Edge for Private Cloud Version 4.17.01
Standardmäßig ist TLS zwischen dem Router und dem Message Processor deaktiviert.
So aktivieren Sie die TLS-Verschlüsselung zwischen einem Router und dem Message Processor:
- Prüfen Sie, ob der Router auf Port 8082 des Message Processors zugreifen kann.
- Generieren Sie die JKS-Datei des Schlüsselspeichers, die Ihre TLS-Zertifizierung und Ihren privaten Schlüssel enthält. Weitere Informationen finden Sie unter TLS/SSL für On-Premises-Edge-Geräte konfigurieren.
- Kopieren Sie die JKS-Datei des Schlüsselspeichers in ein Verzeichnis auf dem Message Processor-Server, z. B. /opt/apigee/customer/application.
- Berechtigungen und Eigentümerschaft der JKS-Datei ändern:
> chown apigee:apigee /opt/apigee/customer/application/keystore.jks
> chmod 600 /opt/apigee/customer/application/keystore.jks
, wobei keystore.jks der Name der Schlüsselspeicherdatei ist. - Bearbeiten Sie die Datei /opt/apigee/customer/application/message-processor.properties. Wenn die Datei nicht vorhanden ist, erstellen Sie sie.
- Legen Sie in der Datei message-processor.properties die folgenden Eigenschaften fest:
conf_message-processor-communication_local.http.ssl=true
conf/message-processor-communication.properties+local.http.port=8443
conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keyStore.jks
conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
# Geben Sie das verschleierte Passwort für den Schlüsselspeicher unten ein.
conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword
wobei keyStore.jks die Keystore-Datei und obsPword das verschleierte Passwort für den Keystore und den Schlüsselalias ist. Informationen zum Erstellen eines verschleierten Passworts finden Sie unter TLS/SSL für Edge On-Premises konfigurieren. - Der Eigentümer der Datei message-processor.properties muss der Nutzer „apigee“ sein:
> chown apigee:apigee /opt/apigee/customer/application/message-processor.properties - Stoppen Sie die Nachrichtenprozessoren und Router:
/opt/apigee/apigee-service/bin/apigee-service Edge-message-processor stop
/opt/apigee/apigee-service/bin/apigee-service Edge-router stop - Löschen Sie auf dem Router alle Dateien in /opt/nginx/conf.d:
> rm -f /opt/nginx/conf.d/* - Starten Sie die Nachrichtenprozessoren und Router:
/opt/apigee/apigee-service/bin/apigee-service Edge-message-processor start
/opt/apigee/apigee-service/bin/apigee-service Edge-router start - Wiederholen Sie diese Schritte für alle weiteren Message Processor.
Nachdem TLS zwischen dem Router und dem Message Processor aktiviert wurde, enthält die Protokolldatei des Message Processors diese INFO-Nachricht:
MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks
Diese INFO-Anweisung bestätigt, dass TLS zwischen dem Router und dem Message Processor funktioniert.
In der folgenden Tabelle sind alle verfügbaren Properties in „message-processor.properties“ aufgeführt:
|
Properties |
Beschreibung |
|---|---|
|
conf_message-processor-communication_local.http.host=<localhost oder IP-Adresse>
|
Optional. Hostname, der auf Routerverbindungen überwacht werden soll. Dadurch wird der bei der Registrierung konfigurierte Hostname überschrieben. |
|
conf/message-processor-communication.properties+local.http.port=8998 |
Optional. Port, der auf Routerverbindungen wartet. Standardwert ist 8998. |
|
conf_message-processor-communication_local.http.ssl=<false | true> |
Legen Sie diesen Wert auf „wahr“ fest, um TLS/SSL zu aktivieren. Der Standardwert ist "false". Wenn TLS/SSL aktiviert ist, müssen Sie local.http.ssl.keystore.path und local.http.ssl.keyalias festlegen. |
|
conf/message-processor-communication.properties+local.http.ssl.keystore.path= |
Lokaler Dateisystempfad zum Schlüsselspeicher (JKS oder PKCS12). Erforderlich, wenn local.http.ssl=true. |
|
conf/message-processor-communication.properties+local.http.ssl.keyalias= |
Schlüsselalias aus dem Schlüsselspeicher, der für TLS/SSL-Verbindungen verwendet werden soll. Bei local.http.ssl=true erforderlich. |
|
conf/message-processor-communication.properties+local.http.ssl.keyalias.password= |
Passwort, das zum Verschlüsseln des Schlüssels im Schlüsselspeicher verwendet wird. Verwenden Sie ein verschleiertes Passwort im folgenden Format: OBF:xxxxxxxxxx |
|
conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks |
Schlüsselspeichertyp. Derzeit werden nur JKS und PKCS12 unterstützt. Der Standardwert ist JKS. |
|
conf/message-processor-communication.properties+local.http.ssl.keystore.password= |
Optional. Verschleiertes Passwort für den Schlüsselspeicher. Verwenden Sie ein verschleiertes Passwort in diesem Format: OBF:xxxxxxxxxx |
|
conf_message-processor-communication_local.http.ssl.ciphers=<cipher1,cipher2> |
Optional. Bei der Konfiguration sind nur die aufgeführten Chiffren zulässig. Wenn Sie diese Option weglassen, werden alle vom JDK unterstützten Chiffren verwendet. |