Định cấu hình TLS giữa Bộ định tuyến và Bộ xử lý thông báo

Edge for Private Cloud v. 4.17.01

Theo mặc định, TLS giữa Bộ định tuyến và Trình xử lý thư bị tắt.

Hãy làm theo quy trình sau để bật tính năng mã hoá TLS giữa Trình định tuyến và Trình xử lý thông báo:

  1. Đảm bảo rằng Bộ định tuyến có thể truy cập vào cổng 8082 trên Trình xử lý thông báo.
  2. Tạo tệp JKS kho khoá chứa chứng chỉ TLS và khoá riêng tư của bạn. Để biết thêm thông tin, hãy xem bài viết Định cấu hình TLS/SSL cho Edge On Premises.
  3. Sao chép tệp JKS của kho khoá vào một thư mục trên máy chủ Trình xử lý thông báo, chẳng hạn như /opt/apigee/customer/application.
  4. Thay đổi quyền và quyền sở hữu của tệp JKS:
    > chown apigee:apigee /opt/apigee/customer/application/keystore.jks
    > chmod 600 /opt/apigee/customer/application/keystore.jks

    trong đó keystore.jks là tên của tệp kho khoá.
  5. Chỉnh sửa tệp /opt/apigee/customer/application/message-processor.properties. Nếu tệp không tồn tại, hãy tạo tệp đó.
  6. Đặt các thuộc tính sau trong tệp message-processor.properties:
    conf_message-processor-communication_local.http.ssl=true
    conf/message-processor-communication.properties+local.http.port=8443
    conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
    conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keyStore.jks
    conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
    # Nhập mật khẩu kho khoá đã làm rối mã nguồn bên dưới.
    conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword

    trong đó keyStore.jks là tệp kho khoá và obsPword là kho khoá và mật khẩu bí danh được làm rối mã nguồn. Hãy xem bài viết Định cấu hình TLS/SSL cho Edge On Premises để biết thông tin về cách tạo mật khẩu được làm rối mã nguồn.
  7. Đảm bảo rằng tệp message-processor.properties thuộc quyền sở hữu của người dùng "apigee":
    > chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  8. Dừng Trình xử lý thông báo và Trình định tuyến:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
    /opt/apigee/apigee-service/bin/apigee-service edge-router stop
  9. Trên Bộ định tuyến, hãy xoá mọi tệp trong /opt/nginx/conf.d:
    > rm -f /opt/nginx/conf.d/*
  10. Khởi động Trình xử lý thông báo và Trình định tuyến:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
    /opt/apigee/apigee-service/bin/apigee-service edge-router start
  11. Lặp lại các bước này cho bất kỳ Trình xử lý thư nào khác.

Sau khi bạn bật TLS giữa Trình định tuyến và Trình xử lý thông báo, tệp nhật ký của Trình xử lý thông báo sẽ chứa thông báo INFO sau:

MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks

Câu lệnh INFO này xác nhận rằng TLS đang hoạt động giữa Bộ định tuyến và Bộ xử lý thư.

Bảng sau đây liệt kê tất cả các thuộc tính có sẵn trong message-processor.properties:

Thuộc tính

Nội dung mô tả

conf_message-processor-communication_local.http.host=<localhost or IP address>

Không bắt buộc. Tên máy chủ để nghe các kết nối bộ định tuyến. Thao tác này sẽ ghi đè tên máy chủ lưu trữ được định cấu hình khi đăng ký.

conf/message-processor-communication.properties+local.http.port=8998

Không bắt buộc. Cổng để theo dõi kết nối của bộ định tuyến. Giá trị mặc định là 8998.

conf_message-processor-communication_local.http.ssl=<false | true>

Đặt giá trị này thành true để bật TLS/SSL. Mặc định là sai. Khi bật TLS/SSL, bạn phải đặt local.http.ssl.keystore.pathlocal.http.ssl.keyalias.

conf/message-processor-communication.properties+local.http.ssl.keystore.path=

Đường dẫn hệ thống tệp cục bộ đến kho khoá (JKS hoặc PKCS12). Bắt buộc khi local.http.ssl=true.

conf/message-processor-communication.properties+local.http.ssl.keyalias=

Bí danh khoá từ kho khoá sẽ được dùng cho các kết nối TLS/SSL. Bắt buộc khi local.http.ssl=true.

conf/message-processor-communication.properties+local.http.ssl.keyalias.password=

Mật khẩu dùng để mã hoá khoá bên trong kho khoá. Sử dụng mật khẩu đã làm rối mã nguồn theo định dạng sau: OBF:xxxxxxxxxx

conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks

Loại kho khoá. Hiện chỉ hỗ trợ JKS và PKCS12. Giá trị mặc định là JKS.

conf/message-processor-communication.properties+local.http.ssl.keystore.password=

Không bắt buộc. Mật khẩu đã làm rối mã nguồn cho kho khoá. Sử dụng mật khẩu được làm rối mã nguồn theo định dạng sau: OBF:xxxxxxxxxx

conf_message-processor-communication_local.http.ssl.ciphers=<cipher1,cipher2>

Không bắt buộc. Khi được định cấu hình, chỉ những thuật toán mã hoá được liệt kê mới được phép. Nếu bỏ qua, hãy sử dụng tất cả các thuật toán mã hoá mà JDK hỗ trợ.