Trang này được dịch bởi Cloud Translation API.

Định cấu hình TLS cho giao diện người dùng Edge mới

Theo mặc định, bạn truy cập vào giao diện người dùng mới của Edge qua HTTP bằng cách sử dụng địa chỉ IP hoặc tên DNS của nút Edge UI và cổng 3001. Ví dụ:

http://newue_IP:3001

Ngoài ra, bạn có thể định cấu hình quyền truy cập TLS vào giao diện người dùng Edge để bạn có thể truy cập vào báo cáo này trong biểu mẫu:

https://newue_IP:3001

Yêu cầu đối với TLS

Giao diện người dùng Edge chỉ hỗ trợ TLS phiên bản 1.2. Nếu bạn bật TLS trên giao diện người dùng Edge, người dùng phải kết nối với giao diện người dùng Edge bằng một trình duyệt tương thích với TLS phiên bản 1.2.

Thuộc tính cấu hình TLS

Thực thi lệnh sau để định cấu hình TLS cho giao diện người dùng Edge:

/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

Trong đó configFile là tệp cấu hình mà bạn đã dùng để cài đặt Giao diện người dùng Edge.

Trước khi thực thi lệnh này, bạn phải chỉnh sửa tệp cấu hình để đặt các thuộc tính cần thiết kiểm soát TLS. Bảng sau đây mô tả mà bạn sử dụng để định cấu hình TLS cho giao diện người dùng Edge:

Thuộc tính	Mô tả	Bắt buộc?
`MANAGEMENT_UI_SCHEME`	Thiết lập giao thức, "http" hoặc "https", dùng để truy cập vào giao diện người dùng Edge. Giá trị mặc định là "http". Đặt thành "https" để bật TLS: MANAGEMENT_UI_SCHEME=https	Có
`MANAGEMENT_UI_TLS_OFFLOAD`	Nếu là "n", hãy chỉ định rằng các yêu cầu TLS đến giao diện người dùng Edge bị chấm dứt ở giao diện người dùng Edge. Bạn phải đặt `MANAGEMENT_UI_TLS_KEY_FILE` và `MANAGEMENT_UI_TLS_CERT_FILE.` Nếu là "y", hãy chỉ định rằng các yêu cầu TLS đến giao diện người dùng Edge sẽ bị chấm dứt vào trình cân bằng tải và sau đó trình cân bằng tải sẽ chuyển tiếp yêu cầu đến giao diện người dùng Edge bằng cách sử dụng HTTP. Nếu bạn chấm dứt TLS trên trình cân bằng tải, thì giao diện người dùng Edge vẫn cần xin lưu ý rằng yêu cầu ban đầu đến qua TLS. Ví dụ: một số cookie có cờ Bảo mật được thiết lập. Bạn phải đặt `MANAGEMENT_UI_SCHEME` thành "https" nếu không `MANAGEMENT_UI_TLS_OFFLOAD` sẽ bị bỏ qua: MANAGEMENT_UI_SCHEME=https MANAGEMENT_UI_TLS_OFFLOAD=y	Có
`MANAGEMENT_UI_TLS_KEY_FILE` `MANAGEMENT_UI_TLS_CERT_FILE`	Nếu là `MANAGEMENT_UI_TLS_OFFLOAD=n`, hãy chỉ định đường dẫn tuyệt đối vào khoá TLS và tệp chứng chỉ. Tệp này phải được định dạng như tệp PEM với không có cụm mật khẩu và phải do "apigee" sở hữu người dùng. Vị trí được đề xuất cho các tệp này là: /opt/apigee/customer/application/edge-management-ui Nếu thư mục đó chưa tồn tại, hãy tạo thư mục. Nếu là `MANAGEMENT_UI_TLS_OFFLOAD=y`, thì bỏ qua `MANAGEMENT_UI_TLS_KEY_FILE` và `MANAGEMENT_UI_TLS_CERT_FILE.` Chúng bị bỏ qua do các yêu cầu đối với Giao diện người dùng Edge được hỗ trợ thay vì HTTP.	Có nếu `MANAGEMENT_UI_TLS_OFFLOAD=n`
`MANAGEMENT_UI_PUBLIC_URIS`	Nếu là `MANAGEMENT_UI_TLS_OFFLOAD=n`, sẽ chỉ định URL của giao diện người dùng Edge. Đặt thuộc tính này dựa trên các thuộc tính khác trong tệp cấu hình. Ví dụ: MANAGEMENT_UI_PUBLIC_URIS=`$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT` Trong trường hợp: `MANAGEMENT_UI_SCHEME` chỉ định giao thức là "http" hoặc "https", như được mô tả ở trên. `MANAGEMENT_UI_IP` chỉ định địa chỉ IP hoặc tên DNS của Giao diện người dùng Edge. `MANAGEMENT_UI_PORT` chỉ định cổng mà giao diện người dùng Edge sử dụng. Hãy xem bài viết Cài đặt giao diện người dùng Edge mới để biết thêm thông tin về các thuộc tính này. Nếu giá trị là `MANAGEMENT_UI_TLS_OFFLOAD=y`: `MANAGEMENT_UI_IP` chỉ định địa chỉ IP hoặc tên DNS của trình cân bằng tải, không phải của giao diện người dùng Edge. Trình cân bằng tải và UE mới phải sử dụng cùng một số cổng cho các yêu cầu, ví dụ: 3001. Sử dụng `MANAGEMENT_UI_PORT` để chỉ định số cổng trên trình cân bằng tải và trên UE mới.	Có
`MANAGEMENT_UI_TLS_ALLOWED_CIPHERS`	Xác định danh sách các thuật toán mật mã TLS hiện có dưới dạng một chuỗi được phân tách bằng dấu phẩy hoặc bằng dấu cách. Chuỗi được phân tách bằng dấu phẩy: MANAGEMENT_UI_TLS_ALLOWED_CIPHERS=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 Chuỗi được phân tách bằng dấu cách được đặt trong dấu ngoặc kép: MANAGEMENT_UI_TLS_ALLOWED_CIPHERS="TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"
`SHOEHORN_SCHEME`	Trước khi bạn Cài đặt giao diện người dùng Edge mới, trước tiên, bạn phải cài đặt giao diện người dùng Edge cơ sở, được gọi là shoehorn. Tệp cấu hình cài đặt sử dụng thuộc tính sau để chỉ định giao thức, "http", dùng để truy cập vào giao diện người dùng Edge cơ sở: SHOEHORN_SCHEME=http Giao diện người dùng Edge cơ sở không hỗ trợ TLS, vì vậy, ngay cả khi bạn bật TLS trên giao diện người dùng Edge, bạn vẫn phải đặt thuộc tính này thành "http".	Có và đặt thành "http"

