SNI'yi Edge ile kullanma

Apigee Edge belgelerini görüntülüyorsunuz.
. Git: Apigee X belgeleri. bilgi

Sunucu Adı Göstergesi (SNI), aynı IP'den birden fazla HTTPS hedefinin sunulmasına izin verir aynı TLS sertifikasını kullanmasına gerek kalmadan). SNI istemcide etkinleştirildiğinde, istemci, istemcinin ilk istemcinin parçası olarak hedef uç noktanın ana makine adını TLS el sıkışması. Bu, TLS sunucusunun doğrulama için hangi TLS sertifikasının kullanılması gerektiğini belirlemesine olanak tanır talep ediyor.

Örneğin, istek hedefi https://example.com/request/path ise TLS istemcisi, server_name uzantısını TLS el sıkışmasına ekler isteği gönderin:

Edge, SNI'yi aşağıdakiler için destekler:

• Bir istemci uygulamasından API proxy'sine gönderilen istekler. Bu senaryoda Edge, TLS gibi sunucu
• Edge'den arka uca yapılan istekler. Bu senaryoda, Edge TLS istemcisi olarak işlev görür.

SNI hakkında daha fazla bilgi için:

• https://en.wikipedia.org/wiki/Server_Name_Indication
• http://blog.layershift.com/sni-ssl-production-ready/

API proxy'sine yönelik istek için SNI desteği Kenar

API proxy'lerine yapılan istekler için SNI desteği, ana makine takma adları ve sanal makine tarafından kontrol edilir ana makineler.

Sanal makine hakkında ana makineler ve ana makine takma adları

Edge kullanıldığında sanal bir ana makine, API proxy'sinin gösterildiği ve buna bağlı olarak, uygulamaların API proxy'sine erişmek için kullandığı URL. IP adresi/DNS adı bir Uç Yönlendirici'ye karşılık gelir ve bağlantı noktası numarası Yönlendirici.

Sanal ana makine oluşturduğunuzda, sanal ana makinenin ana makine takma adını da belirtirsiniz. Bu, genellikle sanal ana makinenin DNS adıdır. Bu işlem, performans gösteren API proxy'sini Yönlendirici, isteği işlediğinde, gelen isteğin Host üstbilgisini Tüm sanal ana makineler tarafından tanımlanan kullanılabilir ana makine takma adlarının listesi.

Sanal ana makineye ait ana makine takma adı ve bağlantı noktası numarası kombinasyonu, tüm kullanıcılar için benzersiz olmalıdır sanal ana makineleri kullanabilirsiniz. Bu, birden fazla sanal ana makinenin bağlantı noktası numaralarının aynı olmasını sağlayın.

Sanal ana makine, API proxy'sine HTTP protokolü kullanılarak mı erişildiğini yoksa TLS kullanan şifrelenmiş HTTPS protokolü tarafından sağlanır. Sanal ana makineyi HTTPS kullanacak şekilde yapılandırırken sanal ana makineyi, Search Ads 360'ta kullanılan sertifikayı ve özel anahtarı içeren bir anahtar deposuyla sanal ana makineyi temsil etmesi gerekir.

Sanal ana makineler hakkında ek bilgi için bkz:

• Sanal ana makineler hakkında
• TLS'yi Yapılandırma Private Cloud için bir API'ye erişim
• Anahtar depoları ve Truststores

SNI ile birlikte barındırıcı takma adları

SNI sayesinde aynı bağlantı noktasında her biri farklı olan birden fazla sanal ana makine kullanabilirsiniz TLS sertifikaları ve anahtarları. Edge, daha sonra sanal ana makineyi ve TLS tarafından kullanılan sertifika/anahtar çiftini belirler. server_name uyarınca uzantısı'nı ekleyin.

Uç Yönlendirici, TLS el sıkışmasındaki server_name uzantısını okur isteğinde bulunur ve bu isteği, tüm sanal makinelerdeki ana makine takma adları ile arama yapmak için kullanır. ana makineler. Yönlendirici, ana makine takma adıyla bir eşleşme algılarsa Yönlendirici, bu e-postadaki TLS sertifikasını ve ana makine takma adıyla ilişkili sanal ana makinedir. Eşleşme bulunmazsa TLS el sıkışma işlemi başarısız olur.

TLS el sıkışmasının başarısız olması yerine, şuna benzer bir varsayılan sertifika/anahtar çifti tanımlayabilirsiniz: sonraki bölümlerde açıklanmıştır.

Cloud için Edge'de varsayılan sertifika/anahtar çifti tanımlama

Apigee, HTTPS'yi desteklemek için TLS sertifikası ve özel anahtar sağlar. Birçok müşteri, kendi sertifikalarını ve özel anahtarlarını kullanmayı tercih ederseniz API'lerinizi dağıtıp kullanma konusunda da size yardımcı olacaktır.

Yönlendirici, SNI başlığını bir ana makine takma adıyla eşleştiremiyorsa veya İstemci SNI'yi desteklemiyorsa Yönlendirici, Apigee tarafından sağlanan varsayılan sertifikayı kullanırsa Bu *.Apigee.net

Private Cloud için Edge'de varsayılan bir sertifika/anahtar çifti tanımlama

Private Cloud için Edge'de server_name uzantısı ile ana makine takma adları arasında herhangi bir eşleşme bulunmazsa veya istekte bulunan istemci SNI'yı desteklemiyorsa aşağıdaki adımları uygulayarak Bağlantı noktasında varsayılan bir sanal ana makineden sertifika/anahtar kullanacak şekilde yönlendirici. Varsayılan sanal ana makine: kuruluş adı, ortam adı ve sanal ana makine adının bir kombinasyonu ile form:

orgName_envName_vhName

Yönlendirici, daha sonra erişebileceğiniz orgName_envName_vhName birleşiminden alınan sertifika/anahtarı kullanır alfabetik sıralamada en üstte yer alır. Örneğin, istek 443 numaralı bağlantı noktasından geliyor ve prod ortamında example kuruluşu için tanımlanmış iki sanal ana makine:

• sanal ana makine adı = default
• sanal ana makine adı = test

Bu örnekte, Yönlendirici, default adlı sanal ana makinenin sertifika/anahtarını kullanır çünkü example_prod_default, example_prod_test tarihinden önce alfabetik olarak geliyor.

