Edge for Private Cloud Version 4.16.09
Standardmäßig ist TLS zwischen dem Router und dem Nachrichtenprozessor deaktiviert.
So aktivieren Sie die TLS-Verschlüsselung zwischen einem Router und dem Nachrichtenprozessor:
- Achten Sie darauf, dass Port 8082 im Message Processor für den Router zugänglich ist.
- Generieren Sie die Keystore-JKS-Datei mit Ihrer TLS-Zertifizierung und Ihrem privaten Schlüssel. Weitere Informationen finden Sie unter TLS/SSL für Edge On Premises konfigurieren.
- Kopieren Sie die Keystore-JKS-Datei in ein Verzeichnis auf dem Message Processor-Server, z. B. /opt/apigee/customer/application.
- Ändern Sie die Berechtigungen und die Inhaberschaft der JKS-Datei:
> chown apigee:apigee /opt/apigee/customer/application/keystore.jks
> chmod 600 /opt/apigee/customer/application/keystore.jks
, wobei keystore.jks der Name Ihrer Schlüsselspeicherdatei ist. - Bearbeiten Sie die Datei /opt/apigee/customer/application/message-processor.properties. Wenn die Datei nicht vorhanden ist, erstellen Sie sie.
- Legen Sie die folgenden Attribute in der Datei message-processor.properties fest:
conf_message-processor-communication_local.http.ssl=true
conf/message-processor-communication.properties+local.http.port=8443
conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
conf/message.process.application
conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword
wobei keyStore.jks Ihre Schlüsselspeicherdatei und obsPword Ihre verschleierten Schlüsselspeicher- und Keyalias-Passwörter sind. Weitere Informationen zum Generieren eines verschleierten Passwortes finden Sie unter TLS/SSL für Edge On Premises konfigurieren. - Überprüfen Sie, ob die Datei message-processor.properties dem Nutzer „apigee“ gehört:
> chown apigee:apigee /opt/apigee/customer/application/message-processor.properties - Beenden Sie die Message-Processors und Router:
/opt/apigee/apigee-service/bin/apigee-service Edge-message-processor stop
/opt/apigee/apigee-service/bin/apigee-service Edge-Router anhalten - Löschen Sie auf dem Router alle Dateien in /opt/nginx/conf.d:
> rm -f /opt/nginx/conf.d/*. - Starten Sie die Message-Processoren und Router:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
/opt/apigee/apigee-service/bin/apigee-service Edge-Router starten - Wiederholen Sie diese Schritte für alle weiteren Message Processor.
In der folgenden Tabelle sind alle verfügbaren Attribute in „message-processor.properties“ aufgeführt:
Properties |
Beschreibung |
---|---|
conf_message-processor-communication_local.http.host=<localhost oder IP-Adresse>
|
Optional. Hostname, der bei Routerverbindungen überwacht werden soll. Dadurch wird der bei der Registrierung konfigurierte Hostname überschrieben. |
conf/message-processor-communication.properties+local.http.port=8998 |
Optional. Port, der für Routerverbindungen verwendet werden soll. Der Standardwert ist 8.998. |
conf_message-processor-communication_local.http.ssl=<false | true> |
Setzen Sie den Wert auf „true“, um TLS/SSL zu aktivieren. Der Standardwert ist "false". Wenn TLS/SSL aktiviert ist, müssen Sie local.http.ssl.keystore.path und local.http.ssl.keyalias festlegen. |
conf/message-processor-communication.properties+local.http.ssl.keystore.path=. |
Pfad des lokalen Dateisystems zum Schlüsselspeicher (JKS oder PKCS12). Obligatorisch, wenn local.http.ssl=true. |
conf/message-processor-communication.properties+local.http.ssl.keyalias=. |
Schlüsselalias aus dem Schlüsselspeicher, der für TLS/SSL-Verbindungen verwendet werden soll. Obligatorisch, wenn local.http.ssl=true. |
conf/message-processor-communication.properties+local.http.ssl.keyalias.password=. |
Passwort, das zum Verschlüsseln des Schlüssels im Schlüsselspeicher verwendet wird. Verwenden Sie ein verschleiertes Passwort in diesem Format: OBF:xxxxxxxxxx |
conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks |
Schlüsselspeichertyp. Derzeit werden nur JKS und PKCS12 unterstützt. Der Standardwert ist JKS. |
conf/message-processor-communication.properties+local.http.ssl.keystore.password= |
Optional. Verschleiertes Passwort für den Schlüsselspeicher. Verwenden Sie ein verschleiertes Passwort in diesem Format: OBF:xxxxxxxxxx |
conf_message-processor-communication_local.http.ssl.icks=<Chiffre1,verschlüsselt2> |
Optional. Wenn sie konfiguriert sind, sind nur die aufgeführten Chiffren zulässig. Wenn nichts angegeben ist, sollten Sie alle Chiffren verwenden, die vom JDK unterstützt werden. |