Định cấu hình TLS

Cách định cấu hình quyền truy cập TLS vào giao diện người dùng Edge:

Tạo chứng chỉ và khoá TLS ở dạng tệp PEM mà không có cụm mật khẩu. Ví dụ:
```
mykey.pem
mycert.pem
```
Có nhiều cách để tạo chứng chỉ và khoá TLS. Ví dụ: bạn có thể thực thi như sau để tạo chứng chỉ và khoá chưa ký:
```
openssl req -x509 -newkey rsa:4096 -keyout mykey.pem -out mycert.pem -days 365 -nodes -subj '/CN=localhost'
```
Lưu ý: Thường thì bạn không sử dụng khoá và chứng chỉ chưa ký trong môi trường phát hành chính thức.
Sao chép các tệp khoá và chứng chỉ vào thư mục /opt/apigee/customer/application/edge-management-ui. Nếu thư mục đó chưa tồn tại, hãy tạo thư mục.
Đảm bảo chứng chỉ và khoá thuộc sở hữu của "api" người dùng:
```
chown apigee:apigee /opt/apigee/customer/application/edge-management-ui/*.pem
```

Chỉnh sửa tệp cấu hình mà bạn đã dùng để cài đặt giao diện người dùng Edge đặt các thuộc tính TLS sau:

# Set to https to enable TLS.
MANAGEMENT_UI_SCHEME=https 
# Do NOT terminate TLS on a load balancer.
MANAGEMENT_UI_TLS_OFFLOAD=n

# Specify the key and cert. 
MANAGEMENT_UI_TLS_KEY_FILE=/opt/apigee/customer/application/edge-management-ui/mykey.pem
MANAGEMENT_UI_TLS_CERT_FILE=/opt/apigee/customer/application/edge-management-ui/mycert.pem

# Leave these properties set to the same values as when you installed the Edge UI:
MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT
SHOEHORN_SCHEME=http

Thực thi lệnh sau để định cấu hình TLS:
```
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
```
Trong đó configFile là tên của tệp cấu hình.

