Yönlendirici ile İleti İşleyici arasında TLS'yi yapılandırma

Private Cloud için Edge v. 4.17.01

Yönlendirici ile Mesaj İşleyen arasındaki TLS varsayılan olarak devre dışıdır.

Yönlendirici ile İleti İşlemcisi arasında TLS şifrelemeyi etkinleştirmek için aşağıdaki prosedürü uygulayın:

  1. İleti İşlemcisi'ndeki 8082 numaralı bağlantı noktasına Yönlendirici'nin erişebildiğinden emin olun.
  2. TLS sertifikanızı ve özel anahtarınızı içeren anahtar deposu JKS dosyasını oluşturun. Daha fazla bilgi için Şirket İçi Edge için TLS/SSL'yi yapılandırma başlıklı makaleyi inceleyin.
  3. Anahtar mağazası JKS dosyasını Mesaj İşleyen sunucusundaki bir dizine (ör. /opt/apigee/customer/application) kopyalayın.
  4. JKS dosyasının izinlerini ve sahipliğini değiştirin:
    > chown apigee:apigee /opt/apigee/customer/application/keystore.jks
    > chmod 600 /opt/apigee/customer/application/keystore.jks

    Burada keystore.jks, anahtar deposu dosyanızın adıdır.
  5. /opt/apigee/customer/application/message-processor.properties dosyasını düzenleyin. Dosya mevcut değilse dosyayı oluşturun.
  6. message-processor.properties dosyasında aşağıdaki özellikleri ayarlayın:
    conf_message-processor-communication_local.http.ssl=true
    conf/message-processor-communication.properties+local.http.port=8443
    conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
    conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keyStore.jks
    conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
    # Kodlanmış anahtar mağazası şifresini aşağıya girin.
    conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword

    Burada keyStore.jks anahtar deposu dosyanız, obsPword ise kodu karartılmış anahtar deponuz ve anahtar takma adınızdır. Karartılmış şifre oluşturma hakkında bilgi edinmek için Şirket İçi Uçta TLS/SSL'yi Yapılandırma başlıklı makaleye bakın.
  7. message-processor.properties dosyasının sahibinin "apigee" kullanıcısı olduğundan emin olun:
    > chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  8. Mesaj işleyicileri ve yönlendiricileri durdurun:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
    /opt/apigee/apigee-service/bin/apigee-service edge-router stop
  9. Yönlendiricide /opt/nginx/conf.d konumundaki tüm dosyaları silin:
    > rm -f /opt/nginx/conf.d/*
  10. Mesaj işleyicileri ve yönlendiricileri başlatın:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
    /opt/apigee/apigee-service/bin/apigee-service edge-router start
  11. Diğer ek ileti işleyiciler için de bu işlemi tekrarlayın.

Yönlendirici ve Mesaj İşleyici arasında TLS etkinleştirildikten sonra Mesaj İşleyici günlük dosyası şu INFO mesajını içerir:

MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks

Bu INFO ifadesi, Yönlendirici ile İleti İşleyen arasında TLS'nin çalıştığını onaylar.

Aşağıdaki tabloda, Message-processor.properties'deki tüm kullanılabilir özellikler listelenmektedir:

Mülkler

Açıklama

conf_message-processor-communication_local.http.host=<localhost or IP address>

İsteğe bağlı. Yönlendirici bağlantıları için dinlenecek ana makine adı. Bu, kayıt sırasında yapılandırılan ana makine adını geçersiz kılar.

conf/message-processor-communication.properties+local.http.port=8998

İsteğe bağlı. Yönlendirici bağlantıları için dinlenecek bağlantı noktası. Varsayılan değer 8998'dir.

conf_message-processor-communication_local.http.ssl=<false | true>

TLS/SSL'yi etkinleştirmek için bu ayarı doğru olarak ayarlayın. Varsayılan değer, false'tur. TLS/SSL etkinleştirildiğinde local.http.ssl.keystore.path ve local.http.ssl.keyalias ayarlarını yapmanız gerekir.

conf/message-processor-communication.properties+local.http.ssl.keystore.path=

Anahtar deposunun (JKS veya PKCS12) yerel dosya sistemi yolu. local.http.ssl=true olduğunda zorunludur.

conf/message-processor-communication.properties+local.http.ssl.keyalias=

TLS/SSL bağlantıları için anahtar deposundaki anahtar takma adı. local.http.ssl=true olduğunda zorunludur.

conf/message-processor-communication.properties+local.http.ssl.keyalias.password=

Anahtar deposundaki anahtarı şifrelemek için kullanılan şifre. Şu biçimde karartılmış bir şifre kullanın: OBF:xxxxxxxxxx

conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks

Anahtar deposu türü. Şu anda yalnızca JKS ve PKCS12 desteklenmektedir. Varsayılan değer JKS'dir.

conf/message-processor-communication.properties+local.http.ssl.keystore.password=

İsteğe bağlı. Anahtar deposu için karartılmış şifre. Şu biçimde karartılmış bir şifre kullanın: OBF:xxxxxxxxxx

conf_message-processor-communication_local.http.ssl.ciphers=<cipher1,cipher2>

İsteğe bağlı. Yapılandırıldığında yalnızca listelenen şifrelere izin verilir. Atlanırsa JDK tarafından desteklenen tüm şifreleri kullanın.