Trang này được dịch bởi Cloud Translation API.

Định cấu hình TLS cho giao diện người dùng Edge mới

Theo mặc định, bạn truy cập vào giao diện người dùng Edge mới qua HTTP bằng cách sử dụng địa chỉ IP hoặc tên DNS của nút giao diện người dùng Edge và cổng 3001. Ví dụ:

http://newue_IP:3001

Ngoài ra, bạn có thể định cấu hình quyền truy cập TLS vào giao diện người dùng Edge để có thể truy cập vào giao diện này dưới dạng:

https://newue_IP:3001

Yêu cầu về TLS

Giao diện người dùng Edge chỉ hỗ trợ TLS phiên bản 1.2. Nếu bạn bật TLS trên giao diện người dùng Edge, thì người dùng phải kết nối với giao diện người dùng Edge bằng một trình duyệt tương thích với TLS phiên bản 1.2.

Thuộc tính cấu hình TLS

Thực thi lệnh sau để định cấu hình TLS cho giao diện người dùng Edge:

/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

Trong đó configFile là tệp cấu hình mà bạn đã dùng để cài đặt giao diện người dùng Edge.

Trước khi thực thi lệnh này, bạn phải chỉnh sửa tệp cấu hình để đặt các thuộc tính cần thiết kiểm soát TLS. Bảng sau đây mô tả các thuộc tính mà bạn dùng để định cấu hình TLS cho giao diện người dùng Edge:

Tài sản	Nội dung mô tả	Bắt buộc?
`MANAGEMENT_UI_SCHEME`	Đặt giao thức "http" hoặc "https" để truy cập vào giao diện người dùng Edge. Giá trị mặc định là "http". Đặt thành "https" để bật TLS: MANAGEMENT_UI_SCHEME=https	Có
`MANAGEMENT_UI_TLS_OFFLOAD`	Nếu giá trị là "n", nghĩa là các yêu cầu TLS gửi đến giao diện người dùng Edge sẽ bị chấm dứt trong giao diện người dùng Edge. Bạn phải đặt `MANAGEMENT_UI_TLS_KEY_FILE` và `MANAGEMENT_UI_TLS_CERT_FILE.` Nếu "y" thì chỉ định rằng các yêu cầu TLS đến giao diện người dùng Edge sẽ bị chấm dứt trên một trình cân bằng tải, và sau đó, trình cân bằng tải sẽ chuyển tiếp yêu cầu này đến giao diện người dùng Edge thông qua HTTP. Nếu bạn chấm dứt TLS trên trình cân bằng tải, thì giao diện người dùng Edge vẫn cần nhận biết rằng yêu cầu ban đầu đến qua TLS. Ví dụ: một số cookie đã đặt cờ Bảo mật. Bạn phải đặt `MANAGEMENT_UI_SCHEME` thành "https", nếu không, `MANAGEMENT_UI_TLS_OFFLOAD` sẽ bị bỏ qua: MANAGEMENT_UI_SCHEME=https MANAGEMENT_UI_TLS_OFFLOAD=y	Có
`MANAGEMENT_UI_TLS_KEY_FILE` `MANAGEMENT_UI_TLS_CERT_FILE`	Nếu là `MANAGEMENT_UI_TLS_OFFLOAD=n`, hãy chỉ định đường dẫn tuyệt đối đến khoá TLS và các tệp chứng chỉ. Tệp phải được định dạng là tệp PEM mà không có cụm mật khẩu và phải do người dùng "apigee" sở hữu. Vị trí đề xuất cho các tệp này là: /opt/apigee/customer/application/edge-management-ui Nếu thư mục đó chưa tồn tại, hãy tạo nó. Nếu là `MANAGEMENT_UI_TLS_OFFLOAD=y`, hãy bỏ qua `MANAGEMENT_UI_TLS_KEY_FILE` và `MANAGEMENT_UI_TLS_CERT_FILE.`. Các yêu cầu này sẽ bị bỏ qua vì các yêu cầu đến giao diện người dùng Edge đến qua HTTP.	Có nếu `MANAGEMENT_UI_TLS_OFFLOAD=n`
`MANAGEMENT_UI_PUBLIC_URIS`	Nếu là `MANAGEMENT_UI_TLS_OFFLOAD=n`, hãy chỉ định URL của giao diện người dùng Edge. Thiết lập thuộc tính này dựa trên các thuộc tính khác trong tệp cấu hình. Ví dụ: MANAGEMENT_UI_PUBLIC_URIS=`$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT` Trong trường hợp: `MANAGEMENT_UI_SCHEME` chỉ định giao thức, "http" hoặc "https", như mô tả ở trên. `MANAGEMENT_UI_IP` chỉ định địa chỉ IP hoặc tên DNS của giao diện người dùng Edge. `MANAGEMENT_UI_PORT` chỉ định cổng mà giao diện người dùng Edge sử dụng. Xem bài viết Cài đặt giao diện người dùng Edge mới để biết thêm thông tin về các sản phẩm này. Nếu `MANAGEMENT_UI_TLS_OFFLOAD=y`: `MANAGEMENT_UI_IP` chỉ định địa chỉ IP hoặc tên DNS của trình cân bằng tải, chứ không phải của giao diện người dùng Edge. Trình cân bằng tải và UE mới phải sử dụng cùng một số cổng cho các yêu cầu, ví dụ như 3001. Sử dụng `MANAGEMENT_UI_PORT` để chỉ định số cổng trên trình cân bằng tải và trên UE mới.	Có
`MANAGEMENT_UI_TLS_ALLOWED_CIPHERS`	Xác định danh sách mật mã TLS có sẵn dưới dạng chuỗi được phân tách bằng dấu phẩy hoặc dấu cách. Chuỗi được phân tách bằng dấu phẩy: MANAGEMENT_UI_TLS_ALLOWED_CIPHERS=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 Chuỗi được phân tách bằng dấu cách được đặt trong dấu ngoặc kép: MANAGEMENT_UI_TLS_ALLOWED_CIPHERS="TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
`SHOEHORN_SCHEME`	Trước khi Cài đặt giao diện người dùng Edge mới, trước tiên, bạn cần cài đặt giao diện người dùng Edge cơ sở, có tên là shoehorn. Tệp cấu hình cài đặt sử dụng thuộc tính sau để chỉ định giao thức "http" được dùng để truy cập vào giao diện người dùng Edge cơ sở: SHOEHORN_SCHEME=http Giao diện người dùng Edge cơ sở không hỗ trợ TLS. Vì vậy, ngay cả khi bật TLS trên giao diện người dùng Edge, bạn vẫn phải đặt thuộc tính này thành "http".	Có và đặt thành "http"

