Настройка TLS для нового пользовательского интерфейса Edge,Настройка TLS для нового пользовательского интерфейса Edge

По умолчанию вы получаете доступ к новому пользовательскому интерфейсу Edge через HTTP, используя IP-адрес или DNS-имя узла пользовательского интерфейса Edge и порт 3001. Например:

http://newue_IP:3001

Альтернативно вы можете настроить доступ TLS к пользовательскому интерфейсу Edge, чтобы иметь к нему доступ в форме:

https://newue_IP:3001

Требования TLS

Пользовательский интерфейс Edge поддерживает только TLS v1.2. Если вы включите TLS в пользовательском интерфейсе Edge, пользователи должны будут подключаться к пользовательскому интерфейсу Edge с помощью браузера, совместимого с TLS v1.2.

Свойства конфигурации TLS

Выполните следующую команду, чтобы настроить TLS для пользовательского интерфейса Edge:

/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

Где configFile — это файл конфигурации, который вы использовали для установки пользовательского интерфейса Edge.

Прежде чем выполнить эту команду, необходимо отредактировать файл конфигурации, чтобы установить необходимые свойства, управляющие TLS. В следующей таблице описаны свойства, которые вы используете для настройки TLS для пользовательского интерфейса Edge:

Свойство Описание Необходимый?
MANAGEMENT_UI_SCHEME

Устанавливает протокол «http» или «https», используемый для доступа к пользовательскому интерфейсу Edge. Значение по умолчанию — «http». Установите для него значение «https», чтобы включить TLS:

MANAGEMENT_UI_SCHEME=https
Да
MANAGEMENT_UI_TLS_OFFLOAD

Если «n», указывает, что запросы TLS к пользовательскому интерфейсу Edge завершаются в пользовательском интерфейсе Edge. Вы должны установить MANAGEMENT_UI_TLS_KEY_FILE и MANAGEMENT_UI_TLS_CERT_FILE .

Если «y» указывает, что запросы TLS к пользовательскому интерфейсу Edge завершаются на балансировщике нагрузки, а затем балансировщик нагрузки перенаправляет запрос в пользовательский интерфейс Edge с помощью HTTP.

Если вы отключите TLS на балансировщике нагрузки, пользовательский интерфейс Edge все равно должен знать, что исходный запрос поступил через TLS. Например, для некоторых файлов cookie установлен флаг безопасности.

Вы должны установить для MANAGEMENT_UI_SCHEME значение «https», иначе MANAGEMENT_UI_TLS_OFFLOAD будет игнорироваться:

MANAGEMENT_UI_SCHEME=https
MANAGEMENT_UI_TLS_OFFLOAD=y
Да
MANAGEMENT_UI_TLS_KEY_FILE
MANAGEMENT_UI_TLS_CERT_FILE

Если MANAGEMENT_UI_TLS_OFFLOAD=n , указывает абсолютный путь к файлам ключа TLS и сертификатов. Файлы должны быть отформатированы как файлы PEM без парольной фразы и должны принадлежать пользователю «apigee».

Рекомендуемое расположение этих файлов:

/opt/apigee/customer/application/edge-management-ui

Если этот каталог не существует, создайте его.

Если MANAGEMENT_UI_TLS_OFFLOAD=y , опустите MANAGEMENT_UI_TLS_KEY_FILE и MANAGEMENT_UI_TLS_CERT_FILE . Они игнорируются, поскольку запросы к пользовательскому интерфейсу Edge поступают через HTTP.

Да, если MANAGEMENT_UI_TLS_OFFLOAD=n
MANAGEMENT_UI_PUBLIC_URIS

Если MANAGEMENT_UI_TLS_OFFLOAD=n , указывает URL-адрес пользовательского интерфейса Edge.

Установите это свойство на основе других свойств в файле конфигурации. Например:

MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT

Где:

  • MANAGEMENT_UI_SCHEME указывает протокол «http» или «https», как описано выше.
  • MANAGEMENT_UI_IP указывает IP-адрес или DNS-имя пользовательского интерфейса Edge.
  • MANAGEMENT_UI_PORT указывает порт, используемый пользовательским интерфейсом Edge.

Если MANAGEMENT_UI_TLS_OFFLOAD=y :

  • MANAGEMENT_UI_IP указывает IP-адрес или DNS-имя балансировщика нагрузки , а не пользовательского интерфейса Edge.
  • Балансировщик нагрузки и новое UE должны использовать один и тот же номер порта для запросов, например 3001. Используйте MANAGEMENT_UI_PORT чтобы указать номер порта на балансировщике нагрузки и на новом UE.
Да
MANAGEMENT_UI_TLS_ALLOWED_CIPHERS

Определяет список доступных шифров TLS в виде строки, разделенной запятыми или пробелами.

Строка, разделенная запятыми:

MANAGEMENT_UI_TLS_ALLOWED_CIPHERS=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

Строка, разделенная пробелами, заключенная в двойные кавычки:

MANAGEMENT_UI_TLS_ALLOWED_CIPHERS="TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
Нет
SHOEHORN_SCHEME

Прежде чем устанавливать новый пользовательский интерфейс Edge , вы сначала устанавливаете базовый пользовательский интерфейс Edge, называемый Shohorn . В файле конфигурации установки используется следующее свойство для указания протокола «http», используемого для доступа к базовому пользовательскому интерфейсу Edge:

SHOEHORN_SCHEME=http

Базовый пользовательский интерфейс Edge не поддерживает TLS, поэтому даже если вы включаете TLS в пользовательском интерфейсе Edge, для этого свойства все равно должно быть установлено значение «http».

