Edge pour Private Cloud version 4.17.05
Par défaut, le protocole TLS entre le routeur et le processeur de messages est désactivé.
Utilisez la procédure suivante pour activer le chiffrement TLS entre un routeur et le message Processeur:
- Assurez-vous que le routeur de messagerie peut accéder au port 8082 du processeur de messages.
- Générez le fichier JKS du keystore contenant votre certification TLS et votre clé privée. Pour en savoir plus, voir Configuration de TLS/SSL pour Edge On Locaux.
- Copiez le fichier JKS du keystore dans un répertoire du serveur de traitement des messages, tel que sous la forme /opt/apigee/customer/application.
- Modifiez les autorisations et la propriété du fichier JKS:
> chown apigee:apigee /opt/apigee/customer/application/keystore.jks
> chmod 600 /opt/apigee/customer/application/keystore.jks
où keystore.jks est le nom de votre fichier keystore. - Modifiez le fichier /opt/apigee/customer/application/message-processor.properties. Si le fichier n'existe pas, créez-le.
- Définissez les propriétés suivantes dans le fichier message-processor.properties:
conf_message-processor-communication_local.http.ssl=true
conf/message-processor-communication.properties+local.http.port=8443
conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keyStore.jks
conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
# Saisissez ci-dessous le mot de passe du keystore obscurci.
conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword
où keyStore.jks est votre fichier keystore et obsPword est votre keystore obscurci et votre mot de passe d'alias de clé. Voir Configurer TLS/SSL pour Edge On Premises pour savoir comment générer un mot de passe obscurci. - Vérifiez que le fichier message-processor.properties
appartient à "apigee" utilisateur:
> chown apigee:apigee /opt/apigee/customer/application/message-processor.properties - Arrêtez les processeurs et les routeurs de messages:
/opt/apigee/apigee-service/bin/apigee-service Edge-message-processor arrêter
/opt/apigee/apigee-service/bin/apigee-service arrêt de routeur périphérique - Sur le routeur, supprimez tous les fichiers dans /opt/nginx/conf.d:
> rm -f /opt/nginx/conf.d/* - Démarrez les processeurs et les routeurs de messages:
/opt/apigee/apigee-service/bin/apigee-service démarrage du processeur de messages Edge
/opt/apigee/apigee-service/bin/apigee-service démarrage de routeur périphérique - Répétez l'opération pour tout processeur de messages supplémentaire.
Une fois le protocole TLS activé entre le routeur et le processeur de messages, le fichier journal du processeur de messages contient le message INFO suivant:
MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks
Cette instruction INFO confirme que le protocole TLS fonctionne entre le routeur et le processeur de messages.
Le tableau suivant répertorie toutes les propriétés disponibles dans message-processor.properties:
Propriétés |
Description |
---|---|
conf_message-processor-communication_local.http.host=<localhost ou adresse IP>
|
Facultatif. Nom d'hôte à écouter pour les connexions de routeur. Cette opération va remplacer l'hôte configuré lors de l'enregistrement. |
conf/message-processor-communication.properties+local.http.port=8998 |
Facultatif. Port sur lequel écouter les connexions du routeur. La valeur par défaut est 8998. |
conf_message-processor-communication_local.http.ssl=<false | vrai > |
Définissez cette valeur sur "true" pour activer TLS/SSL. La valeur par défaut est "false". Lorsque TLS/SSL est activé, vous devez définir local.http.ssl.keystore.path et local.http.ssl.keyalias. |
conf/message-processor-communication.properties+local.http.ssl.keystore.path= |
Chemin d'accès au système de fichiers local du keystore (JKS ou PKCS12). Obligatoire lorsque local.http.ssl=true. |
conf/message-processor-communication.properties+local.http.ssl.keyalias= |
Alias de clé du keystore à utiliser pour les connexions TLS/SSL. Obligatoire lorsque local.http.ssl=true. |
conf/message-processor-communication.properties+local.http.ssl.keyalias.password= |
Mot de passe utilisé pour chiffrer la clé dans le keystore. Utiliser un mot de passe obscurci au format suivant: OBF:xxxxxxxxxx. |
conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks |
Type de keystore. Seuls JKS et PKCS12 sont actuellement compatibles. La valeur par défaut est JKS. |
conf/message-processor-communication.properties+local.http.ssl.keystore.password= |
Facultatif. Mot de passe brouillé pour le keystore. Utilisez un mot de passe obscurci dans ce format: OBF:xxxxxxxxxx |
conf_message-processor-communication_local.http.ssl.ciphers=<cipher1,cipher2> |
Facultatif. Si vous les configurez, seuls les algorithmes de chiffrement répertoriés sont autorisés. En cas d'omission, utilisez tous de chiffrements pris en charge par le JDK. |