Tập lệnh sẽ khởi động lại giao diện người dùng Edge.
Chạy các lệnh sau để thiết lập và khởi động lại giày:
```
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
```
Sau khi khởi động lại, giao diện người dùng Edge sẽ hỗ trợ truy cập qua HTTPS. Nếu bạn không thể đăng nhập vào giao diện người dùng Edge sau khi bật TLS, hãy xoá bộ nhớ đệm của trình duyệt và thử đăng nhập lại.

Định cấu hình giao diện người dùng Edge khi TLS kết thúc trên trình cân bằng tải

Nếu có trình cân bằng tải chuyển tiếp yêu cầu đến giao diện người dùng Edge, thì bạn có thể chọn chấm dứt kết nối TLS trên trình cân bằng tải và sau đó đặt Chuyển tiếp các yêu cầu trong trình cân bằng tải đến giao diện người dùng Edge qua HTTP:

Cấu hình này được hỗ trợ nhưng bạn cần phải định cấu hình trình cân bằng tải và giao diện người dùng Edge cho phù hợp.

Cách định cấu hình giao diện người dùng Edge khi TLS chấm dứt trên trình cân bằng tải:

Chỉnh sửa tệp cấu hình mà bạn đã dùng để cài đặt giao diện người dùng Edge đặt các thuộc tính TLS sau:

# Set to https to enable TLS
MANAGEMENT_UI_SCHEME=https
# Terminate TLS on a load balancer
MANAGEMENT_UI_TLS_OFFLOAD=y
# Set to the IP address or DNS name of the load balancer.
MANAGEMENT_UI_IP=LB_IP_DNS
# Set to the port number for the load balancer and Edge UI.
# The load balancer and the Edge UI must use the same port number.
MANAGEMENT_UI_IP=3001

# Leave these properties set to the same values as when you installed the Edge UI:
MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT
SHOEHORN_SCHEME=http

Nếu bạn đặt MANAGEMENT_UI_TLS_OFFLOAD=y, hãy bỏ qua MANAGEMENT_UI_TLS_KEY_FILE và MANAGEMENT_UI_TLS_CERT_FILE. Chúng bị bỏ qua vì các yêu cầu gửi đến giao diện người dùng Edge được gửi qua HTTP.

Thực thi lệnh sau để định cấu hình TLS:
```
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
```
Trong đó configFile là tên của tệp cấu hình.

Tập lệnh sẽ khởi động lại giao diện người dùng Edge.
Chạy các lệnh sau để thiết lập và khởi động lại giày:
```
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
```
Sau khi khởi động lại, giao diện người dùng Edge sẽ hỗ trợ truy cập qua HTTPS. Nếu bạn không thể đăng nhập vào giao diện người dùng Edge sau khi bật TLS, hãy xoá bộ nhớ đệm của trình duyệt và thử đăng nhập lại.

Tắt TLS trên giao diện người dùng Edge

Cách tắt TLS trên giao diện người dùng Edge:

Chỉnh sửa tệp cấu hình mà bạn đã dùng để cài đặt giao diện người dùng Edge để đặt thuộc tính TLS sau:

LƯU Ý: Khi tắt TLS, bạn phải chuyển tệp cấu hình hoàn chỉnh mà bạn dùng để cài đặt giao diện người dùng Edge.
```
# Set to http to disable TLS.
MANAGEMENT_UI_SCHEME=http

# Only if you had terminated TLS on a load balancer,
# reset to the IP address or DNS name of the Edge UI.
MANAGEMENT_UI_IP=newue_IP_DNS
```
Thực thi lệnh sau để vô hiệu hoá TLS:
```
/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile
```
Trong đó configFile là tên của tệp cấu hình.

Tập lệnh sẽ khởi động lại giao diện người dùng Edge.
Chạy các lệnh sau để thiết lập và khởi động lại giày:
```
/opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
```
Giờ đây, bạn có thể truy cập vào giao diện người dùng Edge qua HTTP. Nếu bạn không thể đăng nhập vào giao diện người dùng Edge sau khi tắt TLS, hãy xoá bộ nhớ đệm của trình duyệt và thử đăng nhập lại.