Định cấu hình TLS

Cách định cấu hình quyền truy cập TLS vào giao diện người dùng Edge:

Tạo chứng chỉ và khoá TLS dưới dạng tệp PEM mà không cần cụm mật khẩu. Ví dụ:
```
mykey.pem
mycert.pem
```
Có nhiều cách để tạo chứng chỉ và khoá TLS. Ví dụ: bạn có thể thực thi lệnh sau để tạo một chứng chỉ và khoá chưa được ký:
```
openssl req -x509 -newkey rsa:4096 -keyout mykey.pem -out mycert.pem -days 365 -nodes -subj '/CN=localhost'
```
Lưu ý: Thường thì bạn không sử dụng chứng chỉ và khoá chưa được ký trong môi trường phát hành chính thức.
Sao chép khoá và các tệp chứng chỉ vào thư mục /opt/apigee/customer/application/edge-management-ui. Nếu thư mục đó chưa tồn tại, hãy tạo nó.
Đảm bảo chứng chỉ và khoá thuộc sở hữu của người dùng "apigee":
```
chown apigee:apigee /opt/apigee/customer/application/edge-management-ui/*.pem
```

Chỉnh sửa tệp cấu hình mà bạn đã dùng để cài đặt giao diện người dùng Edge để thiết lập các thuộc tính TLS sau:

# Set to https to enable TLS.
MANAGEMENT_UI_SCHEME=https 
# Do NOT terminate TLS on a load balancer.
MANAGEMENT_UI_TLS_OFFLOAD=n

# Specify the key and cert. 
MANAGEMENT_UI_TLS_KEY_FILE=/opt/apigee/customer/application/edge-management-ui/mykey.pem
MANAGEMENT_UI_TLS_CERT_FILE=/opt/apigee/customer/application/edge-management-ui/mycert.pem

# Leave these properties set to the same values as when you installed the Edge UI:
MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT
SHOEHORN_SCHEME=http

Thực thi lệnh sau để định cấu hình TLS:
```
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
```
Trong đó configFile là tên của tệp cấu hình.

