การกําหนดค่า TLS ระหว่างเราเตอร์และผู้ประมวลผลข้อความ

Edge for Private Cloud เวอร์ชัน 4.16.09

โดยค่าเริ่มต้น TLS ระหว่างเราเตอร์และผู้ประมวลผลข้อความจะถูกปิดใช้งาน

ใช้ขั้นตอนต่อไปนี้เพื่อเปิดใช้การเข้ารหัส TLS ระหว่างเราเตอร์และผู้ประมวลผลข้อความ

  1. ตรวจสอบว่าพอร์ต 8082 บนตัวประมวลผลข้อความสามารถเข้าถึงได้จากเราเตอร์
  2. สร้างไฟล์ Jstore โดยใช้คีย์สโตร์ที่มีใบรับรอง TLS และคีย์ส่วนตัว ดูข้อมูลเพิ่มเติมได้ที่การกําหนดค่า TLS/SSL สําหรับสถานที่ภายในองค์กรที่ใช้ Edge On
  3. คัดลอกไฟล์ JKS จาก keystore ไปยังไดเรกทอรีในเซิร์ฟเวอร์ Message Processor เช่น /opt/apigee/customer/application
  4. เปลี่ยนสิทธิ์และการเป็นเจ้าของไฟล์ JKS:
    > chown apigee:apigee /opt/apigee/customer/application/keystore.jks
    > chmod 600 /opt/apigee/customer/application/keystore.jks


    โดยที่ keystore.jks คือชื่อของไฟล์คีย์สโตร์ของคุณ
  5. แก้ไขไฟล์ /opt/apigee/customer/application/message-processor.properties หากไม่มีไฟล์ ให้สร้างขึ้นมา
  6. ตั้งค่าพร็อพเพอร์ตี้ต่อไปนี้ในไฟล์ message-processor.properties
    conf_message-processor-communication_local.http.ssl=true
    conf/message-processor-communication.properties+local.http.port=8443
    conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
    confconfulation !key_key .ระหว่างการทดสอบ


    conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword


    โดยที่ keyStore.jks เป็นไฟล์คีย์สโตร์ และ obsPword คือคีย์สโตร์และรหัสผ่านที่สร้างความสับสน ดูการกําหนดค่า TLS/SSL สําหรับภายในองค์กรที่ใช้ Edge สําหรับข้อมูลเกี่ยวกับการสร้างรหัสผ่านที่มีความสับสน
  7. ตรวจสอบว่าไฟล์ "message-processor.properties เป็นของผู้ใช้ "apigee"
    > chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  8. หยุด Message-Processor และเราเตอร์:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor หยุด
    /opt/apigee/apigee-service/bin/apigee-service edge-router หยุด
  9. ในเราเตอร์ ให้ลบไฟล์ที่อยู่ใน /opt/nginx/conf.d
    > rm -f /opt/nginx/conf.d/*
  10. เริ่มใช้ Message-Processor และเราเตอร์:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor เริ่มต้น
    /opt/apigee/apigee-service/bin/apigee-service edge-router เริ่มต้น
  11. ทําซ้ําเพื่อประมวลผลข้อความเพิ่มเติม

ตารางต่อไปนี้แสดงรายการพร็อพเพอร์ตี้ทั้งหมดที่มีใน message-processor.properties

พร็อพเพอร์ตี้

คำอธิบาย

conf_message-processor-communication_local.http.host=<localhost หรือที่อยู่ IP>

ไม่บังคับ ชื่อโฮสต์ที่จะฟังเมื่อมีการเชื่อมต่อเราเตอร์ การดําเนินการนี้จะแทนที่ชื่อโฮสต์ที่กําหนดค่าไว้เมื่อลงทะเบียน

conf/message-processor-communication.properties+local.http.port=8998

ไม่บังคับ พอร์ตสําหรับฟังการเชื่อมต่อสําหรับเราเตอร์ ค่าเริ่มต้นคือ 8998

conf_message-processor-communication_local.http.ssl=<false | true>

ตั้งค่านี้เป็น "จริง" เพื่อเปิดใช้ TLS/SSL ทั้งนี้ ระบบตั้งค่าเริ่มต้นไว้ที่ False เมื่อเปิดใช้งาน TLS/SSL คุณจะต้องตั้งค่า local.http.ssl.keystore.path และ local.http.ssl.keyalias

conf/message-processor-communication.properties+local.http.ssl.keystore.path=

เส้นทางระบบไฟล์ในเครื่องไปยังคีย์สโตร์ (JKS หรือ PKCS12) บังคับเมื่อ local.http.ssl=true

conf/message-processor-communication.properties+local.http.ssl.keyalias=

ชื่อแทนคีย์จากคีย์สโตร์ที่จะใช้สําหรับการเชื่อมต่อ TLS/SSL บังคับเมื่อ local.http.ssl=true

conf/message-processor-communication.properties+local.http.ssl.keyalias.password=

รหัสผ่านที่ใช้สําหรับการเข้ารหัสคีย์ภายในคีย์สโตร์ ใช้รหัสผ่านที่สร้างความสับสนในรูปแบบนี้: OBF:xxxxxxxxxx

conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks

ประเภทคีย์สโตร์ ขณะนี้ระบบรองรับเฉพาะ JKS และ PKCS12 เท่านั้น ค่าเริ่มต้นคือ JKS

conf/message-processor-communication.properties+local.http.ssl.keystore.password=

ไม่บังคับ รหัสผ่านที่สร้างความสับสนสําหรับคีย์สโตร์ ใช้รหัสผ่านที่สร้างความสับสนในรูปแบบนี้: OBF:xxxxxxxxxx

conf_message-processor-communication_local.http.ssl.ciphers=<cipher1,cipher2>

ไม่บังคับ เมื่อกําหนดค่าแล้ว ระบบจะอนุญาตเฉพาะตัวเข้ารหัสที่แสดงอยู่เท่านั้น หากไม่ระบุ ให้ใช้การเข้ารหัสทั้งหมดที่ JDK รองรับ