TLS zwischen einem Router und einem Nachrichtenprozessor konfigurieren

Edge for Private Cloud Version 4.17.05

Standardmäßig ist TLS zwischen dem Router und dem Message Processor deaktiviert.

Gehen Sie wie nachfolgend beschrieben vor, um die TLS-Verschlüsselung zwischen einem Router und der Nachricht zu aktivieren. Prozessor:

  1. Achten Sie darauf, dass Port 8082 auf dem Message Processor für den Router zugänglich ist.
  2. Generieren Sie die JKS-Datei des Schlüsselspeichers, die Ihre TLS-Zertifizierung und Ihren privaten Schlüssel enthält. Weitere Informationen Siehe Konfigurieren von TLS/SSL für Edge On Gebäude.
  3. Kopieren Sie die JKS-Datei des Schlüsselspeichers in ein Verzeichnis auf dem Message Processor-Server, z. B. als /opt/apigee/customer/application.
  4. Berechtigungen und Eigentümerschaft der JKS-Datei ändern:
    > chown apigee:apigee /opt/apigee/customer/application/keystore.jks
    > chmod 600 /opt/apigee/customer/application/keystore.jks


    wobei keystore.jks der Name ist, Ihrer Schlüsselspeicherdatei.
  5. Bearbeiten Sie die Datei /opt/apigee/customer/application/message-processor.properties. Wenn die Datei nicht vorhanden ist, erstellen Sie sie.
  6. Legen Sie in der Datei message-processor.properties die folgenden Attribute fest:
    conf_message-processor-communication_local.http.ssl=true
    conf/message-processor-communication.properties+local.http.port=8443
    conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
    conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keyStore.jks
    conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
    # Geben Sie unten das verschleierte Schlüsselspeicher-Passwort ein.
    conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword


    Dabei ist keyStore.jks Ihre Schlüsselspeicherdatei und obsPword ist Ihr verschleierter Schlüsselspeicher und Keyalias-Passwort. Weitere Informationen finden Sie unter TLS/SSL für Edge On Premises konfigurieren finden Sie Informationen zum Erstellen eines verschleierten Passworts.
  7. Prüfen Sie, ob die Datei message-processor.properties gehört dem Apigee Nutzer:
    > chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  8. Beenden Sie die Nachrichtenprozessoren und Router:
    /opt/apigee/apigee-service/bin/apigee-service Edge-message-processor anhalten
    /opt/apigee/apigee-service/bin/apigee-service Edge-router stop
  9. Löschen Sie auf dem Router alle Dateien in /opt/nginx/conf.d:
    > RM-F /opt/nginx/conf.d/*
  10. Starten Sie die Nachrichtenprozessoren und Router:
    /opt/apigee/apigee-service/bin/apigee-service Start des Edge-Nachrichtenprozessors
    /opt/apigee/apigee-service/bin/apigee-service Edge-Router-Start
  11. Wiederholen Sie diese Schritte für alle weiteren Message Processor.

Nachdem TLS zwischen dem Router und dem Message Processor aktiviert wurde, wird die Protokolldatei des Message Processor enthält diese INFO-Nachricht:

MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks

Diese INFO-Anweisung bestätigt, dass TLS zwischen dem Router und dem Message Processor funktioniert.

In der folgenden Tabelle sind alle verfügbaren Eigenschaften in message-processor.properties aufgeführt:

Properties

Beschreibung

conf_message-processor-communication_local.http.host=<localhost oder IP-Adresse>

Optional. Hostname, der auf Routerverbindungen überwacht werden soll. Dadurch wird der Host überschrieben Name, der bei der Registrierung konfiguriert wurde.

conf/message-processor-communication.properties+local.http.port=8998

Optional. Port, der auf Routerverbindungen überwacht werden soll. Der Standardwert ist 8998.

conf_message-processor-communication_local.http.ssl=<false | wahr>

Setzen Sie diesen Wert auf "true", um TLS/SSL zu aktivieren. Der Standardwert ist "false". Wenn TLS/SSL aktiviert ist, local.http.ssl.keystore.path muss festgelegt werden und local.http.ssl.keyalias.

conf/message-processor-communication.properties+local.http.ssl.keystore.path=

Pfad des lokalen Dateisystems zum Schlüsselspeicher (JKS oder PKCS12). Bei local.http.ssl=true erforderlich.

conf/message-processor-communication.properties+local.http.ssl.keyalias=

Schlüsselalias aus dem Schlüsselspeicher, der für TLS/SSL-Verbindungen verwendet werden soll. Obligatorisch, wenn local.http.ssl=true.

conf/message-processor-communication.properties+local.http.ssl.keyalias.password=

Passwort, das zum Verschlüsseln des Schlüssels im Schlüsselspeicher verwendet wird. Verschleiertes Passwort verwenden im folgenden Format: OBF:xxxxxxxxxx.

conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks

Schlüsselspeichertyp. Derzeit werden nur JKS und PKCS12 unterstützt. Der Standardwert ist JKS.

conf/message-processor-communication.properties+local.http.ssl.keystore.password=

Optional. Verschleiertes Passwort für den Schlüsselspeicher. Verwenden Sie hier ein verschleiertes Passwort Format: OBF:xxxxxxxxxx

conf_message-processor-communication_local.http.ssl.ciphers=<cipher1,cipher2>

Optional. Bei der Konfiguration sind nur die aufgeführten Chiffren zulässig. Wenn nicht angegeben, alle verwenden Chiffren, die vom JDK unterstützt werden.