Konfigurieren von TLS für die neue Edge-Benutzeroberfläche

Standardmäßig greifen Sie auf das Neue Edge-Benutzeroberfläche über HTTP, indem Sie die IP-Adresse oder den DNS-Namen des Edge-Benutzeroberflächenknotens und Port 3001 verwenden. Beispiel:

http://newue_IP:3001

Alternativ können Sie den TLS-Zugriff auf die Edge-Benutzeroberfläche so konfigurieren, dass können Sie das folgende Formular verwenden:

https://newue_IP:3001

TLS-Anforderungen

Die Edge-Benutzeroberfläche unterstützt nur TLS v1.2. Wenn Sie TLS in der Edge-Benutzeroberfläche aktivieren, Nutzer müssen eine Verbindung zur Edge-Benutzeroberfläche über einen Browser herstellen, der mit TLS v1.2 kompatibel ist.

TLS-Konfigurationsattribute

Führen Sie den folgenden Befehl aus, um TLS für die Edge-Benutzeroberfläche zu konfigurieren:

/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

Dabei ist configFile die Konfigurationsdatei, die Sie zum Installieren der Edge-Benutzeroberfläche verwendet haben.

Bevor Sie diesen Befehl ausführen, müssen Sie die Konfigurationsdatei bearbeiten, um die erforderlichen Attribute festzulegen, die TLS steuern. In der folgenden Tabelle werden die Eigenschaften beschrieben, mit denen Sie TLS für die Edge-Benutzeroberfläche konfigurieren:

Attribut Beschreibung Erforderlich?
MANAGEMENT_UI_SCHEME

Legt das Protokoll „http“ fest oder "https" verwendet, um auf die Edge-Benutzeroberfläche zuzugreifen. Der Standardwert ist „http“. Auf „https“ festlegen So aktivieren Sie TLS:

MANAGEMENT_UI_SCHEME=https
Ja
MANAGEMENT_UI_TLS_OFFLOAD

Wenn "n", gibt an, dass TLS-Anfragen an die Edge-Benutzeroberfläche in der Edge-Benutzeroberfläche beendet werden. Sie müssen MANAGEMENT_UI_TLS_KEY_FILE und MANAGEMENT_UI_TLS_CERT_FILE festlegen.

Wenn „y“, gibt an, dass TLS-Anfragen an die Edge-UI auf einem Load-Balancer beendet werden und dass der Load-Balancer die Anfrage dann mithilfe von HTTP an die Edge-Benutzeroberfläche weiterleitet.

Wenn Sie TLS auf dem Load-Balancer beenden, muss die Edge-Benutzeroberfläche trotzdem wissen, dass die ursprüngliche Anfrage über TLS eingegangen ist. Bei einigen Cookies ist beispielsweise das Flag „Secure“ gesetzt.

Sie müssen MANAGEMENT_UI_SCHEME auf „https“ festlegen Andernfalls wird MANAGEMENT_UI_TLS_OFFLOAD ignoriert:

MANAGEMENT_UI_SCHEME=https
MANAGEMENT_UI_TLS_OFFLOAD=y
Ja
MANAGEMENT_UI_TLS_KEY_FILE
MANAGEMENT_UI_TLS_CERT_FILE

Mit MANAGEMENT_UI_TLS_OFFLOAD=n wird der absolute Pfad zum TLS-Schlüssel und den TLS-Zertifikatsdateien angegeben. Die Dateien müssen als PEM-Dateien ohne Passphrase formatiert sein und dem „Apigee“ gehören. Nutzer.

Der empfohlene Speicherort für diese Dateien ist:

/opt/apigee/customer/application/edge-management-ui

Falls dieses Verzeichnis nicht vorhanden ist, erstellen Sie es.

Wenn MANAGEMENT_UI_TLS_OFFLOAD=y, dann MANAGEMENT_UI_TLS_KEY_FILE und MANAGEMENT_UI_TLS_CERT_FILE auslassen. Sie werden ignoriert, da Anfragen an die Edge-Benutzeroberfläche über HTTP eingehen.

Ja, wenn MANAGEMENT_UI_TLS_OFFLOAD=n
MANAGEMENT_UI_PUBLIC_URIS

Wenn MANAGEMENT_UI_TLS_OFFLOAD=n, gibt die URL der Edge-Benutzeroberfläche an.

