Configuration de TLS entre un routeur et un processeur de messages

Edge for Private Cloud v. 4.16.09

Par défaut, le protocole TLS entre le routeur et le processeur de messages est désactivé.

Pour activer le chiffrement TLS entre un routeur et le processeur de messages, procédez comme suit:

  1. Assurez-vous que le routeur peut accéder au port 8082 du processeur de messages.
  2. Générez le fichier JKS contenant votre certification TLS et votre clé privée. Pour en savoir plus, consultez la section Configurer TLS/SSL pour les périphériques sur site.
  3. Copiez le fichier JKS du keystore dans le répertoire du serveur de traitement des messages, par exemple /opt/apigee/customer/application.
  4. Modifiez les autorisations et la propriété du fichier JKS:
    > chown apigee:apigee /opt/apigee/customer/application/keystore.jks
    > chmod 600 /opt/apigee/customer/application/keystore.jks


    keystore.jks est le nom de votre fichier keystore.
  5. Modifiez le fichier /opt/apigee/customer/application/message-processor.properties. Si le fichier n'existe pas, créez-le.
  6. Définissez les propriétés suivantes dans le fichier message-processor.properties:
    conf_message-processor-communication-local.http.ssl.true





    conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword


    keyStore.jks est votre fichier keystore et obsPword est votre mot de passe keystore et votre alias de clé obscurcis. Pour en savoir plus sur la génération d'un mot de passe obscurci, consultez la page Configurer TLS/SSL pour les périphériques sur site.
  7. Assurez-vous que le fichier message-processor.properties appartient à l'utilisateur "apigee" :
    > chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  8. Arrêtez les processeurs et les routeurs de messages:
    /opt/apigee/apigee-service/bin/apigee-service Edge-message-processor stop
    /opt/apigee/apigee-service/bin/apigee-service Edge-router arrêt
  9. Sur le routeur, supprimez tous les fichiers de /opt/nginx/conf.d:
    > rm -f /opt/nginx/conf.d/*
  10. Démarrez les processeurs et les routeurs de messages:
    /opt/apigee/apigee-service/bin/apigee-service Edge-message-processor start
    /opt/apigee/apigee-service/bin/apigee-service Edge-router start
  11. Répétez l'opération pour tout processeur de message supplémentaire.

Le tableau suivant répertorie toutes les propriétés disponibles dans message-processor.properties:

Propriétés

Description

conf_message-processor-communication_local.http.host=<localhost or address address>

Facultatif. Nom d'hôte sur lequel écouter les connexions de routeur. Le nom d'hôte configuré lors de l'enregistrement sera remplacé.

conf/message-processor-communication.properties+local.http.port=8998

Facultatif. Port d'écoute des connexions du routeur. La valeur par défaut est 8998.

conf_message-processor-communication_local.http.ssl=<false | true>

Définissez cette option sur "true" pour activer le protocole TLS/SSL. La valeur par défaut est "false". Lorsque TLS/SSL est activé, vous devez définir les paramètres local.http.ssl.keystore.path et local.http.ssl.keyalias.

conf/message-processor-communication.properties+local.http.ssl.keystore.path=.

Chemin d'accès local au système de fichiers (JKS ou PKCS12) Obligatoire si local.http.ssl=true.

conf/message-processor-communication.properties+local.http.ssl.keyalias=.

Alias de clé du keystore à utiliser pour les connexions TLS/SSL. Obligatoire si local.http.ssl=true.

conf/message-processor-communication.properties+local.http.ssl.keyalias.password=.

Mot de passe utilisé pour chiffrer la clé dans le keystore. Utilisez un mot de passe obscurci au format suivant: OBF:xxxxxxxxxx.

conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks.

Type de keystore. Seuls JKS et PKCS12 sont actuellement compatibles. La valeur par défaut est JKS.

conf/message-processor-communication.properties+local.http.ssl.keystore.password=.

Facultatif. Mot de passe obscur pour le keystore. Utilisez un mot de passe obscurci au format suivant: OBF:xxxxxxxxxx.

conf_message-processor-communication_local.http.ssl.encryptions=<chiffrement1,chiffrement2>

Facultatif. Une fois configurés, seuls les algorithmes de chiffrement répertoriés sont autorisés. En cas d'omission, utilisez tous les algorithmes de chiffrement compatibles avec le JDK.