Edge for Private Cloud v. 4.17.01
โดยค่าเริ่มต้น ระบบจะปิดใช้ TLS ระหว่างเราเตอร์กับโปรแกรมประมวลผลข้อความ
ใช้ขั้นตอนต่อไปนี้เพื่อเปิดใช้การเข้ารหัส TLS ระหว่างเราเตอร์กับโปรแกรมประมวลผลข้อความ
- ตรวจสอบว่าเราเตอร์เข้าถึงพอร์ต 8082 ในโปรแกรมประมวลผลข้อความได้
- สร้างไฟล์ JKS ของคีย์สโตร์ที่ประกอบด้วยใบรับรอง TLS และคีย์ส่วนตัว ดูข้อมูลเพิ่มเติมได้ที่การกำหนดค่า TLS/SSL สำหรับ Edge ในองค์กร
- คัดลอกไฟล์ JKS ของคีย์สโตร์ไปยังไดเรกทอรีในเซิร์ฟเวอร์ Message Processor เช่น /opt/apigee/customer/application
- เปลี่ยนสิทธิ์และการเป็นเจ้าของไฟล์ JKS
> chown apigee:apigee /opt/apigee/customer/application/keystore.jks
> chmod 600 /opt/apigee/customer/application/keystore.jks
โดยที่ keystore.jks คือชื่อไฟล์คีย์สโตร์ - แก้ไขไฟล์ /opt/apigee/customer/application/message-processor.properties หากไม่มีไฟล์ดังกล่าว ให้สร้างไฟล์
- ตั้งค่าพร็อพเพอร์ตี้ต่อไปนี้ในไฟล์ข้อความ
conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword
โดยที่ keyStore.jks คือไฟล์คีย์สโตร์และ obsPword คือคีย์สโตร์และรหัสผ่านคีย์ชื่อแทนที่สร้างความสับสน ดูข้อมูลเกี่ยวกับการสร้างรหัสผ่านที่มีการสร้างความสับสนได้ที่หัวข้อการกำหนดค่า TLS/SSL สำหรับ Edge ในองค์กร - ตรวจสอบว่าไฟล์ message-processor.properties เป็นของผู้ใช้ "apigee"
> chown apigee:apigee /opt/apigee/customer/application/message-processor.properties - หยุด Message-Processor และ Router
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
/opt/apigee/apigee-service/bin/apigee-service edge-router stop - ในเราเตอร์ ให้ลบไฟล์ใน /opt/nginx/conf.d ดังนี้
> rm -f /opt/nginx/conf.d/* - เริ่ม Message-Processor และ Router
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
/opt/apigee/apigee-service/bin/apigee-service edge-router start - ทำซ้ำสำหรับตัวประมวลผลข้อความเพิ่มเติม
หลังจากเปิดใช้ TLS ระหว่างเราเตอร์และโปรแกรมประมวลผลข้อความ ไฟล์บันทึกของตัวประมวลผลข้อความจะมีข้อความ INFO ดังต่อไปนี้
MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks
ข้อความ INFO นี้ยืนยันว่า TLS ทํางานระหว่างเราเตอร์และโปรแกรมประมวลผลข้อความ
ตารางต่อไปนี้แสดงพร็อพเพอร์ตี้ที่มีอยู่ทั้งหมดใน message-processor.properties
|
พร็อพเพอร์ตี้ |
คำอธิบาย |
|---|---|
|
conf_message-processor-communication_local.http.host=<localhost or IP address>
|
ไม่บังคับ ชื่อโฮสต์ที่จะรับการเชื่อมต่อเราเตอร์ ซึ่งจะลบล้างชื่อโฮสต์ที่กําหนดค่าไว้เมื่อลงทะเบียน |
|
conf/message-processor-communication.properties+local.http.port=8998 |
ไม่บังคับ พอร์ตที่จะรอการเชื่อมต่อเราเตอร์ ค่าเริ่มต้นคือ 8998 |
|
conf_message-processor-communication_local.http.ssl=<false | true> |
ตั้งค่าเป็น "จริง" เพื่อเปิดใช้ TLS/SSL ค่าเริ่มต้นคือ False เมื่อเปิดใช้ TLS/SSL คุณต้องตั้งค่า local.http.ssl.keystore.path และ local.http.ssl.keyalias |
|
conf/message-processor-communication.properties+local.http.ssl.keystore.path= |
เส้นทางระบบไฟล์ในเครื่องไปยังคีย์สโตร์ (JKS หรือ PKCS12) ต้องระบุเมื่อ local.http.ssl=true |
|
conf/message-processor-communication.properties+local.http.ssl.keyalias= |
อีเมลแทนของคีย์จากคีย์สโตร์ที่จะใช้สำหรับการเชื่อมต่อ TLS/SSL ต้องระบุเมื่อ local.http.ssl=true |
|
conf/message-processor-communication.properties+local.http.ssl.keyalias.password= |
รหัสผ่านที่ใช้เข้ารหัสคีย์ภายในที่เก็บคีย์ ใช้รหัสผ่านที่มีการสร้างความสับสนในรูปแบบ OBF:xxxxxxxxxx |
|
conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks |
ประเภทคีย์สโตร์ ขณะนี้รองรับเฉพาะ JKS และ PKCS12 เท่านั้น ค่าเริ่มต้นคือ JKS |
|
conf/message-processor-communication.properties+local.http.ssl.keystore.password= |
ไม่บังคับ รหัสผ่านที่สร้างความสับสนสำหรับคีย์สโตร์ ใช้รหัสผ่านที่มีการปรับให้ยากต่อการอ่าน (Obfuscate) ในรูปแบบนี้: OBF:xxxxxxxxxx |
|
conf_message-processor-communication_local.http.ssl.ciphers=<cipher1,cipher2> |
ไม่บังคับ เมื่อกําหนดค่าแล้ว ระบบจะอนุญาตเฉพาะการเข้ารหัสที่ระบุไว้เท่านั้น หากละไว้ ให้ใช้การเข้ารหัสทั้งหมดที่ JDK รองรับ |