ضبط إشارة SNI بين معالج رسائل Edge وخادم الخلفية

يتم الآن عرض مستندات Apigee Edge.
انتقِل إلى مستندات Apigee X. المعلومات

تسمح إشارة اسم الخادم (SNI) بعرض خوادم خلفية HTTPS متعددة من خلال عنوان IP والمنفذ نفسيهما بدون طلب استخدام شهادة بروتوكول أمان طبقة النقل (TLS) نفسها من الخوادم الخلفية. وهو امتداد لبروتوكول أمان طبقة النقل (TLS). عند تفعيل إشارة اسم الخادم (SNI) على أحد البرامج، يمرر العميل اسم المضيف لخادم الخلفية كجزء من عملية تأكيد الاتصال الأولية عبر بروتوكول أمان طبقة النقل (TLS). يسمح هذا الإجراء لخادم بروتوكول أمان طبقة النقل (TLS) بتحديد شهادة بروتوكول أمان طبقة النقل (TLS) التي يجب استخدامها للتحقّق من صحة الطلب الوارد من العميل.

بشكل تلقائي، يتم إيقاف إشارة اسم الخادم (SNI) على مكوِّن "معالج الرسائل" في Edge لخدمة Private Cloud لضمان التوافق مع الأنظمة القديمة مع الخوادم الخلفية الحالية. وفي حال إعداد خادم الخلفية لديك بحيث يتوافق مع إشارة اسم الخادم (SNI)، ستحتاج إلى تفعيل إشارة اسم الخادم (SNI) على مكوّن "معالج الرسائل". بخلاف ذلك، سيتعذّر تنفيذ طلبات البيانات من واجهة برمجة التطبيقات التي تمر عبر Apigee Edge مع حالات تعذُّر تأكيد الاتصال من خلال بروتوكول أمان طبقة النقل (TLS).

يوضح هذا المستند كيفية القيام بما يلي:

• تحديد ما إذا كان يتم تفعيل إشارة SNI لخادم الخلفية أم لا
• تفعيل إشارة SNI على معالِجات الرسائل حتى يتصل بالخوادم الخلفية التي تتوافق مع إشارة SNI
• إيقاف إشارة اسم الخادم (SNI) في معالِجات الرسائل إذا لزم الأمر
• تحقَّق من تحديث ضبط إشارة اسم الخادم (SNI) بنجاح على معالجات الرسائل.

قبل البدء

• إذا لم تكن معتادًا على استخدام إشارة SNI، اطّلِع على استخدام إشارة اسم الخادم (SNI) مع الحافة.
• إذا لم تكن على دراية بكيفية ضبط Edge على Private Cloud، يُرجى الاطّلاع على طريقة إعداد Edge.

تحديد الخادم الذي يمكّن إشارة اسم الخادم (SNI)

يصف هذا القسم كيفية تحديد ما إذا كان خادم الخلفية مفعَّلاً أم لا.

1. نفِّذ الأمر openssl وحاوِل الاتصال باسم مضيف الخادم ذي الصلة (جهاز توجيه Edge أو خادم الخلفية) بدون إدخال اسم الخادم، كما هو موضّح أدناه:

   openssl s_client -connect hostname:port
   

2. قد تحصل على الشهادات وقد تلاحظ أحيانًا تعذُّر تأكيد الاتصال في الأمر openssl، كما هو موضّح أدناه:
   

   CONNECTED(00000003) 9362:error:14077410:SSL routines:SSL23_GET_SERVER_HELLO:sslv3 alert handshake failure:/BuildRoot/Library/Caches/com.apple.xbs/Sources/OpenSSL098/OpenSSL098-64.50.6/src/ssl/s23_clnt.c:593
   

3. نفِّذ الأمر openssl وحاوِل الاتصال باسم مضيف الخادم ذي الصلة (جهاز توجيه Edge أو خادم الخلفية) من خلال تمرير اسم الخادم كما هو موضّح أدناه:

   openssl s_client -connect hostname:port -servername hostname
   

4. إذا تعذَّر تأكيد الاتصال في الخطوة 1 أو حصلت على شهادات مختلفة في الخطوة 1 والخطوة 2، سيشير ذلك إلى أنّ الخادم المحدَّد مفعلّ إشارة اسم الخادم (SNI).
5. إذا كنت تريد التحقق من ذلك لأكثر من خادم خلفية واحد، عليك تكرار الخطوات السابقة لكل خادم خلفية.