Legen Sie dieses Attribut basierend auf anderen Attributen in der Konfigurationsdatei fest. Beispiel:

MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT

Wobei:

  • MANAGEMENT_UI_SCHEME gibt das Protokoll „http“ an. oder "https", wie oben beschrieben.
  • MANAGEMENT_UI_IP gibt die IP-Adresse oder den DNS-Namen der Edge-Benutzeroberfläche an.
  • MANAGEMENT_UI_PORT gibt den von der Edge-Benutzeroberfläche verwendeten Port an.

Wenn MANAGEMENT_UI_TLS_OFFLOAD=y:

  • MANAGEMENT_UI_IP gibt die IP-Adresse oder den DNS-Namen des Load-Balancers an, nicht der Edge-UI.
  • Der Load-Balancer und das neue UE müssen für Anfragen dieselbe Portnummer verwenden, z. B. 3001. Geben Sie mit MANAGEMENT_UI_PORT die Portnummer für den Load-Balancer und die neue UE an.
Ja
MANAGEMENT_UI_TLS_ALLOWED_CIPHERS

Definiert die Liste der verfügbaren TLS-Chiffren als kommagetrennten oder durch Leerzeichen getrennten String.

Kommagetrennter String:

MANAGEMENT_UI_TLS_ALLOWED_CIPHERS=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

Durch Leerzeichen getrennter String in doppelten Anführungszeichen:

MANAGEMENT_UI_TLS_ALLOWED_CIPHERS="TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
Nein
SHOEHORN_SCHEME

Bevor Sie die neue Edge-Benutzeroberfläche installieren, installieren Sie zuerst die grundlegende Edge-Benutzeroberfläche, die als Schuhhorn bezeichnet wird. Die Installationskonfigurationsdatei verwendet die folgende Eigenschaft, um das Protokoll "http" anzugeben, das für den Zugriff auf die Basisbenutzeroberfläche von Edge verwendet wird:

SHOEHORN_SCHEME=http

Die grundlegende Edge-Benutzeroberfläche unterstützt kein TLS. Daher muss diese Eigenschaft auch dann auf "http" festgelegt sein, wenn Sie TLS in der Edge-Benutzeroberfläche aktivieren.

Ja und auf "http" festlegen

TLS konfigurieren

So konfigurieren Sie den TLS-Zugriff auf die Edge-Benutzeroberfläche:

  1. Generieren Sie das TLS-Zertifikat und den TLS-Schlüssel als PEM-Dateien ohne Passphrase. Beispiel:

    mykey.pem
    mycert.pem

    Es gibt viele Möglichkeiten, ein TLS-Zertifikat und einen TLS-Schlüssel zu generieren. Sie können beispielsweise Folgendes ausführen: verwenden, um ein nicht signiertes Zertifikat und einen Schlüssel zu generieren:

    openssl req -x509 -newkey rsa:4096 -keyout mykey.pem -out mycert.pem -days 365 -nodes -subj '/CN=localhost'
  2. Kopieren Sie die Schlüssel- und Zertifikatsdateien in das Verzeichnis /opt/apigee/customer/application/edge-management-ui. Falls dieses Verzeichnis nicht vorhanden ist, erstellen Sie es.
  3. Achten Sie darauf, dass das Zertifikat und der Schlüssel dem „Apigee“ gehören Nutzer:

    chown apigee:apigee /opt/apigee/customer/application/edge-management-ui/*.pem
  4. Bearbeiten Sie die Konfigurationsdatei, in der Sie die Edge-Benutzeroberfläche installiert haben. Legen Sie die folgenden TLS-Attribute fest:

    # Set to https to enable TLS.
    MANAGEMENT_UI_SCHEME=https 
    # Do NOT terminate TLS on a load balancer.
    MANAGEMENT_UI_TLS_OFFLOAD=n
    
    # Specify the key and cert. 
    MANAGEMENT_UI_TLS_KEY_FILE=/opt/apigee/customer/application/edge-management-ui/mykey.pem
    MANAGEMENT_UI_TLS_CERT_FILE=/opt/apigee/customer/application/edge-management-ui/mycert.pem
    
    # Leave these properties set to the same values as when you installed the Edge UI:
    MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT
    SHOEHORN_SCHEME=http
  5. Führen Sie den folgenden Befehl aus, um TLS zu konfigurieren:

    /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

    Dabei ist configFile der Name der Konfigurationsdatei.

