דף זה תורגם על ידי Cloud Translation API.

הגדרת TLS לממשק המשתמש החדש של Edge

כברירת מחדל, יש לכם גישה ממשק המשתמש החדש של Edge ב-HTTP באמצעות כתובת ה-IP או שם ה-DNS של הצומת בממשק המשתמש של Edge והיציאה 3001. לדוגמה:

http://newue_IP:3001

לחלופין, אפשר להגדיר גישת TLS לממשק המשתמש של Edge כדי אפשר לגשת אליו דרך הטופס הבא:

https://newue_IP:3001

דרישות לגבי TLS

בממשק המשתמש של Edge יש תמיכה רק בגרסה 1.2 של TLS. אם מפעילים TLS בממשק המשתמש של Edge, המשתמשים צריכים להתחבר לממשק המשתמש של Edge באמצעות דפדפן שתואם ל-TLS בגרסה 1.2.

מאפייני תצורה של TLS

מריצים את הפקודה הבאה כדי להגדיר TLS בממשק המשתמש של Edge:

/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

configFile הוא קובץ התצורה שבו השתמשתם כדי להתקין את ממשק המשתמש של Edge.

לפני שמריצים את הפקודה הזו, צריך לערוך את קובץ התצורה ולהגדיר את המאפיינים הנחוצים ששולטים ב-TLS. בטבלה הבאה מפורטים המאפיינים שבהם משתמשים כדי להגדיר TLS בממשק המשתמש של Edge:

נכס	תיאור	חובה?
`MANAGEMENT_UI_SCHEME`	מגדיר את הפרוטוקול, "http" או 'https', שמשמשים לגישה לממשק המשתמש של Edge. ערך ברירת המחדל הוא 'http'. הגדרת הכתובת ל-"https" כדי להפעיל TLS: MANAGEMENT_UI_SCHEME=https	כן
`MANAGEMENT_UI_TLS_OFFLOAD`	אם 'n' מציין שבקשות TLS לממשק המשתמש של Edge מסתיימות בממשק המשתמש של Edge. צריך להגדיר את `MANAGEMENT_UI_TLS_KEY_FILE` ואת `MANAGEMENT_UI_TLS_CERT_FILE`. אם 'y' מציין שבקשות TLS לממשק המשתמש של Edge מסתיימות במאזן עומסים, ומאזן העומסים מעביר את הבקשה לממשק המשתמש של Edge באמצעות HTTP. גם אם סוגרים את ה-TLS במאזן העומסים, ממשק המשתמש של Edge עדיין צריך להיות מודע לכך שהבקשה המקורית הגיעה דרך TLS. לדוגמה, לקובצי cookie מסוימים הוגדר סימון מאובטח. עליך להגדיר את `MANAGEMENT_UI_SCHEME` ל-"https" אחרת, המערכת תתעלם מ-`MANAGEMENT_UI_TLS_OFFLOAD`: MANAGEMENT_UI_SCHEME=https MANAGEMENT_UI_TLS_OFFLOAD=y	כן
`MANAGEMENT_UI_TLS_KEY_FILE` `MANAGEMENT_UI_TLS_CERT_FILE`	אם הערך שלו הוא `MANAGEMENT_UI_TLS_OFFLOAD=n`, הוא מציין את הנתיב המוחלט למפתח ה-TLS ולקובצי האישורים. הקבצים צריכים להיות בפורמט של קובצי PEM ללא ביטוי סיסמה, ועליהם להיות בבעלות ה-apigee משתמש. המיקום המומלץ לקבצים האלה הוא: /opt/apigee/customer/application/edge-management-ui אם הספרייה לא קיימת, יוצרים אותה. אם הערך הוא `MANAGEMENT_UI_TLS_OFFLOAD=y`, צריך להשמיט את הערכים `MANAGEMENT_UI_TLS_KEY_FILE` ו-`MANAGEMENT_UI_TLS_CERT_FILE`. המערכת מתעלמת מהן כי בקשות לממשק המשתמש של Edge מגיעות דרך HTTP.	כן אם `MANAGEMENT_UI_TLS_OFFLOAD=n`
`MANAGEMENT_UI_PUBLIC_URIS`	אם הערך שלו הוא `MANAGEMENT_UI_TLS_OFFLOAD=n`, הערך הזה מציין את כתובת ה-URL של ממשק המשתמש של Edge. מגדירים את המאפיין הזה על סמך מאפיינים אחרים בקובץ התצורה. לדוגמה: MANAGEMENT_UI_PUBLIC_URIS=`$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT` כאשר: `MANAGEMENT_UI_SCHEME` מציין את הפרוטוקול, "http" או "https", כפי שמתואר למעלה. השדה `MANAGEMENT_UI_IP` מציין את כתובת ה-IP או את שם ה-DNS של ממשק המשתמש של Edge. השדה `MANAGEMENT_UI_PORT` מציין את היציאה שבה משתמש ממשק המשתמש של Edge. אם `MANAGEMENT_UI_TLS_OFFLOAD=y`: `MANAGEMENT_UI_IP` מציין את כתובת ה-IP או את שם ה-DNS של מאזן העומסים, לא של ממשק המשתמש של Edge. מאזן העומסים וה-UE החדש חייבים להשתמש באותו מספר יציאה לבקשות, לדוגמה 3001. אפשר להשתמש ב-`MANAGEMENT_UI_PORT` כדי לציין את מספר היציאה במאזן העומסים ובאיחוד האירופי החדש.	כן
`MANAGEMENT_UI_TLS_ALLOWED_CIPHERS`	המדיניות הזו מגדירה את הרשימה של הצפנות TLS זמינים כמחרוזת מופרדת בפסיקים או רווחים. מחרוזת מופרדת בפסיקים: MANAGEMENT_UI_TLS_ALLOWED_CIPHERS=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 מחרוזת מופרדת ברווחים מוקפת במירכאות כפולות: MANAGEMENT_UI_TLS_ALLOWED_CIPHERS="TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"	לא
`SHOEHORN_SCHEME`	לפני שמתקינים את ממשק המשתמש החדש של Edge, צריך להתקין קודם את ממשק המשתמש הבסיסי של Edge, שנקרא shoeורן. קובץ התצורה של ההתקנה משתמש במאפיין הבא כדי לציין את הפרוטוקול, http, שמשמש לגישה לממשק המשתמש הבסיסי של Edge: SHOEHORN_SCHEME=http ממשק המשתמש הבסיסי של Edge לא תומך ב-TLS, לכן גם כשמפעילים TLS בממשק המשתמש של Edge, המאפיין הזה עדיין צריך להיות מוגדר כ-"http".	כן ומוגדר ל-"http"

