el nombre del archivo de configuración.

    La secuencia de comandos reinicia la IU de Edge.

  6. Ejecuta los siguientes comandos para configurar y reiniciar shoehorn:

    /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

    Después del reinicio, la IU de Edge admite el acceso a través de HTTPS. Si no puedes acceder a la IU de Edge después de habilitar TLS, borra los en la caché del navegador e intenta acceder nuevamente.

Configura la IU de Edge cuando TLS finalice en el balanceador de cargas

Si tienes un balanceador de cargas que reenvía solicitudes a la IU de Edge, podrías elegir finalizar la conexión TLS en el balanceador de cargas y, luego, solicitar que el balanceador de cargas reenvíe las solicitudes a la IU de Edge a través de HTTP:

Finaliza TLS en el balanceador de cargas

Se admite esta configuración pero debes configurar el balanceador de cargas y la IU de Edge según corresponda.

Para configurar la IU de Edge cuando TLS finalice en el balanceador de cargas, sigue estos pasos:

  1. Edita el archivo de configuración que usaste para instalar la IU de Edge establece las siguientes propiedades de TLS:

    # Set to https to enable TLS
    MANAGEMENT_UI_SCHEME=https
    # Terminate TLS on a load balancer
    MANAGEMENT_UI_TLS_OFFLOAD=y
    # Set to the IP address or DNS name of the load balancer.
    MANAGEMENT_UI_IP=LB_IP_DNS
    # Set to the port number for the load balancer and Edge UI.
    # The load balancer and the Edge UI must use the same port number.
    MANAGEMENT_UI_IP=3001
    
    # Leave these properties set to the same values as when you installed the Edge UI:
    MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT
    SHOEHORN_SCHEME=http
    

    Si estableces MANAGEMENT_UI_TLS_OFFLOAD=y, omite MANAGEMENT_UI_TLS_KEY_FILE. y MANAGEMENT_UI_TLS_CERT_FILE. Se ignoran porque las solicitudes a la IU perimetral vienen a través de HTTP.

  2. Ejecuta el siguiente comando para configurar TLS:

    /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

    En el ejemplo anterior, configFile es el nombre del archivo de configuración.

    La secuencia de comandos reinicia la IU de Edge.

  3. Ejecuta los siguientes comandos para configurar y reiniciar shoehorn:

    /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

    Después del reinicio, la IU de Edge admite el acceso a través de HTTPS. Si no puedes acceder a la IU de Edge después de habilitar TLS, borra los en la caché del navegador e intenta acceder nuevamente.

Inhabilita TLS en la IU de Edge

Para inhabilitar TLS en la IU de Edge, sigue estos pasos:

  1. Edita el archivo de configuración que usaste para instalar la IU de Edge para establecer la siguiente propiedad de TLS:

    # Set to http to disable TLS.
    MANAGEMENT_UI_SCHEME=http
    
    # Only if you had terminated TLS on a load balancer,
    # reset to the IP address or DNS name of the Edge UI.
    MANAGEMENT_UI_IP=newue_IP_DNS
    
  2. Ejecuta el siguiente comando para inhabilitar TLS:

    /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

    En el ejemplo anterior, configFile es el nombre del archivo de configuración.

    La secuencia de comandos reinicia la IU de Edge.

  3. Ejecuta los siguientes comandos para configurar y reiniciar shoehorn:

    /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

    Ahora puedes acceder a la IU de Edge a través de HTTP. Si no puedes acceder a la IU de Edge después de inhabilitar TLS, borra el en la caché del navegador e intenta acceder nuevamente.