דף זה תורגם על ידי Cloud Translation API.

הגדרת TLS בין נתב לבין מעבד הודעות

Edge for Private Cloud v. 4.17.01

כברירת מחדל, ה-TLS בין הנתב לבין מעבד ההודעות מושבת.

כדי להפעיל הצפנת TLS בין נתב לבין מעבד ההודעות:

חשוב לוודא שהיציאה 8082 במעבד ההודעות נגישה לנתב.
יוצרים את קובץ ה-JKS של מאגר המפתחות שמכיל את אישור ה-TLS ואת המפתח הפרטי. מידע נוסף זמין במאמר הגדרת TLS/SSL ל-Edge On Premises.
מעתיקים את קובץ ה-JKS של מאגר המפתחות לספרייה בשרת מעבד ההודעות, כמו /opt/apigee/customer/application.
משנים את ההרשאות והבעלות של קובץ ה-JKS:
> chown apigee:apigee /opt/apigee/customer/application/keystore.jks
> chmod 600 /opt/apigee/customer/application/keystore.jks

כאשר keystore.jks הוא השם של קובץ מאגר המפתחות.
עורכים את הקובץ /opt/apigee/customer/application/message-processor.properties. אם הקובץ לא קיים, יוצרים אותו.
מגדירים את המאפיינים הבאים בקובץ message-processor.properties:
conf_message-processor-communication_local.http.ssl=true
conf/message-processor-communication.properties+local.http.port=8443
conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keyStore.jks
conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
# מזינים את הסיסמה המעורפלת של מאגר המפתחות בהמשך.
conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword

כאשר keyStore.jks הוא קובץ מאגר המפתחות, ו-obsPword הוא הסיסמה המעורפלת של מאגר המפתחות ושל חלון הדו-שיח של המפתח. למידע על יצירת סיסמה מעורפלת, ראו הגדרת TLS/SSL ל-Edge On Premises.
מוודאים שהקובץ message-processor.properties נמצא בבעלות המשתמש ב-apigee:
> chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
עוצרים את מעבדי ההודעות ואת הנתב:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
/opt/apigee/apigee-service/bin/apigee-service edge-router stop
בנתב, מוחקים את כל הקבצים שנמצאים ב-/opt/nginx/conf.d:
> rm -f /opt/nginx/conf.d/*
מפעילים את מעבדי ההודעות ואת הנתב:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
/opt/apigee/apigee-service/bin/apigee-service edge-router start
חוזרים על הפעולה עם כל מעבד הודעות נוסף.

אחרי שמפעילים את TLS בין הנתב לבין מעבד ההודעות, קובץ היומן של מעבד ההודעות מכיל את הודעת ה-INFO הבאה:

MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks

הצהרת INFO הזו מאשרת ש-TLS עובד בין הנתב ומעבד ההודעות.

בטבלה הבאה מפורטים כל המאפיינים הזמינים בקובץ message-processor.properties:

נכסים	תיאור
conf_message-processor-communication_local.http.host=<localhost or IP address>	זה שינוי אופציונלי. שם המארח להאזנה לחיבורים של נתב. הפעולה הזו תשנה את שם המארח שהוגדר במהלך הרישום.
conf/message-processor-communication.properties+local.http.port=8998	זה שינוי אופציונלי. היציאה שבה המערכת מקשיבה לחיבורים של הנתב. ברירת המחדל היא 8998.
conf_message-processor-communication_local.http.ssl=<false \| true>	מגדירים את הערך הזה כ-true כדי להפעיל את TLS/SSL. ברירת המחדל היא False. כש-TLS/SSL מופעל, צריך להגדיר את local.http.ssl.keystore.path ואת local.http.ssl.keyalias.
conf/message-processor-communication.properties+local.http.ssl.keystore.path=	הנתיב במערכת הקבצים המקומית למאגר המפתחות (JKS או PKCS12). חובה כשהערך של local.http.ssl=true.
conf/message-processor-communication.properties+local.http.ssl.keyalias=	כינוי של מפתח ממאגר המפתחות שישמש לחיבורי TLS או SSL. חובה כשהערך של local.http.ssl=true.
conf/message-processor-communication.properties+local.http.ssl.keyalias.password=	הסיסמה שמשמש להצפנת המפתח בתוך מאגר המפתחות. משתמשים בסיסמה מעורפלת בפורמט הזה: OBF:xxxxxxxxxx
conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks	סוג מאגר המפתחות. כרגע יש תמיכה רק ב-JKS וב-PKCS12. ברירת המחדל היא JKS.
conf/message-processor-communication.properties+local.http.ssl.keystore.password=	זה שינוי אופציונלי. סיסמה מעורפלת למאגר המפתחות. צריך להשתמש בסיסמה מעורפלת בפורמט הזה: OBF:xxxxxxxxxx
conf_message-processor-communication_local.http.ssl.ciphers=<cipher1,cipher2>	זה שינוי אופציונלי. כשמגדירים את ההגדרה הזו, מותר להשתמש רק בהצפנות שמפורטות ברשימה. אם לא צוין, צריך להשתמש בכל הצפנים שנתמכים על ידי ה-JDK.