הגדרת TLS

כדי להגדיר גישה של TLS לממשק המשתמש של Edge:

יצירת אישור ומפתח TLS כקובצי PEM ללא ביטוי סיסמה. לדוגמה:
```
mykey.pem
mycert.pem
```
יש הרבה דרכים ליצור אישור ומפתח TLS. לדוגמה, אפשר להריץ את הפקודה הבאה כדי ליצור אישור ומפתח לא חתומים:
```
openssl req -x509 -newkey rsa:4096 -keyout mykey.pem -out mycert.pem -days 365 -nodes -subj '/CN=localhost'
```
הערה: בדרך כלל לא משתמשים באישור ובמפתח לא חתומים בסביבת ייצור.
מעתיקים את קובצי המפתח והאישור לספרייה /opt/apigee/customer/application/edge-management-ui. אם הספרייה לא קיימת, יוצרים אותה.
צריך לוודא שהאישור והמפתח הם בבעלות ה-apigee user:
```
chown apigee:apigee /opt/apigee/customer/application/edge-management-ui/*.pem
```

עורכים את קובץ התצורה שבו השתמשתם כדי להתקין את ממשק המשתמש של Edge כדי מגדירים את מאפייני ה-TLS הבאים:

# Set to https to enable TLS.
MANAGEMENT_UI_SCHEME=https 
# Do NOT terminate TLS on a load balancer.
MANAGEMENT_UI_TLS_OFFLOAD=n

# Specify the key and cert. 
MANAGEMENT_UI_TLS_KEY_FILE=/opt/apigee/customer/application/edge-management-ui/mykey.pem
MANAGEMENT_UI_TLS_CERT_FILE=/opt/apigee/customer/application/edge-management-ui/mycert.pem

# Leave these properties set to the same values as when you installed the Edge UI:
MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT
SHOEHORN_SCHEME=http

מריצים את הפקודה הבאה כדי להגדיר TLS:
```
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
```
כאשר configFile הוא השם של קובץ התצורה.