إذا وجدت أنّ لديك خادمًا واحدًا أو أكثر من الخوادم الخلفية مفعَّلة، عليك تفعيل إشارة SNI في مكوّن "معالج الرسائل" كما هو موضّح أدناه. بخلاف ذلك، سيتعذّر تنفيذ طلبات البيانات من واجهة برمجة التطبيقات التي تمر عبر Apigee Edge في حال تعذُّر تأكيد الاتصال من خلال بروتوكول أمان طبقة النقل (TLS).

تفعيل إشارة اسم الخادم (SNI) بين معالجات رسائل Edge وخادم الخلفية

يوضّح هذا القسم كيفية تفعيل إشارة SNI بين معالج رسائل Edge وخادم الخلفية. يمكن تفعيل إشارة SNI من خلال السمة jsse.enableSNIExtension في مكوّن "معالج الرسائل". لضبط أي موقع على معالج الرسائل، استخدِم الرمز المميّز وفقًا للبنية الموضحة في كيفية إعداد Edge.

لتمكين إشارة SNI في معالجات الرسائل، نفذ الخطوات التالية:

1. تحديد مكان الرمز المميّز للسمة jsse.enableSNIExtension
2. تفعيل إشارة اسم الخادم (SNI) في معالج الرسائل

تحديد موقع الرمز المميّز للموقع الإلكتروني jsse.enableSNIExtension

توضّح الخطوات التالية كيفية تحديد مكان الرمز المميّز للسمة jsse.enableSNIExtension:

1. ابحث عن السمة jsse.enableSNIExtension في دليل مصدر معالج الرسائل /opt/apigee/edge-message-processor/source باستخدام الأمر التالي:

   grep -ri "jsse.enableSNIExtension" /opt/apigee/edge-message-processor/source
   

2. يعرض ناتج هذا الأمر الرمز المميّز للسمة jsse.enableSNIExtension في "معالج الرسائل" على النحو التالي:

   /opt/apigee/edge-message-processor/source/conf/system.properties:jsse.enableSNIExtension={T}conf_system_jsse.enableSNIExtension{/T}
   

   حيث تكون السلسلة بين علامات {T}{/T} هي اسم الرمز المميّز الذي يمكنك ضبطه في ملف .properties "معالج الرسائل".

   وبالتالي، يكون الرمز المميّز للسمة jsse.enableSNIExtension على النحو التالي:

   conf_system_jsse.enableSNIExtension
   

تفعيل إشارة اسم الخادم (SNI) في معالج الرسائل

توضح الخطوات التالية كيفية تفعيل إشارة SNI على مكوِّن Apigee Message Processor.

1. على الجهاز الذي يعمل به معالج الرسائل، افتح الملف التالي في أحد المحرِّرات. إذا لم يكن متوفّرًا حاليًا، يجب إنشاؤه.

   /opt/apigee/customer/application/message-processor.properties
   

   على سبيل المثال، لفتح الملف باستخدام vi، أدخِل الأمر التالي:

   vi /opt/apigee/customer/application/message-processor.properties
   

2. أضِف سطرًا بالتنسيق التالي إلى ملف السمات:

   conf_system_jsse.enableSNIExtension=true
   

3. احفظ التغييرات.
4. تأكَّد من أنّ ملف السمات هذا يملكه مستخدم apigee كما هو موضّح أدناه:

   chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
   

5. أعِد تشغيل معالج الرسائل كما هو موضَّح أدناه:

   /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
   

6. تحقَّق من تعديل إعدادات إشارة اسم الخادم (SNI) على "معالج الرسائل".
7. إذا كان لديك أكثر من معالج رسائل واحد، كرِّر هذه الخطوات أعلاه في كل معالِجات الرسائل.

إيقاف إشارة اسم الخادم (SNI) بين معالجات رسائل Edge وخادم الخلفية

بشكل عام، لن تظهر أي مشاكل بعد تفعيل إشارة SNI. ومع ذلك، إذا لاحظت أي مشاكل في الاتصال بين معالج رسائل Edge وخادم الخلفية بعد تفعيل إشارة اسم الخادم (SNI)، يمكنك دائمًا إيقاف إشارة اسم الخادم (SNI) عن طريق تنفيذ الخطوات التالية.

