Router と Message Processor 間の TLS の構成

Edge for Private Cloud v4.16.05

デフォルトでは、Router と Message Processor 間の TLS は無効になっています。

Router と Message Processor 間の TLS 暗号化を有効にするには、次の手順を使用します。

  1. Message Processor のポート 8082 に Router がアクセスできることを確認します。
  2. TLS 証明書と秘密鍵を含むキーストア JKS ファイルを生成します。詳細については、オンプレミスの Edge での TLS/SSL の構成をご覧ください。
  3. キーストア JKS ファイルを Message Processor サーバーの /tmp ディレクトリにコピーします。
  4. JKS ファイルの権限と所有権を変更します。
    > chown apigee:apigee /tmp/keystore.jks
    > chmod 600 /tmp/keystore.jks

    keystore.jks はキーストア ファイルの名前です。
  5. /<inst_root>/apigee/customer/application/message-processor.properties ファイルを編集します。ファイルが存在しない場合は作成します。
  6. message-processor.properties ファイルで次のプロパティを設定します。
    conf_message-processor-communication_local.http.ssl=true
    conf/message-processor-communication.properties+local.http.port=8443
    conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
    conf/message-store.面パスワード .conf.面


    conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword


    ここで、keyStore.jks はキーストア ファイル、obsPword は難読化されたキーストアとキーエイリアスのパスワードです。難読化されたパスワードの生成については、オンプレミスの Edge での TLS/SSL の構成をご覧ください。
  7. message-processor.properties ファイルの所有者を「apigee」ユーザーにします。
    > chown apigee:apigee /<inst_root>/apigee/customer/application/message-processor.properties
  8. Message-Processor と Router を停止します。
    /<install_dir>/apigee/apigee-service/bin/apigee-service edge-message-processor
    /<install_dir>/apigee/apigee-service/bin/apigee-service edge-router stop
  9. Router で、/opt/nginx/conf.d 内のファイルをすべて削除します。
    > rm -f /opt/nginx/conf.d/*
  10. Message-Processor と Router を起動します。
    /<install_dir>/apigee/apigee-service/bin/apigee-service edge-message-processor start
    /<install_dir>/apigee/apigee-service/bin/apigee-service edge-router start
  11. 追加の Message Processor について、この手順を繰り返します。

message-processor.properties で使用可能なすべてのプロパティを次の表に示します。

プロパティ

Description

conf_message-processor-communication_local.http.host=<localhost または IP アドレス>

(省略可)ルーター接続をリッスンするホスト名。これにより、登録時に構成されたホスト名がオーバーライドされます。

conf/message-processor-communication.properties+local.http.port=8998

(省略可)ルーター接続をリッスンするポート。デフォルトは 8998 です。

conf_message-processor-communication_local.http.ssl=<false | true>

TLS/SSL を有効にするには、true に設定します。デフォルトは false です。TLS/SSL を有効にする場合は、local.http.ssl.keystore.pathlocal.http.ssl.keyalias を設定する必要があります。

conf/message-processor-communication.properties+local.http.ssl.keystore.path=

キーストア(JKS または PKCS12)へのローカル ファイル システムのパス。local.http.ssl=true の場合は必須です。

conf/message-processor-communication.properties+local.http.ssl.keyalias=

TLS/SSL 接続に使用されるキーストアの鍵エイリアス。local.http.ssl=true の場合は必須です。

conf/message-processor-communication.properties+local.http.ssl.keyalias.password=

キーストア内の鍵の暗号化に使用するパスワード。OBF:xxxxxxxxxx の難読化されたパスワードを使用します。

conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks

キーストアのタイプ。現在サポートされているのは、JKS と PKCS12 のみです。デフォルトは JKS です。

conf/message-processor-communication.properties+local.http.ssl.keystore.password=

(省略可)キーストアの難読化パスワード。OBF:xxxxxxxxxx の難読化されたパスワードを使用します。

conf_message-processor-communication_local.http.ssl.cryptos=<crypto1,crypto2>

(省略可)構成すると、リストにある暗号のみが許可されます。省略した場合は、JDK でサポートされているすべての暗号を使用します。