הסקריפט מפעיל מחדש את ממשק המשתמש של Edge.
מריצים את הפקודות הבאות כדי להגדיר את shoehooורן ולהפעיל אותה מחדש:
```
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
```
לאחר ההפעלה מחדש, ממשק המשתמש של Edge תומך בגישה באמצעות HTTPS. אם לא ניתן להתחבר לממשק המשתמש של Edge אחרי הפעלת TLS, מוחקים את במטמון הדפדפן ולנסות להתחבר שוב.

הגדרת ממשק המשתמש של Edge כשה-TLS מסתיים במאזן העומסים

אם יש לכם מאזן עומסים שמעביר בקשות לממשק המשתמש של Edge, אפשר לסיים את חיבור ה-TLS במאזן העומסים, ואז בקשות להעברת מאזן עומסים לממשק המשתמש של Edge ב-HTTP:

ההגדרות האישיות האלה נתמכות אבל צריך להגדיר את מאזן העומסים ואת ממשק המשתמש של Edge בהתאם.

כדי להגדיר את ממשק המשתמש של Edge כשה-TLS מסתיים במאזן העומסים:

עורכים את קובץ התצורה שבו השתמשתם כדי להתקין את ממשק המשתמש של Edge כדי מגדירים את מאפייני ה-TLS הבאים:

הערה: כשמפעילים TLS, צריך להעביר את קובץ התצורה המלא, שבו השתמשתם כדי להתקין את ממשק המשתמש של Edge.
```
# Set to https to enable TLS
MANAGEMENT_UI_SCHEME=https
# Terminate TLS on a load balancer
MANAGEMENT_UI_TLS_OFFLOAD=y
# Set to the IP address or DNS name of the load balancer.
MANAGEMENT_UI_IP=LB_IP_DNS
# Set to the port number for the load balancer and Edge UI.
# The load balancer and the Edge UI must use the same port number.
MANAGEMENT_UI_IP=3001

# Leave these properties set to the same values as when you installed the Edge UI:
MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT
SHOEHORN_SCHEME=http
```
אם מגדירים MANAGEMENT_UI_TLS_OFFLOAD=y, צריך להשמיט את MANAGEMENT_UI_TLS_KEY_FILE ו-MANAGEMENT_UI_TLS_CERT_FILE. המערכת מתעלמת מהבקשות האלה כי בקשות לממשק המשתמש של Edge מגיעות דרך HTTP.
מריצים את הפקודה הבאה כדי להגדיר TLS:
```
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
```
כאשר configFile הוא השם של קובץ התצורה.

הסקריפט מפעיל מחדש את ממשק המשתמש של Edge.
מריצים את הפקודות הבאות כדי להגדיר את shoehooורן ולהפעיל אותה מחדש:
```
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
```
לאחר ההפעלה מחדש, ממשק המשתמש של Edge תומך בגישה באמצעות HTTPS. אם לא ניתן להתחבר לממשק המשתמש של Edge אחרי הפעלת TLS, מוחקים את במטמון הדפדפן ולנסות להתחבר שוב.

השבתת TLS בממשק המשתמש של Edge

כדי להשבית TLS בממשק המשתמש של Edge:

עורכים את קובץ התצורה שבו השתמשתם כדי להתקין את ממשק המשתמש של Edge כדי להגדיר מאפיין ה-TLS הבא:

הערה: כשמשביתים TLS, צריך להעביר את קובץ התצורה המלא ש שהיו בשימוש כדי להתקין את ממשק המשתמש של Edge.
```
# Set to http to disable TLS.
MANAGEMENT_UI_SCHEME=http

# Only if you had terminated TLS on a load balancer,
# reset to the IP address or DNS name of the Edge UI.
MANAGEMENT_UI_IP=newue_IP_DNS
```
מריצים את הפקודה הבאה כדי להשבית TLS:
```
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
```
כאשר configFile הוא השם של קובץ התצורה.

הסקריפט מפעיל מחדש את ממשק המשתמש של Edge.
מריצים את הפקודות הבאות כדי להגדיר את shoehooורן ולהפעיל אותה מחדש:
```
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
```
עכשיו אפשר לגשת לממשק המשתמש של Edge באמצעות HTTP. אם לא ניתן להתחבר לממשק המשתמש של Edge אחרי השבתת ה-TLS, מוחקים את במטמון הדפדפן ולנסות להתחבר שוב.