Edge for Private Cloud v. 4.17.01
Por padrão, o TLS entre o roteador e o processador de mensagens está desativado.
Use o procedimento a seguir para ativar a criptografia TLS entre um roteador e o processador de mensagens:
- Verifique se a porta 8082 no processador de mensagens está acessível pelo roteador.
- Gere o arquivo JKS do keystore que contém a certificação TLS e a chave privada. Para mais informações, consulte Como configurar TLS/SSL para o Edge no local.
- Copie o arquivo JKS do keystore para um diretório no servidor do processador de mensagens, como /opt/apigee/customer/application.
- Altere as permissões e a propriedade do arquivo JKS:
> chown apigee:apigee /opt/apigee/customer/application/keystore.jks
> chmod 600 /opt/apigee/customer/application/keystore.jks
em que keystore.jks é o nome do seu arquivo de keystore. - Edite o arquivo /opt/apigee/customer/application/message-processor.properties. Se o arquivo não existir, crie-o.
- Defina as seguintes propriedades no arquivo message-processor.properties:
conf_message-processor-communication_local.http.ssl=true
conf/message-processor-communication.properties+local.http.port=8443
conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keyStore.jks
conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
# Digite a senha do keystore ofuscada abaixo.
conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword
em que keyStore.jks é o arquivo de repositório de chaves e obsPword é o repositório de chaves e a senha do alias ofuscados. Consulte Como configurar o TLS/SSL para o Edge local para informações sobre como gerar uma senha ofuscada. - Verifique se o arquivo message-processor.properties
pertence ao usuário "apigee":
> chown apigee:apigee /opt/apigee/customer/application/message-processor.properties - Pare os processadores e roteadores de mensagens:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
/opt/apigee/apigee-service/bin/apigee-service edge-router stop - No roteador, exclua todos os arquivos em /opt/nginx/conf.d:
> rm -f /opt/nginx/conf.d/* - Inicie os processadores de mensagens e os roteadores:
/opt/apigee/apigee-service/bin/apigee-service Edge-message-processor start
/opt/apigee/apigee-service/bin/apigee-service Edge-router start - Repita para outros processadores de mensagens.
Depois que o TLS for ativado entre o roteador e o processador de mensagens, o arquivo de registro do processador de mensagens vai conter esta mensagem INFO:
MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks
Essa declaração INFO confirma que o TLS está funcionando entre o roteador e o processador de mensagens.
A tabela a seguir lista todas as propriedades disponíveis em message-processor.properties:
|
Propriedades |
Descrição |
|---|---|
|
conf_message-processor-communication_local.http.host=<localhost ou endereço IP>
|
Opcional. Nome do host para detectar conexões de roteador. Isso vai substituir o nome do host configurado no registro. |
|
conf/message-processor-communication.properties+local.http.port=8998 |
Opcional. Porta para detectar conexões do roteador. O padrão é 8998. |
|
conf_message-processor-communication_local.http.ssl=<false | true> |
Defina como "true" para ativar o TLS/SSL. O padrão é false Quando o TLS/SSL está ativado, é necessário definir local.http.ssl.keystore.path e local.http.ssl.keyalias. |
|
conf/message-processor-communication.properties+local.http.ssl.keystore.path= |
Caminho do sistema de arquivos local para o keystore (JKS ou PKCS12). Obrigatório quando local.http.ssl=true. |
|
conf/message-processor-communication.properties+local.http.ssl.keyalias= |
Alias de chave do keystore a ser usado para conexões TLS/SSL. Obrigatório quando local.http.ssl=true. |
|
conf/message-processor-communication.properties+local.http.ssl.keyalias.password= |
Senha usada para criptografar a chave no keystore. Use uma senha ofuscada neste formato: OBF:xxxxxxxxxx |
|
conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks |
Tipo de keystore. No momento, apenas JKS e PKCS12 são compatíveis. O padrão é JKS. |
|
conf/message-processor-communication.properties+local.http.ssl.keystore.password= |
Opcional. Senha ofuscada para o keystore. Use uma senha ofuscada neste formato: OBF:xxxxxxxxxx |
|
conf_message-processor-communication_local.http.ssl.ciphers=<cipher1,cipher2> |
Opcional. Quando configurado, apenas as cifras listadas são permitidas. Se omitido, use todas as criptografias compatíveis com o JDK. |