يمكن إيقاف إشارة اسم الخادم (SNI) من خلال ضبط السمة jsse.enableSNIExtension مرة أخرى على false في مكوّن معالج الرسائل.

إيقاف إشارة اسم الخادم (SNI) في معالِجات الرسائل

توضح الخطوات التالية كيفية إيقاف إشارة اسم الخادم (SNI) على معالِجات رسائل Apigee.

1. على الجهاز الذي يعمل به معالج الرسائل، افتح الملف التالي في أحد المحرِّرين. إذا لم يكن متوفّرًا حاليًا، يجب إنشاؤه.

   /opt/apigee/customer/application/message-processor.properties
   

   على سبيل المثال، لفتح الملف باستخدام vi، أدخِل الأمر التالي:

   vi /opt/apigee/customer/application/message-processor.properties
   

2. إذا كان السطر conf_system_jsse.enableSNIExtension=true متوفرًا في /opt/apigee/customer/application/message-processor.properties، يمكنك تعديله على النحو التالي:

   conf_system_jsse.enableSNIExtension=false
   

3. احفظ التغييرات.
4. تأكَّد من أنّ ملف السمات هذا يملكه مستخدم apigee كما هو موضّح أدناه:

   chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
   

5. أعِد تشغيل معالج الرسائل كما هو موضَّح أدناه:

   /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
   

6. تحقَّق من تعديل إعدادات إشارة اسم الخادم (SNI) على "معالج الرسائل".
7. إذا كان لديك أكثر من معالج رسائل واحد، كرِّر الخطوات السابقة في كل معالِجات الرسائل.

التحقق من تهيئة إشارة اسم الخادم (SNI) في معالجات الرسائل

يشرح هذا القسم كيفية التحقق من تحديث ضبط إشارة اسم الخادم (SNI) على معالجات الرسائل.

على الرغم من استخدام الرمز المميّز conf_system_jsse.enableSNIExtension لضبط إشارة اسم الخادم (SNI) على معالج الرسائل، عليك التحقق من أنّه قد تم ضبط السمة jsse.enableSNIExtension الفعلية باستخدام القيمة الجديدة.

1. في جهاز معالجة الرسائل، ابحث عن السمة jsse.enableSNIExtension في الدليل /opt/apigee/edge-message-processor/conf وتحقّق من ضبطها باستخدام القيمة الجديدة كما هو موضّح أدناه:

   grep -ri "jsse.enableSNIExtension" /opt/apigee/edge-message-processor/conf
   

2. إذا تم تعديل إعدادات إشارة اسم الخادم (SNI) بنجاح على "معالج الرسائل"، سيعرِض الأمر أعلاه القيمة الجديدة في ملف system.properties.

   في ما يلي نموذج النتيجة من الأمر الوارد أعلاه بعد تفعيل إشارة اسم الخادم (SNI) في معالج الرسائل:

   /opt/apigee/edge-message-processor/conf/system.properties:jsse.enableSNIExtension=true
   

   وبالمثل، في ما يلي نموذج النتيجة من الأمر الوارد أعلاه بعد إيقاف إشارة اسم الخادم (SNI) على معالج الرسائل:

   /opt/apigee/edge-message-processor/conf/system.properties:jsse.enableSNIExtension=false
   

   في المثال الوارد أعلاه، لاحظ أنّه تم تعديل السمة jsse.enableSNIExtension إلى القيمة الجديدة true أو false في system.properties. ويشير هذا إلى أنه تم تفعيل إشارة اسم الخادم (SNI) أو إيقافها بنجاح في معالج الرسائل.

3. إذا كانت القيمة القديمة للسمة jsse.enableSNIExtension لا تزال ظاهرة، تأكَّد من أنّك قد اتّبعت جميع الخطوات الموضّحة في القسم المناسب لتفعيل إشارة SNI أو إيقافها بشكلٍ صحيح. إذا فاتتك أي خطوة، كرِّر جميع الخطوات مرة أخرى بشكلٍ صحيح.
4. إذا كنت لا تزال غير قادر على تفعيل/إيقاف إشارة اسم الخادم (SNI)، يُرجى التواصل مع فريق دعم Apigee Edge.