Edge for Private Cloud גרסה 4.17.05
כברירת מחדל, TLS בין הנתב למעבד ההודעות מושבת.
יש לבצע את התהליך הבא כדי להפעיל הצפנת TLS בין נתב להודעה מעבד:
- חשוב לוודא שהיציאה 8082 במעבד ההודעות נגישה לנתב.
- יוצרים את קובץ ה-JKS של מאגר המפתחות שמכיל את אישור ה-TLS ואת המפתח הפרטי שלכם. לקבלת מידע נוסף, ראה הגדרת TLS/SSL עבור Edge On שטחים.
- מעתיקים את קובץ ה-JKS של מאגר המפתחות לספרייה בשרת מעבד ההודעות, כמו בפורמט /opt/apigee/customer/application.
- שינוי ההרשאות והבעלות על קובץ ה-JKS:
> אפיק שושן:אפיג'י /opt/apigee/customer/application/keystore.jks
> chmod 600 /opt/apigee/customer/application/keystore.jks
keystore.jks הוא השם של קובץ מאגר המפתחות. - עורכים את הקובץ /opt/apigee/customer/application/message-processor.properties. אם הקובץ לא קיים, יוצרים אותו.
- מגדירים את המאפיינים הבאים בקובץ message-processor.properties:
conf_message-processor-communication_local.http.ssl=true
conf/message-processor-communication.properties+local.http.port=8443
conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keyStore.jks
conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
# יש להזין למטה את הסיסמה של מאגר המפתחות המעורפל.
conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword
keyStore.jks הוא קובץ מאגר המפתחות שלכם, obsPword הוא מאגר המפתחות המעורפל (obfuscated) והסיסמה שלכם ב-keyalias. צפייה הגדרת TLS/SSL (אבטחת שכבת התעבורה) ב-Edge Ones למידע על יצירת סיסמה מעורפלת. - מוודאים שהקובץ message-processor.properties.
נמצאת בבעלות 'apigee' user:
> chown apigee:apigee /opt/apigee/customer/application/message-processor.properties - הפסקת הפעולה של מעבדי ההודעות והנתבים:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor עצירת ביניים
/opt/apigee/apigee-service/bin/apigee-service edge-router stop - בנתב, מוחקים את כל הקבצים שנמצאים ב-/opt/nginx/conf.d:
> חד-פעמי /opt/nginx/conf.d/* - מפעילים את מעבדי ההודעות והנתבים:
/opt/apigee/apigee-service/bin/apigee-service הפעלת מעבד הודעות קצה
/opt/apigee/apigee-service/bin/apigee-service edge-router start - חוזרים על הפעולה עבור מעבדי הודעות נוספים.
לאחר הפעלת TLS בין הנתב ומעבד ההודעות, קובץ היומן של מעבד ההודעות. מכיל את הודעת ה-INFO הבאה:
MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks
הצהרת INFO הזו מאשרת ש-TLS עובד בין הנתב ומעבד ההודעות.
בטבלה הבאה מפורטים כל המאפיינים הזמינים ב-message-processor.properties:
נכסים |
תיאור |
---|---|
conf_message-processor-communication_local.http.host=<localhost או כתובת IP>
|
זה שינוי אופציונלי. שם המארח להאזנה לחיבורים של נתב. הפעולה הזו תבטל את המארח שהוגדר בזמן הרישום. |
conf/message-processor-communication.properties+local.http.port=8998 |
זה שינוי אופציונלי. יציאה כדי להאזין לחיבורי נתב. ברירת המחדל היא 8998. |
conf_message-processor-communication_local.http.ssl=<false | נכון> |
יש להגדיר את הערך כ-True כדי להפעיל TLS/SSL. ברירת המחדל היא False. כאשר TLS/SSL מופעל, יש להגדיר את local.http.ssl.keystore.path וגם local.http.ssl.keyalias. |
conf/message-processor-communication.properties+local.http.ssl.keystore.path= |
נתיב של מערכת קבצים מקומית למאגר המפתחות (JKS או PKCS12). חובה כאשר local.http.ssl=true. |
conf/message-processor-communication.properties+local.http.ssl.keyalias= |
כינוי של מפתח ממאגר המפתחות שישמש לחיבורי TLS או SSL. חובה אם local.http.ssl=true. |
conf/message-processor-communication.properties+local.http.ssl.keyalias.password= |
הסיסמה שמשמשת להצפנת המפתח במאגר המפתחות. שימוש בסיסמה מעורפלת בפורמט הזה: OBF:xxxxxxxxxx |
conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks |
סוג מאגר המפתחות. כרגע יש תמיכה רק ב-JKS וב-PKCS12. ברירת המחדל היא JKS. |
conf/message-processor-communication.properties+local.http.ssl.keystore.password= |
זה שינוי אופציונלי. סיסמה מעורפלת למאגר המפתחות. במקרה הזה צריך להשתמש בסיסמה מעורפלת פורמט: OBF:xxxxxxxxxx |
conf_message-processor-communication_local.http.ssl.ciphers=<cipher1,cipher2> |
זה שינוי אופציונלי. לאחר ההגדרה, מותר להשתמש רק בהצפנה שמפורטת. אם לא צוין, משתמשים בכולם הצפנים שנתמכים על ידי ה-JDK. |