Tập lệnh sẽ khởi động lại giao diện người dùng Edge.
Chạy các lệnh sau để thiết lập và khởi động lại taxhorn:
```
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
```
Sau khi khởi động lại, giao diện người dùng của Edge sẽ hỗ trợ quyền truy cập qua HTTPS. Nếu bạn không thể đăng nhập vào giao diện người dùng Edge sau khi bật TLS, hãy xoá bộ nhớ đệm của trình duyệt rồi thử đăng nhập lại.

Định cấu hình giao diện người dùng Edge khi TLS kết thúc trên trình cân bằng tải

Nếu có một trình cân bằng tải chuyển tiếp các yêu cầu đến Giao diện người dùng Edge, thì bạn có thể chọn chấm dứt kết nối TLS trên trình cân bằng tải, sau đó yêu cầu trình cân bằng tải chuyển tiếp các yêu cầu đến Giao diện người dùng Edge qua HTTP:

Cấu hình này được hỗ trợ, nhưng bạn cần định cấu hình trình cân bằng tải và giao diện người dùng Edge cho phù hợp.

Cách định cấu hình giao diện người dùng Edge khi TLS kết thúc trên trình cân bằng tải:

Chỉnh sửa tệp cấu hình mà bạn đã dùng để cài đặt giao diện người dùng Edge để đặt các thuộc tính TLS sau:

# Set to https to enable TLS
MANAGEMENT_UI_SCHEME=https
# Terminate TLS on a load balancer
MANAGEMENT_UI_TLS_OFFLOAD=y
# Set to the IP address or DNS name of the load balancer.
MANAGEMENT_UI_IP=LB_IP_DNS
# Set to the port number for the load balancer and Edge UI.
# The load balancer and the Edge UI must use the same port number.
MANAGEMENT_UI_IP=3001

# Leave these properties set to the same values as when you installed the Edge UI:
MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT
SHOEHORN_SCHEME=http

Nếu bạn thiết lập MANAGEMENT_UI_TLS_OFFLOAD=y, hãy bỏ qua MANAGEMENT_UI_TLS_KEY_FILE và MANAGEMENT_UI_TLS_CERT_FILE.. Các yêu cầu này sẽ bị bỏ qua vì các yêu cầu đến giao diện người dùng Edge đến qua HTTP.

Thực thi lệnh sau để định cấu hình TLS:
```
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
```
Trong đó configFile là tên của tệp cấu hình.

Tập lệnh sẽ khởi động lại giao diện người dùng Edge.
Chạy các lệnh sau để thiết lập và khởi động lại taxhorn:
```
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
```
Sau khi khởi động lại, giao diện người dùng của Edge sẽ hỗ trợ quyền truy cập qua HTTPS. Nếu bạn không thể đăng nhập vào giao diện người dùng Edge sau khi bật TLS, hãy xoá bộ nhớ đệm của trình duyệt rồi thử đăng nhập lại.

Tắt TLS trên giao diện người dùng Edge

Cách tắt TLS trên giao diện người dùng Edge:

Chỉnh sửa tệp cấu hình mà bạn đã dùng để cài đặt giao diện người dùng Edge để thiết lập thuộc tính TLS sau:

LƯU Ý: Khi tắt TLS, bạn phải truyền tệp cấu hình hoàn chỉnh mà bạn đã dùng để cài đặt giao diện người dùng Edge.
```
# Set to http to disable TLS.
MANAGEMENT_UI_SCHEME=http

# Only if you had terminated TLS on a load balancer,
# reset to the IP address or DNS name of the Edge UI.
MANAGEMENT_UI_IP=newue_IP_DNS
```
Thực thi lệnh sau để tắt TLS:
```
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
```
Trong đó configFile là tên của tệp cấu hình.

Tập lệnh sẽ khởi động lại giao diện người dùng Edge.
Chạy các lệnh sau để thiết lập và khởi động lại taxhorn:
```
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
```
Giờ đây, bạn có thể truy cập vào giao diện người dùng Edge qua HTTP. Nếu bạn không thể đăng nhập vào giao diện người dùng Edge sau khi tắt TLS, hãy xoá bộ nhớ đệm của trình duyệt rồi thử đăng nhập lại.