Edge pour Private Cloud v. 4.17.01
Par défaut, le protocole TLS entre le routeur et le processeur de messages est désactivé.
Pour activer le chiffrement TLS entre un routeur et le processeur de messages, procédez comme suit:
- Assurez-vous que le routeur peut accéder au port 8082 du processeur de messages.
- Générez le fichier JKS du keystore contenant votre certification TLS et votre clé privée. Pour en savoir plus, consultez la section Configurer TLS/SSL pour Edge sur site.
- Copiez le fichier JKS du keystore dans un répertoire du serveur Message Processor, tel que /opt/apigee/customer/application.
- Modifiez les autorisations et la propriété du fichier JKS:
> chown apigee:apigee /opt/apigee/customer/application/keystore.jks
> chmod 600 /opt/apigee/customer/application/keystore.jks
où keystore.jks est le nom de votre fichier de magasin de clés. - Modifiez le fichier /opt/apigee/customer/application/message-processor.properties. Si le fichier n'existe pas, créez-le.
- Définissez les propriétés suivantes dans le fichier message-processor.properties:
conf_message-processor-communication_local.http.ssl=true
conf/message-processor-communication.properties+local.http.port=8443
conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keyStore.jks
conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
# Saisissez le mot de passe du keystore masqué ci-dessous.
conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword
où keyStore.jks est votre fichier keystore et obsPword est votre keystore obscurci et votre mot de passe d'alias de clé. Pour savoir comment générer un mot de passe masqué, consultez la section Configurer TLS/SSL pour Edge sur site. - Assurez-vous que le fichier message-processor.properties appartient à l'utilisateur "apigee" :
> chown apigee:apigee /opt/apigee/customer/application/message-processor.properties - Arrêtez les processeurs de messages et les routeurs:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
/opt/apigee/apigee-service/bin/apigee-service edge-router stop - Sur le routeur, supprimez tous les fichiers de /opt/nginx/conf.d:
> rm -f /opt/nginx/conf.d/* - Démarrez les processeurs de messages et les routeurs:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
/opt/apigee/apigee-service/bin/apigee-service edge-router start - Répétez l'opération pour tous les autres processeurs de messages.
Une fois TLS activé entre le routeur et le processeur de messages, le fichier journal du processeur de messages contient le message INFO suivant:
MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks
Cette instruction INFO confirme que TLS fonctionne entre le routeur et le processeur de messages.
Le tableau suivant répertorie toutes les propriétés disponibles dans message-processor.properties:
|
Propriétés |
Description |
|---|---|
|
conf_message-processor-communication_local.http.host=<localhost or IP address>
|
Facultatif. Nom d'hôte à écouter pour les connexions du routeur. Cela remplace le nom d'hôte configuré lors de l'enregistrement. |
|
conf/message-processor-communication.properties+local.http.port=8998 |
Facultatif. Port sur lequel écouter les connexions du routeur. La valeur par défaut est 8998. |
|
conf_message-processor-communication_local.http.ssl=<false | true> |
Définissez ce paramètre sur "true" pour activer TLS/SSL. La valeur par défaut est "false". Lorsque TLS/SSL est activé, vous devez définir local.http.ssl.keystore.path et local.http.ssl.keyalias. |
|
conf/message-processor-communication.properties+local.http.ssl.keystore.path= |
Chemin d'accès au système de fichiers local vers le keystore (JKS ou PKCS12). Obligatoire lorsque local.http.ssl=true. |
|
conf/message-processor-communication.properties+local.http.ssl.keyalias= |
Alias de clé du keystore à utiliser pour les connexions TLS/SSL. Obligatoire lorsque local.http.ssl=true. |
|
conf/message-processor-communication.properties+local.http.ssl.keyalias.password= |
Mot de passe utilisé pour chiffrer la clé dans le keystore. Utilisez un mot de passe obscurci au format suivant: OBF:xxxxxxxxxx |
|
conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks |
Type de keystore. Seuls JKS et PKCS12 sont actuellement compatibles. La valeur par défaut est JKS. |
|
conf/message-processor-communication.properties+local.http.ssl.keystore.password= |
Facultatif. Mot de passe brouillé pour le keystore. Utilisez un mot de passe obscurci au format suivant: OBF:xxxxxxxxxx. |
|
conf_message-processor-communication_local.http.ssl.ciphers=<cipher1,cipher2> |
Facultatif. Une fois configurés, seuls les algorithmes de chiffrement listés sont autorisés. Si cette valeur est omise, tous les algorithmes de chiffrement compatibles avec le JDK sont utilisés. |