ضبط بروتوكول أمان طبقة النقل بين جهاز توجيه ومعالج رسائل

Edge for Private Cloud، الإصدار 4.17.05

يتم تلقائيًا إيقاف بروتوكول أمان طبقة النقل (TLS) بين جهاز التوجيه ومعالج الرسائل.

استخدم الإجراء التالي لتمكين تشفير TLS بين جهاز التوجيه والرسالة المعالج:

  1. تأكَّد من إمكانية وصول جهاز التوجيه إلى المنفذ 8082 في معالج الرسائل.
  2. أنشِئ ملف JKS لملف تخزين المفاتيح الذي يحتوي على شهادة بروتوكول أمان طبقة النقل (TLS) ومفتاح خاص. لمزيد من المعلومات، راجع تهيئة TLS/SSL for Edge On المبنى:
  3. انسخ ملف JKS لملف تخزين المفاتيح إلى دليل على خادم معالج الرسائل، مثل على النحو التالي: /opt/apigee/customer/application.
  4. تغيير الأذونات وملكية ملف JKS:
    > تشون apigee:apigee /opt/apigee/customer/application/keystore.jks
    > أمر chmod 600 /opt/apigee/customer/application/keystore.jks


    حيث يكون keystore.jks هو الاسم من ملف تخزين المفاتيح.
  5. عدِّل الملف /opt/apigee/customer/application/message-processor.properties. إذا لم يكن الملف متوفّرًا، أنشئه.
  6. اضبط السمات التالية في ملف message-processor.properties:
    conf_message-processor-communication_local.http.ssl=true
    conf/message-processor-communication.سمات+local.http.port=8443
    conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
    conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keyStore.jks
    conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
    # أدخِل كلمة مرور ملف تخزين المفاتيح التي تم تشويشها أدناه.
    conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword


    حيث يكون keyStore.jks ملف تخزين المفاتيح، obsPword هو ملف تخزين مفاتيح مشفَّر وكلمة مرور مفتاح بديل. عرض ضبط بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة (SSL) لبرنامج Edge On Premises للحصول على معلومات حول إنشاء كلمة مرور تتضمن تشويشًا.
  7. تأكَّد من أنّ الملف message-processor.properties يمتلكه النطاق 'apigee' المستخدم:
    > chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  8. أوقِف معالِجات الرسائل وأجهزة التوجيه:
    /opt/apigee/apigee-service/bin/apigee-service Edge-message-processor محطة
    /opt/apigee/apigee-service/bin/apigee-service- Edge-Router
  9. على جهاز التوجيه، احذف أي ملفات في /opt/nginx/conf.d:
    > حذف /opt/nginx/conf.d/*
  10. بدء معالِجات الرسائل وأجهزة التوجيه:
    /opt/apigee/apigee-service/bin/apigee-service بدء معالج Edge-message
    /opt/apigee/apigee-service/bin/apigee-service Edge-router
  11. كرر هذا مع أي معالجات إضافية للرسائل.

بعد تفعيل بروتوكول أمان طبقة النقل (TLS) بين جهاز التوجيه ومعالج الرسائل، يمكن استخدام ملف سجلّ معالج الرسائل يحتوي على رسالة INFO هذه:

MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks

تؤكد عبارة INFO هذه أن بروتوكول أمان طبقة النقل (TLS) يعمل بين جهاز التوجيه ومعالج الرسائل.

يسرد الجدول التالي جميع السمات المتاحة في message-processor.properties:

المواقع

الوصف

conf_message-processor-communication_local.http.host=<localhost أو عنوان IP>

اختياريّ. اسم المضيف المطلوب الاستماع إليه في اتصالات جهاز التوجيه. سيؤدي هذا الإجراء إلى إلغاء المضيف الاسم الذي يتم إعداده عند التسجيل.

conf/message-processor-communication.properties+local.http.port=8998

اختياريّ. المنفذ المطلوب الاستماع إليه في ما يتعلق باتصالات جهاز التوجيه. القيمة التلقائية هي 8998.

conf_message-processor-communication_local.http.ssl=<false | true>

يمكنك ضبط هذا الخيار على "صحيح" لتفعيل بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة (SSL). القيمة التلقائية هي "خطأ". عندما يتم تمكين TLS/SSL، ضبط local.http.ssl.keystore.path local.http.ssl.keyalias.

conf/message-processor-communication.properties+local.http.ssl.keystore.path=

مسار نظام الملفات المحلي إلى ملف تخزين المفاتيح (JKS أو PKCS12). إلزامي عندما يكون العنوان local.http.ssl=true

conf/message-processor-communication.properties+local.http.ssl.keyalias=

الاسم المستعار للمفتاح من ملف تخزين المفاتيح لاستخدامه في اتصالات بروتوكول أمان طبقة النقل/طبقة المقابس الآمنة. تاريخ إلزامي local.http.ssl=true.

conf/message-processor-communication.properties+local.http.ssl.keyalias.password=

كلمة المرور المستخدمة لتشفير المفتاح داخل ملف تخزين المفاتيح. استخدام كلمة مرور تم إخفاء مفاتيح فك تشفيرها بالتنسيق التالي: OBF:xxxxxxxxxx

conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks

نوع ملف تخزين المفاتيح. لا يتوافق سوى JKS وPKCS12 حاليًا. القيمة التلقائية هي JKS.

conf/message-processor-communication.properties+local.http.ssl.keystore.password=

اختياريّ. كلمة مرور مُبهَمة لتخزين المفاتيح. استخدام كلمة مرور مشفَّرة في هذه التنسيق: OBF:xxxxxxxxxx

conf_message-processor-communication_local.http.ssl.ciphers=<cipher1,cipher2>

اختياريّ. عند إعدادها، يُسمح فقط بالرموز المدرَجة. في حال حذفه، استخدم الرموز التي يدعمها بروتوكول JDK.