ضبط بروتوكول أمان طبقة النقل بين جهاز توجيه ومعالج رسائل

Edge for Private Cloud‏ 4.17.01

يكون بروتوكول TLS غير مفعَّل تلقائيًا بين جهاز التوجيه ومعالج الرسائل.

اتّبِع الإجراء التالي لتفعيل تشفير بروتوكول أمان طبقة النقل (TLS) بين جهاز توجيه ومعالج الرسائل:

  1. تأكَّد من إمكانية وصول جهاز التوجيه إلى المنفذ 8082 في معالج الرسائل.
  2. أنشِئ ملف JKS لملف تخزين المفاتيح الذي يحتوي على شهادة بروتوكول أمان طبقة النقل (TLS) ومفتاح خاص. لمزيد من المعلومات، اطّلِع على مقالة ضبط بروتوكول أمان طبقة النقل (TLS) أو طبقة المقابس الآمنة (SSL) لتطبيق Edge On Premises.
  3. انسخ ملف JKS الخاص بملف تخزين المفاتيح إلى دليل على خادم Message Processor، مثل /opt/apigee/customer/application.
  4. غيِّر أذونات ملف JKS وملكيته:
    > chown apigee:apigee /opt/apigee/customer/application/keystore.jks
    > chmod 600 /opt/apigee/customer/application/keystore.jks

    حيث يكون keystore.jks هو اسم ملف تخزين المفاتيح.
  5. عدِّل الملف /opt/apigee/customer/application/message-processor.properties. إذا لم يكن الملف متوفّرًا، أنشئه.
  6. اضبط السمات التالية في ملف message-processor.properties:
    conf_message-processor-communication_local.http.ssl=true
    conf/message-processor-communication.properties+local.http.port=8443
    conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
    conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keyStore.jks
    conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
    # أدخِل كلمة مرور ملفات تخزين المفاتيح المشفّرة أدناه.
    conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword

    حيث يكون keyStore.jks هو ملف تخزين المفاتيح، وobsPword هو تخزين مفاتيح مشفَّر وكلمة مرور العنوان البديل للمفتاح. اطّلِع على مقالة ضبط بروتوكول أمان طبقة النقل (TLS) أو طبقة المقابس الآمنة (SSL) لتطبيق Edge On Premises للحصول على معلومات عن إنشاء كلمة مرور مشوَّهة.
  7. تأكَّد من أنّ ملف message-processor.properties هو ملك المستخدم "apigee":
    > chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  8. أوقِف معالجات الرسائل وأجهزة التوجيه:
    /opt/apigee/apigee-service/bin/apigee-service Edge-message-processor stop
    /opt/apigee/apigee-service/bin/apigee-service Edge-routerstop
  9. على جهاز التوجيه، احذف أي ملفات في /opt/nginx/conf.d:
    ‎> rm -f /opt/nginx/conf.d/*‎
  10. ابدأ معالجات الرسائل وأجهزة التوجيه:
    ‎/opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
    ‎/opt/apigee/apigee-service/bin/apigee-service edge-router start
  11. كرِّر الخطوات السابقة مع أيّ معالجات رسائل إضافية.

بعد تمكين بروتوكول أمان طبقة النقل (TLS) بين جهاز التوجيه ومعالج الرسائل، يحتوي ملف سجل معالج الرسائل على رسالة INFO التالية:

MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks

تؤكد عبارة INFO هذه أن بروتوكول أمان طبقة النقل (TLS) يعمل بين جهاز التوجيه ومعالج الرسائل.

يسرد الجدول التالي جميع السمات المتاحة في message-processor.properties:

المواقع

الوصف

conf_message-processor-communication_local.http.host=<localhost or IP address>

اختياريّ. اسم المضيف المطلوب الاستماع إليه في اتصالات جهاز التوجيه. سيؤدي هذا الإجراء إلى إلغاء اسم المضيف الذي تم إعداده عند التسجيل.

conf/message-processor-communication.properties+local.http.port=8998

اختياريّ. المنفذ للاستماع إلى اتصالات جهاز التوجيه. القيمة التلقائية هي 8998.

conf_message-processor-communication_local.http.ssl=<false | true>

اضبط هذا الخيار على true (صحيح) لتفعيل بروتوكول أمان طبقة النقل (TLS) أو طبقة المقابس الآمنة (SSL). القيمة التلقائية هي false. عند تفعيل بروتوكول أمان طبقة النقل (TLS) أو طبقة المقابس الآمنة (SSL)، يجب ضبط local.http.ssl.keystore.path و local.http.ssl.keyalias.

conf/message-processor-communication.properties+local.http.ssl.keystore.path=

مسار نظام الملفات المحلي إلى ملف تخزين المفاتيح (JKS أو PKCS12). مطلوب عند local.http.ssl=true.

conf/message-processor-communication.properties+local.http.ssl.keyalias=

الاسم المعرِّف للمفتاح من مخزن المفاتيح ليتم استخدامه في عمليات الاتصال عبر بروتوكول أمان طبقة النقل (TLS) أو طبقة المقابس الآمنة مطلوب عند local.http.ssl=true.

conf/message-processor-communication.properties+local.http.ssl.keyalias.password=

كلمة المرور المستخدَمة لتشفير المفتاح داخل ملف تخزين المفاتيح استخدِم كلمة مرور مشوَّهة بالتنسيق التالي: OBF:xxxxxxxxxx

conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks

نوع ملف تخزين المفاتيح لا يتوفّر حاليًا سوى تنسيقَي JKS وPKCS12. القيمة التلقائية هي JKS.

conf/message-processor-communication.properties+local.http.ssl.keystore.password=

اختياريّ. كلمة مرور مشوّشة لملف تخزين المفاتيح استخدِم كلمة مرور مشوَّهة بالتنسيق التالي: OBF:xxxxxxxxxx

conf_message-processor-communication_local.http.ssl.ciphers=<cipher1,cipher2>

اختياريّ. عند الضبط، لا يُسمح إلا بتشفير البيانات المدرَجة. في حال حذف هذا العنصر، سيتم استخدام كل التشفيرات المتوافقة مع JDK.