Да и установите «http»

Настроить TLS

Чтобы настроить доступ TLS к пользовательскому интерфейсу Edge:

  1. Создайте сертификат и ключ TLS в виде файлов PEM без парольной фразы. Например:

    mykey.pem
    mycert.pem

    Существует множество способов создания сертификата и ключа TLS. Например, вы можете выполнить следующую команду, чтобы сгенерировать неподписанный сертификат и ключ:

    openssl req -x509 -newkey rsa:4096 -keyout mykey.pem -out mycert.pem -days 365 -nodes -subj '/CN=localhost'
  2. Скопируйте файлы ключа и сертификата в каталог /opt/apigee/customer/application/edge-management-ui . Если этот каталог не существует, создайте его.
  3. Убедитесь, что сертификат и ключ принадлежат пользователю «apigee»:

    chown apigee:apigee /opt/apigee/customer/application/edge-management-ui/*.pem
  4. Отредактируйте файл конфигурации, который вы использовали для установки пользовательского интерфейса Edge, чтобы установить следующие свойства TLS :

    # Set to https to enable TLS.
    MANAGEMENT_UI_SCHEME=https 
    # Do NOT terminate TLS on a load balancer.
    MANAGEMENT_UI_TLS_OFFLOAD=n
    
    # Specify the key and cert. 
    MANAGEMENT_UI_TLS_KEY_FILE=/opt/apigee/customer/application/edge-management-ui/mykey.pem
    MANAGEMENT_UI_TLS_CERT_FILE=/opt/apigee/customer/application/edge-management-ui/mycert.pem
    
    # Leave these properties set to the same values as when you installed the Edge UI:
    MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT
    SHOEHORN_SCHEME=http
  5. Выполните следующую команду для настройки TLS:

    /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

    Где configFile — имя файла конфигурации.

    Скрипт перезапускает пользовательский интерфейс Edge.

  6. Выполните следующие команды, чтобы настроить и перезапустить рожок для обуви:

    /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

    После перезапуска пользовательский интерфейс Edge поддерживает доступ по протоколу HTTPS. Если вы не можете войти в пользовательский интерфейс Edge после включения TLS, очистите кеш браузера и попробуйте войти снова.

Настройте пользовательский интерфейс Edge, когда TLS завершается на балансировщике нагрузки

Если у вас есть балансировщик нагрузки, который перенаправляет запросы в пользовательский интерфейс Edge, вы можете прекратить соединение TLS на балансировщике нагрузки, а затем настроить балансировщик нагрузки на пересылку запросов в пользовательский интерфейс Edge через HTTP:

Завершить TLS на балансировщике нагрузки

Эта конфигурация поддерживается, но вам необходимо соответствующим образом настроить балансировщик нагрузки и пользовательский интерфейс Edge.

Чтобы настроить пользовательский интерфейс Edge, когда TLS завершается на балансировщике нагрузки:

  1. Отредактируйте файл конфигурации, который вы использовали для установки пользовательского интерфейса Edge, чтобы установить следующие свойства TLS :

    # Set to https to enable TLS
    MANAGEMENT_UI_SCHEME=https
    # Terminate TLS on a load balancer
    MANAGEMENT_UI_TLS_OFFLOAD=y
    # Set to the IP address or DNS name of the load balancer.
    MANAGEMENT_UI_IP=LB_IP_DNS
    # Set to the port number for the load balancer and Edge UI.
    # The load balancer and the Edge UI must use the same port number.
    MANAGEMENT_UI_IP=3001
    
    # Leave these properties set to the same values as when you installed the Edge UI:
    MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT
    SHOEHORN_SCHEME=http
    

    Если вы установили MANAGEMENT_UI_TLS_OFFLOAD=y , опустите MANAGEMENT_UI_TLS_KEY_FILE и MANAGEMENT_UI_TLS_CERT_FILE. Они игнорируются, поскольку запросы к пользовательскому интерфейсу Edge поступают через HTTP.

  2. Выполните следующую команду для настройки TLS:

    /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

    Где configFile — имя файла конфигурации.

    Скрипт перезапускает пользовательский интерфейс Edge.

  3. Выполните следующие команды, чтобы настроить и перезапустить рожок для обуви:

    /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

    После перезапуска пользовательский интерфейс Edge поддерживает доступ по протоколу HTTPS. Если вы не можете войти в пользовательский интерфейс Edge после включения TLS, очистите кеш браузера и попробуйте войти снова.

Отключите TLS в пользовательском интерфейсе Edge.

Чтобы отключить TLS в пользовательском интерфейсе Edge:

  1. Отредактируйте файл конфигурации, который вы использовали для установки пользовательского интерфейса Edge, чтобы установить следующее свойство TLS :

    # Set to http to disable TLS.
    MANAGEMENT_UI_SCHEME=http
    
    # Only if you had terminated TLS on a load balancer,
    # reset to the IP address or DNS name of the Edge UI.
    MANAGEMENT_UI_IP=newue_IP_DNS
    
  2. Выполните следующую команду, чтобы отключить TLS:

    /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

    Где configFile — имя файла конфигурации.

    Скрипт перезапускает пользовательский интерфейс Edge.

  3. Выполните следующие команды, чтобы настроить и перезапустить рожок для обуви:

    /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

    Теперь вы можете получить доступ к пользовательскому интерфейсу Edge через HTTP. Если вы не можете войти в пользовательский интерфейс Edge после отключения TLS, очистите кеш браузера и попробуйте войти снова.