Edge for Private Cloud w wersji 4.17.01
Domyślnie protokół TLS między routerem a procesorem wiadomości jest wyłączony.
Aby włączyć szyfrowanie TLS między routerem a procesorem wiadomości:
- Upewnij się, że router ma dostęp do portu 8082 procesora wiadomości.
- Wygeneruj plik magazynu kluczy JKS zawierający certyfikat TLS i klucz prywatny. Więcej informacji znajdziesz w artykule o konfigurowaniu TLS/SSL w Edge On.
- Skopiuj plik klucza JKS do katalogu na serwerze usługi Message Processor, np. /opt/apigee/customer/application.
- Zmień uprawnienia i właściciela pliku JKS:
> chown apigee:apigee /opt/apigee/customer/application/keystore.jks
> chmod 600 /opt/apigee/customer/application/keystore.jks
gdzie keystore.jks to nazwa pliku magazynu kluczy. - Otwórz do edycji plik /opt/apigee/customer/application/message-processor.properties. Jeśli plik nie istnieje, utwórz go.
- W pliku message-processor.properties ustaw te właściwości:
conf_message-processor-communication_local.http.ssl=true
conf/message-processor-communication.properties+local.http.port=8443
conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keyStore.jks
conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
# Poniżej wpisz zaszyfrowane hasło do magazynu kluczy.
conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword
gdzie keyStore.jks to plik magazynu kluczy, a obsPword to zaciemniony magazyn kluczy i hasło aliasu. Informacje o generowaniu zaszyfrowanego hasła znajdziesz w artykule Konfigurowanie TLS/SSL w przypadku Edge On Premises. - Sprawdź, czy plik message-processor.properties należy do użytkownika „apigee”:
> chown apigee:apigee /opt/apigee/customer/application/message-processor.properties - Zatrzymaj procesory i przekaźniki wiadomości:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
/opt/apigee/apigee-service/bin/apigee-service edge-router stop - Na routerze usuń wszystkie pliki w katalogu /opt/nginx/conf.d:
> rm -f /opt/nginx/conf.d/* - Uruchom przetwarzacze i przekaźniki wiadomości:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
/opt/apigee/apigee-service/bin/apigee-service edge-router start - Powtórz te czynności w przypadku wszystkich dodatkowych procesorów wiadomości.
Po włączeniu protokołu TLS między routerem a procesorem wiadomości plik dziennika procesora wiadomości będzie zawierał ten komunikat INFO:
MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks
To polecenie INFO potwierdza, że protokół TLS działa między routerem a procesorem wiadomości.
Tabela poniżej zawiera wszystkie dostępne właściwości w pliku message-processor.properties:
|
Usługi |
Opis |
|---|---|
|
conf_message-processor-communication_local.http.host=<localhost or IP address>
|
Opcjonalnie: Nazwa hosta, na której nasłuchiwane są połączenia z routerem. Spowoduje to zastąpienie nazwy hosta skonfigurowanej podczas rejestracji. |
|
conf/message-processor-communication.properties+local.http.port=8998 |
Opcjonalnie: Port, na którym nasłuchuje połączeń routera. Wartość domyślna to 8998. |
|
conf_message-processor-communication_local.http.ssl=<false | true> |
Ustaw tę opcję na „True”, aby włączyć TLS/SSL. Wartość domyślna to fałsz. Gdy protokół TLS/SSL jest włączony, musisz ustawić zmienne local.http.ssl.keystore.path i local.http.ssl.keyalias. |
|
conf/message-processor-communication.properties+local.http.ssl.keystore.path= |
Ścieżka w lokalnym systemie plików do magazynu kluczy (JKS lub PKCS12). Wymagane, gdy local.http.ssl=true. |
|
conf/message-processor-communication.properties+local.http.ssl.keyalias= |
Alias klucza z magazynu kluczy, który ma być używany do połączeń TLS/SSL. Wymagane, gdy local.http.ssl=true. |
|
conf/message-processor-communication.properties+local.http.ssl.keyalias.password= |
Hasło używane do szyfrowania klucza w magazynie kluczy. Użyj zaciemnionego hasła w tym formacie: OBF:xxxxxxxxxx |
|
conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks |
Typ magazynu kluczy. Obecnie obsługiwane są tylko formaty JKS i PKCS12. Wartość domyślna to JKS. |
|
conf/message-processor-communication.properties+local.http.ssl.keystore.password= |
Opcjonalnie: Zaszyfrowane hasło do magazynu kluczy. Użyj zaciemnionego hasła w tym formacie: OBF:xxxxxxxxxx |
|
conf_message-processor-communication_local.http.ssl.ciphers=<cipher1,cipher2> |
Opcjonalnie: Po skonfigurowaniu tylko wymienione szyfry są dozwolone. Jeśli go pominiesz, użyj wszystkich mechanizmów szyfrowania obsługiwanych przez pakiet JDK. |