    Das Skript startet die Edge-Benutzeroberfläche neu.

  6. Führen Sie die folgenden Befehle aus, um die Shoup-Funktion einzurichten und neu zu starten:

    /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

    Nach dem Neustart unterstützt die Edge-Benutzeroberfläche den Zugriff über HTTPS. Wenn Sie sich nach dem Aktivieren von TLS nicht bei der Edge-Benutzeroberfläche anmelden können, löschen Sie die Browser-Cache und versuchen Sie erneut, sich anzumelden.

Konfigurieren Sie die Edge-Benutzeroberfläche, wenn TLS auf dem Load-Balancer beendet wird

Wenn Sie einen Load-Balancer haben, der Anfragen an die Edge-Benutzeroberfläche weiterleitet, die TLS-Verbindung auf dem Load-Balancer beenden und dann Der Load-Balancer leitet Anfragen über HTTP an die Edge-Benutzeroberfläche weiter:

TLS auf dem Load-Balancer beenden

Diese Konfiguration wird unterstützt Sie müssen jedoch den Load-Balancer und die Edge-Benutzeroberfläche entsprechend konfigurieren.

So konfigurieren Sie die Edge-Benutzeroberfläche, wenn TLS auf dem Load-Balancer beendet wird:

  1. Bearbeiten Sie die Konfigurationsdatei, in der Sie die Edge-Benutzeroberfläche installiert haben. Legen Sie die folgenden TLS-Attribute fest:

    # Set to https to enable TLS
    MANAGEMENT_UI_SCHEME=https
    # Terminate TLS on a load balancer
    MANAGEMENT_UI_TLS_OFFLOAD=y
    # Set to the IP address or DNS name of the load balancer.
    MANAGEMENT_UI_IP=LB_IP_DNS
    # Set to the port number for the load balancer and Edge UI.
    # The load balancer and the Edge UI must use the same port number.
    MANAGEMENT_UI_IP=3001
    
    # Leave these properties set to the same values as when you installed the Edge UI:
    MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT
    SHOEHORN_SCHEME=http
    

    Wenn Sie MANAGEMENT_UI_TLS_OFFLOAD=y festlegen, lassen Sie MANAGEMENT_UI_TLS_KEY_FILE weg. und MANAGEMENT_UI_TLS_CERT_FILE.. Sie werden ignoriert, da Anfragen an die Edge-Benutzeroberfläche über HTTP eingehen.

  2. Führen Sie den folgenden Befehl aus, um TLS zu konfigurieren:

    /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

    Dabei ist configFile der Name der Konfigurationsdatei.

    Das Skript startet die Edge-Benutzeroberfläche neu.

  3. Führen Sie die folgenden Befehle aus, um die Shoup-Funktion einzurichten und neu zu starten:

    /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

    Nach dem Neustart unterstützt die Edge-Benutzeroberfläche den Zugriff über HTTPS. Wenn Sie sich nach dem Aktivieren von TLS nicht bei der Edge-Benutzeroberfläche anmelden können, löschen Sie die Browser-Cache und versuchen Sie erneut, sich anzumelden.

Deaktivieren von TLS in der Edge-Benutzeroberfläche

So deaktivieren Sie TLS in der Edge-Benutzeroberfläche:

  1. Bearbeiten Sie die Konfigurationsdatei, mit der Sie die Edge-Benutzeroberfläche installiert haben, um folgende TLS-Property:

    # Set to http to disable TLS.
    MANAGEMENT_UI_SCHEME=http
    
    # Only if you had terminated TLS on a load balancer,
    # reset to the IP address or DNS name of the Edge UI.
    MANAGEMENT_UI_IP=newue_IP_DNS
    
  2. Führen Sie den folgenden Befehl aus, um TLS zu deaktivieren:

    /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

    Dabei ist configFile der Name der Konfigurationsdatei.

    Das Skript startet die Edge-Benutzeroberfläche neu.

  3. Führen Sie die folgenden Befehle aus, um die Shoup-Funktion einzurichten und neu zu starten:

    /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

    Sie können jetzt über HTTP auf die Edge-Benutzeroberfläche zugreifen. Wenn Sie sich nach dem Deaktivieren von TLS nicht bei der Edge-Benutzeroberfläche anmelden können, löschen Sie die Browser-Cache und versuchen Sie erneut, sich anzumelden.