Edge for Private Cloud versione 4.17.01
Per impostazione predefinita, TLS tra il router e il Message Processor è disattivato.
Utilizza la procedura seguente per attivare la crittografia TLS tra un router e il Message Processor:
- Assicurati che la porta 8082 sul Message Processor sia accessibile dal router.
- Genera il file JKS dell'archivio chiavi contenente la certificazione TLS e la chiave privata. Per saperne di più, consulta Configurare TLS/SSL per Edge On-Premises.
- Copia il file JKS del keystore in una directory sul server di Message Processor, ad esempio /opt/apigee/customer/application.
- Modifica le autorizzazioni e la proprietà del file JKS:
> chown apigee:apigee /opt/apigee/customer/application/keystore.jks
> chmod 600 /opt/apigee/customer/application/keystore.jks
dove keystore.jks è il nome del file del tuo archivio chiavi. - Modifica il file /opt/apigee/customer/application/message-processor.properties. Se il file non esiste, creane uno.
- Imposta le seguenti proprietà nel file message-processor.properties:
conf_message-processor-communication_local.http.ssl=true
conf/message-processor-communication.properties+local.http.port=8443
conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keyStore.jks
conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
# Inserisci la password del keystore offuscata di seguito.
conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword
dove keyStore.jks è il file dell'archivio chiavi e obsPword è la password offuscata dell'archivio chiavi e dell'alias chiave. Per informazioni sulla generazione di una password offuscata, consulta Configurazione di TLS/SSL per Edge on-premise. - Assicurati che il file message-processor.properties sia di proprietà dell'utente "apigee":
> chown apigee:apigee /opt/apigee/customer/application/message-processor.properties - Interrompi i processi e i router dei messaggi:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
/opt/apigee/apigee-service/bin/apigee-service edge-router stop - Sul router, elimina tutti i file in /opt/nginx/conf.d:
> rm -f /opt/nginx/conf.d/* - Avvia i Message-Processor e i router:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
/opt/apigee/apigee-service/bin/apigee-service edge-router start - Ripeti l'operazione per eventuali altri elaboratori di messaggi.
Dopo aver abilitato TLS tra il router e il processore di messaggi, il file di log del processore di messaggi contiene questo messaggio INFO:
MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks
Questa istruzione INFO conferma che il protocollo TLS funziona tra il router e il processore di messaggi.
La tabella seguente elenca tutte le proprietà disponibili in message-processor.properties:
|
Proprietà |
Descrizione |
|---|---|
|
conf_message-processor-communication_local.http.host=<localhost or IP address>
|
(Facoltativo) Nome host su cui ascoltare le connessioni del router. Questo sostituirà il nome dell'host configurato al momento della registrazione. |
|
conf/message-processor-communication.properties+local.http.port=8998 |
(Facoltativo) Porta su cui ascoltare le connessioni del router. Il valore predefinito è 8998. |
|
conf_message-processor-communication_local.http.ssl=<false | true> |
Imposta questo valore su true per attivare TLS/SSL. Il valore predefinito è false. Quando TLS/SSL è abilitato, devi impostare local.http.ssl.keystore.path e local.http.ssl.keyalias. |
|
conf/message-processor-communication.properties+local.http.ssl.keystore.path= |
Percorso del file system locale all'archivio chiavi (JKS o PKCS12). Obbligatorio quando local.http.ssl=true. |
|
conf/message-processor-communication.properties+local.http.ssl.keyalias= |
Alias della chiave dal keystore da utilizzare per le connessioni TLS/SSL. Obbligatorio quando local.http.ssl=true. |
|
conf/message-processor-communication.properties+local.http.ssl.keyalias.password= |
Password utilizzata per criptare la chiave all'interno del keystore. Utilizza una password offuscata nel seguente formato: OBF:xxxxxxxxxx |
|
conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks |
Tipo di archivio chiavi. Al momento sono supportati solo JKS e PKCS12. Il valore predefinito è JKS. |
|
conf/message-processor-communication.properties+local.http.ssl.keystore.password= |
(Facoltativo) Password offuscata per l'archivio chiavi. Utilizza una password offuscata nel seguente formato: OBF:xxxxxxxxxx |
|
conf_message-processor-communication_local.http.ssl.ciphers=<cipher1,cipher2> |
(Facoltativo) Se sono configurati, sono consentiti solo i cifrari elencati. Se omesso, vengono utilizzati tutti i metodi di crittografia supportati dal JDK. |