הגדרת TLS בין נתב לבין מעבד הודעות

Edge for Private Cloud v. 4.16.09

כברירת מחדל, ה-TLS בין הנתב למעבד ההודעות מושבת.

יש להשתמש בתהליך הבא כדי להפעיל הצפנת TLS בין נתב לבין מעבד ההודעות:

  1. יש לוודא שהנתב 8082 במעבד ההודעות נגיש לנתב.
  2. יוצרים את קובץ ה-JKS של מאגר המפתחות שמכיל את אישור ה-TLS והמפתח הפרטי. למידע נוסף, קראו את המאמר הגדרת TLS/SSL עבור Edge Edge.
  3. מעתיקים את קובץ ה-JKS של מאגר המפתחות לספרייה בשרת עיבוד ההודעות, למשל /opt/apigee/customer/application.
  4. שינוי ההרשאות והבעלות על קובץ ה-JKS:
    > chown apigee:apigee /opt/apigee/customer/application/keystore.jks
    > chmod 600 /opt/apigee/customer/application/keystore.jks


    כאשר keystore.jks הוא השם של קובץ מאגר המפתחות שלכם.
  5. ערכו את הקובץ /opt/apigee/customer/application/message-CPU.properties. אם הקובץ לא קיים, יוצרים אותו.
  6. מגדירים את המאפיינים הבאים בקובץ message-CPU.properties:
    conf_message-CPU-communication_local.http.ssl=true
    conf/message-CPU-communication.properties+local.http.port=8443
    conf/message-CPU-communication.properties+local.http.ssl.keystore.type=jks
    conf/message-CPU.communication. משתמש. משתמש


    conf/message-CPU-communication.properties+local.http.ssl.keystore.password=OBF:obsPword


    כאשר keyStore.jks הוא קובץ המפתח של מאגר המפתחות שלכם, obsPword הוא הסיסמה או המפתחת של המפתחות המפתח שלכם וערפול הקוד (obfuscation). למידע על יצירת סיסמה מעורפלת, קראו את המאמר הגדרת TLS (אבטחת שכבת התעבורה)/SSL ל-Edge Edge).
  7. מוודאים שהקובץ message-CPU.properties הוא בבעלות המשתמש 'apigee':
    > chown apigee:apigee /opt/apigee/customer/application/message-CPU.properties
  8. הפסקת עיבוד ההודעות והנתבים:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-CPU עצירה
    /opt/apigee/apigee-service/bin/apigee-service edge-router
  9. בנתב, מוחקים קבצים מהכתובת /opt/nginx/conf.d:
    > rm -f /opt/nginx/conf.d/*
  10. מפעילים את עיבוד ההודעות והנתבים:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-CPU start
    /opt/apigee/apigee-service/bin/apigee-service edge-router start
  11. יש לחזור על התהליך עבור מעבדי הודעות נוספים.

בטבלה הבאה מפורטים כל הנכסים הזמינים ב-message-CPU.properties:

נכסים

תיאור

conf_message-CPU-communication_local.http.host=<localhost או כתובת IP>

אופציונלי. שם המארח להאזנה לחיבורי נתב. הפעולה הזו תשנה את שם המארח שהוגדר במהלך הרישום.

conf/message-CPU-communication.properties+local.http.port=8998

אופציונלי. יציאה להאזנה לחיבורי נתבים ברירת המחדל היא 8998.

conf_message-CPU-communication_local.http.ssl=<false | true>

יש להגדיר את הערך כ-true כדי להפעיל TLS/SSL. ברירת המחדל היא FALSE. כאשר TLS/SSL מופעל, עליך להגדיר את local.http.ssl.keystore.path ואת local.http.ssl.keyalias.

conf/message-CPU-communication.properties+local.http.ssl.keystore.path=

נתיב מערכת קבצים מקומי אל מאגר המפתחות (JKS או PKCS12). חובה אם הכתובת local.http.ssl=true.

conf/message-CPU-communication.properties+local.http.ssl.keyalias=

כינוי מפתח ממאגר המפתחות שישמש לחיבורי TLS/SSL. חובה אם local.http.ssl=true.

conf/message-CPU-communication.properties+local.http.ssl.keyalias.password=

הסיסמה המשמשת להצפנת המפתח במאגר המפתחות. יש להשתמש בסיסמה מטושטשת בפורמט הבא: OBF:xxxxxxxxxx

conf/message-CPU-communication.properties+local.http.ssl.keystore.type=jks

סוג מאגר מפתחות. בשלב זה, יש תמיכה רק ב-JKS וב-PKCS12. ברירת המחדל היא JKS.

conf/message-CPU-communication.properties+local.http.ssl.keystore.password=

אופציונלי. סיסמה מעורפלת עבור מאגר המפתחות. יש להשתמש בסיסמה מטושטשת בפורמט הבא: OBF:xxxxxxxxxx

conf_message-CPU-communication_local.http.ssl.ciphers=<cipher1,cipher2>

אופציונלי. בעת ההגדרה, מותר להשתמש רק באלגוריתמים המצפנים המפורטים. אם הושמטו, צריך להשתמש בכל הצפנים הנתמכים על ידי ה-JDK.