הגדרת TLS לממשק המשתמש החדש של Edge

כברירת מחדל, אפשר לגשת לממשק המשתמש החדש של Edge באמצעות HTTP באמצעות כתובת ה-IP או שם ה-DNS של צומת ממשק המשתמש של Edge ויציאה 3001. לדוגמה:

http://newue_IP:3001

לחלופין, תוכלו להגדיר גישת TLS לממשק המשתמש של Edge כך שתוכלו לגשת אליה באמצעות הטופס:

https://newue_IP:3001

דרישות ל-TLS (אבטחת שכבת התעבורה)

ממשק המשתמש של Edge תומך רק ב-TLS (אבטחת שכבת התעבורה) בגרסה 1.2. אם מפעילים את TLS בממשק המשתמש של Edge, המשתמשים חייבים להתחבר לממשק המשתמש של Edge באמצעות דפדפן שתואם ל-TLS v1.2.

מאפייני תצורת TLS

כדי להגדיר TLS עבור ממשק המשתמש של Edge, מריצים את הפקודה הבאה:

/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

כאשר configFile הוא קובץ התצורה שבו השתמשת כדי להתקין את ממשק המשתמש של Edge.

לפני הרצת הפקודה הזו, צריך לערוך את קובץ התצורה כדי להגדיר את המאפיינים הנדרשים ששולטים ב-TLS. בטבלה הבאה מתוארים המאפיינים שמשמשים להגדרת TLS בממשק המשתמש של Edge:

נכס התיאור חובה?
MANAGEMENT_UI_SCHEME

מגדיר את הפרוטוקול המשמש לגישה לממשק המשתמש של Edge, "http" או "https". ערך ברירת המחדל הוא "http". הגדר אותו ל-"https" כדי להפעיל TLS:

MANAGEMENT_UI_SCHEME=https
כן
MANAGEMENT_UI_TLS_OFFLOAD

אם הערך 'n' מציין שבקשות TLS לממשק המשתמש של Edge מסתיימות בממשק המשתמש של Edge. צריך להגדיר את MANAGEMENT_UI_TLS_KEY_FILE ואת MANAGEMENT_UI_TLS_CERT_FILE.

אם הערך "y" מציין שבקשות TLS לממשק המשתמש של Edge מסתיימות במאזן עומסים, ומאזן העומסים מעביר את הבקשה לממשק המשתמש של Edge באמצעות HTTP.

גם אם סוגרים את ה-TLS במאזן העומסים, ממשק המשתמש של Edge עדיין צריך להיות מודע לכך שהבקשה המקורית הגיעה באמצעות TLS. לדוגמה, קובצי cookie מסוימים כוללים דגלי אבטחה.

צריך להגדיר את MANAGEMENT_UI_SCHEME ל-"https", אחרת המערכת תתעלם מ-MANAGEMENT_UI_TLS_OFFLOAD:

MANAGEMENT_UI_SCHEME=https
MANAGEMENT_UI_TLS_OFFLOAD=y
כן
MANAGEMENT_UI_TLS_KEY_FILE

MANAGEMENT_UI_TLS_CERT_FILE

אם הפרמטר MANAGEMENT_UI_TLS_OFFLOAD=n מציין את הנתיב המוחלט למפתח ה-TLS ולקובצי האישור. הקבצים חייבים להיות בפורמט של קובצי PEM ללא ביטוי סיסמה, ועליהם להיות בבעלות משתמש ה-APIgee.

המיקום המומלץ לקבצים האלה הוא:

/opt/apigee/customer/application/edge-management-ui

אם הספרייה לא קיימת, יוצרים אותה.

אם MANAGEMENT_UI_TLS_OFFLOAD=y, משמיטים את הערכים MANAGEMENT_UI_TLS_KEY_FILE ו-MANAGEMENT_UI_TLS_CERT_FILE. כי בקשות לממשק המשתמש של Edge מגיעות דרך HTTP.

כן אם MANAGEMENT_UI_TLS_OFFLOAD=n
MANAGEMENT_UI_PUBLIC_URIS

אם המדיניות MANAGEMENT_UI_TLS_OFFLOAD=n, מציינת את כתובת ה-URL של ממשק המשתמש של Edge.

