Konfigurowanie protokołu TLS między routerem a podmiotem przetwarzającym wiadomości

Edge for Private Cloud, wer. 4.16.05

Domyślnie protokół TLS między routerem a procesorem wiadomości jest wyłączony.

Aby włączyć szyfrowanie TLS między routerem a firmą obsługującą wiadomości, wykonaj te czynności:

  1. Upewnij się, że port 8082 w procesorze wiadomości jest dostępny dla routera.
  2. Wygeneruj plik JKS magazynu kluczy zawierający certyfikat TLS i klucz prywatny. Więcej informacji znajdziesz w artykule Konfigurowanie TLS/SSL dla serwerów brzegowych.
  3. Skopiuj plik JKS magazynu kluczy do katalogu /tmp na serwerze procesora wiadomości.
  4. Zmień uprawnienia pliku JKS i własność tego pliku:
    > chown apigee:apigee /tmp/keystore.jks
    > chmod 600 /tmp/keystore.jks


    gdzie keystore.jks to nazwa Twojego pliku magazynu kluczy.
  5. Edytuj plik /<inst_root>/apigee/customer/application/message-processor.property. Jeśli plik nie istnieje, utwórz go.
  6. W pliku message-processor.property ustaw te właściwości:
    conf_message-processor-communication_local.http.ssl=true
    conf/message-processor-communication.property+local.http.ssl.keystore.type=jks
    com/message.process.mikość.tylko.dojść.usługa.tylko.dojść.usługa.tylko.dojść.komunikacja



    conf/message-processor-communication.property+local.http.ssl.keystore.password=OBF:obsPword


    gdzie keyStore.jks to plik magazynu kluczy, a obsPword to zaciemniony magazyn kluczy i hasło. Informacje o generowaniu zaciemnionego hasła znajdziesz w artykule Konfigurowanie TLS/SSL dla serwerów brzegowych.
  7. Upewnij się, że plik message-processor.property należy do użytkownika „apigee”:
    > chown apigee:apigee /<inst_root>/apigee/customer/application/message-processor.property
  8. Zatrzymaj procesory i routery wiadomości:
    /<install_dir>/apigee/apigee-service/bin/apigee-service edge-message-processor stop
    /<install_dir>/apigee/apigee-service/bin/apigee-service edge-router stop
  9. Na routerze usuń wszystkie pliki z katalogu /opt/nginx/conf.d:
    > rm -f /opt/nginx/conf.d/*
  10. Uruchom procesory i routery wiadomości:
    /<install_dir>/apigee/apigee-service/bin/apigee-service edge-message-processor start
    /<install_dir>/apigee/apigee-service/bin/apigee-service edge-router start
  11. Powtórz te czynności dla wszystkich dodatkowych podmiotów przetwarzających wiadomości.

W tabeli poniżej znajdziesz listę wszystkich właściwości dostępnych w polu message-processor.property:

Usługi

Description

conf_message-processor-communication_local.http.host=<lokalnyhost lub adres IP>

Opcjonalnie. Nazwa hosta, na której nasłuchuje połączenia routera. Spowoduje to zastąpienie nazwy hosta skonfigurowanego podczas rejestracji.

conf/message-processor-communication.property+local.http.port=8998

Opcjonalnie. Port, na którym nasłuchuje połączeń routera. Wartość domyślna to 8998.

conf_message-processor-communication_local.http.ssl=<false | true>

Ustaw wartość „true”, aby włączyć TLS/SSL. Wartość domyślna to fałsz (fałsz). Gdy protokół TLS/SSL jest włączony, musisz ustawić local.http.ssl.keystore.path i local.http.ssl.keyalias.

conf/message-processor-communication.property+local.http.ssl.keystore.path=

Lokalna ścieżka systemu plików do magazynu kluczy (JKS lub PKCS12). Obowiązkowa wartość w polu local.http.ssl=true.

conf/message-processor-communication.property+local.http.ssl.keyalias=

Alias klucza z magazynu kluczy, który ma być używany na potrzeby połączeń TLS/SSL. Obowiązkowy w przypadku local.http.ssl=true.

conf/message-processor-communication.property+local.http.ssl.keyalias.password=

Hasło używane do szyfrowania klucza w magazynie kluczy. Użyj zaciemnionego hasła w formacie: OBF:xxxxxxxxxx

conf/message-processor-communication.property+local.http.ssl.keystore.type=jks

Typ magazynu kluczy. Obecnie obsługiwane są tylko pliki JKS i PKCS12. Wartość domyślna to JKS.

conf/message-processor-communication.property+local.http.ssl.keystore.password=

Opcjonalnie. Zamaskowane hasło do magazynu kluczy. Użyj zaciemnionego hasła w formacie OBF:xxxxxxxxxx

conf_message-processor-communication_local.http.ssl.ciphers=<cipher1,cipher2>.

Opcjonalnie. Po skonfigurowaniu tej zasady dozwolone są tylko mechanizmy szyfrowania wymienione na liście. W przypadku pominięcia użyj wszystkich mechanizmów szyfrowania obsługiwanych przez JDK.