Varsayılan sanal ana makineyi etkinleştirmek için:

1. İlk Yönlendirici düğümünde /opt/apigee/customer/application/router.properties öğesini düzenleyin. Dosya yoksa dosyayı oluşturun.
2. Varsayılan bir sanal ana makine tanımlayabilmeniz için dosyaya aşağıdaki mülkü ekleyin:

   conf_load_balancing_load.balancing.driver.nginx.fallback.conf.enabled=true

3. Yönlendiriciyi yeniden başlatın:

   /opt/apigee/apigee-service/bin/apigee-service edge-router restart

4. Kalan tüm Yönlendiricilerde bu adımları tekrarlayın.

Varsayılan sanal ana makineden sertifika/anahtar kullanmak yerine, varsayılan sertifikayı/anahtarı gösterir. Açık bir varsayılan tanımlamak için aşağıdaki prosedürü kullanın sertifika/anahtar çifti:

1. İlk Yönlendirici düğümünde, sertifikayı ve özel anahtarı Yönlendirici düğümündeki bir konuma kopyalayın Apigee kullanıcısı tarafından erişilebilen bir beyan olmalıdır. Örneğin, /opt/apigee/customer/application.
2. Dosyaların sahipliğini 'Apigee olarak değiştirin. kullanıcı:

   chown apigee:apigee /opt/apigee/customer/application/myCert.pem

   chown apigee:apigee /opt/apigee/customer/application/myKey.pem

3. /opt/apigee/customer/application/router.properties öğesini düzenle. Dosya yoksa dosyayı oluşturun.
4. Varsayılan sertifikayı/anahtarı belirtebilmek için dosyaya aşağıdaki özellikleri ekleyin:
   conf_load_balancing_load.balancing.driver.nginx.fallback.server.default.ssl.template.enabled=true
conf_load_balancing_load.balancing.driver.nginx.fallback.conf.enabled=true
5. Konumu belirtmek için router.properties içinde aşağıdaki özellikleri ayarlayın hakkında daha fazla bilgi edinin:

   conf_load_balancing_load.balancing.driver.nginx.ssl.cert=/opt/apigee/customer/application/myCert.pem
   conf_load_balancing_load.balancing.driver.nginx.ssl.key=/opt/apigee/customer/application/myKey.pem

6. Yönlendiriciyi yeniden başlatın:

   /opt/apigee/apigee-service/bin/apigee-service edge-router restart

7. Kalan tüm Yönlendiricilerde bu adımları tekrarlayın.

Edge'den gelen istekler için SNI desteği arka uç

Edge, Apigee Edge'deki uç noktaları hedeflemek için Mesaj İşlemcileri tarafından SNI kullanılmasını destekler Cloud ve Private Cloud dağıtımları için. Uç Mesaj İşlemcilerinde varsayılan olarak SNI etkindir ve Private Cloud'da devre dışı bırakılır.

Kullanım Private Cloud için Edge'deki arka uca SNI

Private Cloud için Edge'in mevcut hedef arka uçlarıyla geriye dönük uyumlu olması amacıyla Apigee, SNI'yi varsayılan olarak devre dışı bıraktı. Hedef arka ucunuz SNI'yi destekleyecek şekilde yapılandırılmışsa aşağıdakileri yapabilirsiniz: Bu özelliği, Edge sürümünüz için aşağıda açıklandığı şekilde etkinleştirin.

Edge'e özel başka yapılandırma gerekmez. Hedef ortamınız SNI, Edge bunu destekler. Edge, istek URL'sinden ana makine adını otomatik olarak çıkarıp ekler eklemesi gerekir.

Edge 4.15.07.0x sürümü için Edge ile arka uç arasında SNI'yi etkinleştirin

SNI'yi etkinleştirmek için aşağıdaki prosedürü kullanın:

1. İlk İleti İşleyen düğümünde dosyayı açın Bir düzenleyicide /opt/apigee4/conf/apigee/message-processor/system.properties.
2. system.properties içinde aşağıdaki özelliği doğru değerine ayarlayın:

   jsse.enableSNIExtension=true

3. Mesaj İşlemcilerini yeniden başlatın:

   /opt/apigee4/bin/apigee-service message-processor restart

4. Geri kalan tüm Mesaj İşleyicilerde bu adımları tekrarlayın.

Edge 4.16.01 ve sonraki sürümler için Edge ile arka uç arasındaki SNI'yi etkinleştirin

SNI'yi etkinleştirmek için aşağıdaki prosedürü kullanın:

1. İlk İleti İşleyici düğümünde /opt/apigee/customer/application/message-processor.properties öğesini düzenleyin. Dosya yoksa dosyayı oluşturun.
2. Aşağıdaki özelliği dosyaya ekleyin:

   conf_system_jsse.enableSNIExtension=true

3. Mesaj İşleyici'yi yeniden başlatın:

   /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart

4. Geri kalan tüm Mesaj İşleyicilerde bu adımları tekrarlayın.