אפשר להגדיר את המאפיין הזה על סמך מאפיינים אחרים בקובץ התצורה. לדוגמה:

MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT

כאשר:

  • MANAGEMENT_UI_SCHEME מציין את הפרוטוקול, "http" או "https", כפי שמתואר למעלה.
  • MANAGEMENT_UI_IP מציין את כתובת ה-IP או את שם ה-DNS של ממשק המשתמש של Edge.
  • MANAGEMENT_UI_PORT מציינת את היציאה שבה משתמש ממשק המשתמש של Edge.

מידע נוסף על המאפיינים האלה זמין במאמר התקנת ממשק המשתמש החדש של Edge.

אם MANAGEMENT_UI_TLS_OFFLOAD=y:

  • MANAGEMENT_UI_IP מציין את כתובת ה-IP או את שם ה-DNS של מאזן העומסים, לא של ממשק המשתמש של Edge.
  • מאזן העומסים וה-UE החדש חייבים להשתמש באותו מספר יציאה לבקשות, לדוגמה 3001. יש להשתמש ב-MANAGEMENT_UI_PORT כדי לציין את מספר היציאה במאזן העומסים וב-UE החדש.

כן

MANAGEMENT_UI_TLS_ALLOWED_CIPHERS

מגדיר את הרשימה של הצפנות הזמינות של TLS כמחרוזת מופרדת בפסיקים או מופרדת ברווחים.

מחרוזת שמופרדת בפסיקים:

MANAGEMENT_UI_TLS_ALLOWED_CIPHERS=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

מחרוזת שמופרדת באמצעות רווח ומוקפת במירכאות כפולות:

MANAGEMENT_UI_TLS_ALLOWED_CIPHERS="TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"

SHOEHORN_SCHEME

לפני שמתקינים את ממשק המשתמש החדש של Edge, צריך להתקין את ממשק המשתמש הבסיסי של Edge, שנקרא shoehor. בקובץ תצורת ההתקנה נעשה שימוש במאפיין הבא כדי לציין את הפרוטוקול המשמש לגישה לממשק המשתמש הבסיסי של Edge, שנקרא "http":

SHOEHORN_SCHEME=http

ממשק המשתמש הבסיסי של Edge לא תומך ב-TLS, לכן גם כשמפעילים TLS בממשק המשתמש של Edge, המאפיין הזה עדיין צריך להיות מוגדר כ-"http".

כן, מוגדר ל-http

הגדרת TLS (אבטחת שכבת התעבורה)

כך מגדירים גישת TLS לממשק המשתמש של Edge:

  1. ליצור את האישור והמפתח של ה-TLS כקובצי PEM ללא ביטוי סיסמה. לדוגמה:

    mykey.pem
    mycert.pem

    יש דרכים רבות ליצור אישור ומפתח TLS. לדוגמה, אפשר להריץ את הפקודה הבאה כדי ליצור אישור ומפתח לא חתומים:

    openssl req -x509 -newkey rsa:4096 -keyout mykey.pem -out mycert.pem -days 365 -nodes -subj '/CN=localhost'
  2. מעתיקים את המפתח ואת קובצי האישור לספרייה /opt/apigee/customer/application/edge-management-ui. אם הספרייה לא קיימת, יוצרים אותה.
  3. מוודאים שהאישור והמפתח הם בבעלות משתמש ה-APIgee:

    chown apigee:apigee /opt/apigee/customer/application/edge-management-ui/*.pem
  4. עורכים את קובץ התצורה שבו השתמשתם כדי להתקין את ממשק המשתמש של Edge כדי להגדיר את מאפייני ה-TLS הבאים:

    # Set to https to enable TLS.
    MANAGEMENT_UI_SCHEME=https 
    # Do NOT terminate TLS on a load balancer.
    MANAGEMENT_UI_TLS_OFFLOAD=n
    
    # Specify the key and cert. 
    MANAGEMENT_UI_TLS_KEY_FILE=/opt/apigee/customer/application/edge-management-ui/mykey.pem
    MANAGEMENT_UI_TLS_CERT_FILE=/opt/apigee/customer/application/edge-management-ui/mycert.pem
    
    # Leave these properties set to the same values as when you installed the Edge UI:
    MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT
    SHOEHORN_SCHEME=http
  5. כדי להגדיר TLS, מריצים את הפקודה הבאה:

    /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

    כאשר configFile הוא השם של קובץ התצורה.

    הסקריפט מפעיל מחדש את ממשק המשתמש של Edge.

  6. מריצים את הפקודות הבאות כדי להגדיר ולהפעיל מחדש את shoern:

    /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

    אחרי ההפעלה מחדש, ממשק המשתמש של Edge תומך בגישה באמצעות HTTPS. אם לא הצלחת להתחבר לממשק המשתמש של Edge אחרי הפעלת ה-TLS (אבטחת שכבת התעבורה), צריך לנקות את המטמון של הדפדפן ולנסות להתחבר שוב.

הגדרת ממשק המשתמש של Edge כשמסתיימת TLS במאזן העומסים

אם יש לכם מאזן עומסים שמעביר בקשות לממשק המשתמש של Edge, אתם יכולים לסיים את חיבור ה-TLS במאזן העומסים, ואז לבקש להעביר בקשות ממאזן העומסים לממשק המשתמש של Edge באמצעות HTTP:

סיום TLS במאזן עומסים

יש תמיכה בתצורה הזו, אבל צריך להגדיר את מאזן העומסים ואת ממשק המשתמש של Edge בהתאם.

כדי להגדיר את ממשק המשתמש של Edge כאשר TLS מסתיים במאזן העומסים:

  1. עורכים את קובץ התצורה שבו השתמשתם כדי להתקין את ממשק המשתמש של Edge כדי להגדיר את מאפייני ה-TLS הבאים:

    # Set to https to enable TLS
    MANAGEMENT_UI_SCHEME=https
    # Terminate TLS on a load balancer
    MANAGEMENT_UI_TLS_OFFLOAD=y
    # Set to the IP address or DNS name of the load balancer.
    MANAGEMENT_UI_IP=LB_IP_DNS
    # Set to the port number for the load balancer and Edge UI.
    # The load balancer and the Edge UI must use the same port number.
    MANAGEMENT_UI_IP=3001
    
    # Leave these properties set to the same values as when you installed the Edge UI:
    MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT
    SHOEHORN_SCHEME=http
    

    אם מגדירים את MANAGEMENT_UI_TLS_OFFLOAD=y, משמיטים את הערכים MANAGEMENT_UI_TLS_KEY_FILE ו-MANAGEMENT_UI_TLS_CERT_FILE. כי הבקשות לממשק המשתמש של Edge מגיעות דרך HTTP.

  2. כדי להגדיר TLS, מריצים את הפקודה הבאה:

    /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

    כאשר configFile הוא השם של קובץ התצורה.

    הסקריפט מפעיל מחדש את ממשק המשתמש של Edge.

  3. מריצים את הפקודות הבאות כדי להגדיר ולהפעיל מחדש את shoern:

    /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

    אחרי ההפעלה מחדש, ממשק המשתמש של Edge תומך בגישה באמצעות HTTPS. אם לא הצלחת להתחבר לממשק המשתמש של Edge אחרי הפעלת ה-TLS (אבטחת שכבת התעבורה), צריך לנקות את המטמון של הדפדפן ולנסות להתחבר שוב.

השבתת TLS בממשק המשתמש של Edge

כדי להשבית TLS בממשק המשתמש של Edge:

  1. עורכים את קובץ התצורה שבו השתמשתם כדי להתקין את ממשק המשתמש של Edge כדי להגדיר את מאפיין ה-TLS הבא:

    # Set to http to disable TLS.
    MANAGEMENT_UI_SCHEME=http
    
    # Only if you had terminated TLS on a load balancer,
    # reset to the IP address or DNS name of the Edge UI.
    MANAGEMENT_UI_IP=newue_IP_DNS
    
  2. כדי להשבית TLS, מריצים את הפקודה הבאה:

    /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

    כאשר configFile הוא השם של קובץ התצורה.

    הסקריפט מפעיל מחדש את ממשק המשתמש של Edge.

  3. מריצים את הפקודות הבאות כדי להגדיר ולהפעיל מחדש את shoern:

    /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

    עכשיו אפשר לגשת לממשק המשתמש של Edge באמצעות HTTP. אם אתם לא מצליחים להתחבר לממשק המשתמש של Edge אחרי ההשבתה של TLS (אבטחת שכבת התעבורה), יש לנקות את המטמון של הדפדפן ולנסות להתחבר שוב.