Mengonfigurasi TLS antara Router dan Pemroses Pesan

Edge for Private Cloud v. 4.17.05

Secara default, TLS antara Router dan Pemroses Pesan dinonaktifkan.

Gunakan prosedur berikut untuk mengaktifkan enkripsi TLS antara Router dan Pesan Pemroses:

  1. Pastikan port 8082 di Pemroses Pesan dapat diakses oleh Router.
  2. Buat file JKS keystore yang berisi sertifikasi TLS dan kunci pribadi Anda. Untuk selengkapnya, lihat Mengonfigurasi TLS/SSL untuk Edge On Gedung.
  3. Salin file JKS keystore ke direktori di server Message Processor, misalnya sebagai /opt/apigee/customer/application.
  4. Ubah izin dan kepemilikan file JKS:
    &gt; {i>chown apigee:apigee<i} /opt/apigee/customer/application/keystore.jks
    &gt; chmod 600 /opt/apigee/customer/application/keystore.jks


    dengan keystore.jks adalah namanya dari file keystore Anda.
  5. Edit file /opt/apigee/customer/application/message-processor.properties. Jika file tidak ada, buat file tersebut.
  6. Tetapkan properti berikut pada file message-processor.properties:
    conf_message-processor-communication_local.http.ssl=true
    conf/message-processor-communication.properties+local.http.port=8443
    conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
    conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keyStore.jks
    conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
    # Masukkan sandi keystore yang di-obfuscate di bawah ini.
    conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword


    dengan keyStore.jks adalah file keystore Anda, dan obsPword adalah sandi keyalias dan keystore yang di-obfuscate. Lihat Mengonfigurasi TLS/SSL untuk Edge On Premises untuk informasi tentang cara membuat {i>password<i} yang di-obfuscate.
  7. Pastikan file message-processor.properties dimiliki oleh 'apigee' pengguna:
    &gt; chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  8. Hentikan Pemroses dan Router Pesan:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor perhentian
    /opt/apigee/apigee-service/bin/apigee-service edge-router stop
  9. Di Router, hapus file apa pun di /opt/nginx/conf.d:
    &gt; rm -f /opt/nginx/conf.d/*
  10. Mulai Prosesor Pesan dan Router:
    /opt/apigee/apigee-service/bin/apigee-service mulai prosesor-pesan tepi
    /opt/apigee/apigee-service/bin/apigee-service edge-router start
  11. Ulangi untuk Pemroses Pesan lainnya.

Setelah TLS diaktifkan antara Router dan Pemroses Pesan, file log Pemroses Pesan berisi pesan INFO ini:

MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks

Pernyataan INFO ini mengonfirmasi bahwa TLS berfungsi antara Router dan Pemroses Pesan.

Tabel berikut mencantumkan semua properti yang tersedia di message-processor.properties:

Properti

Deskripsi

conf_message-processor-communication_local.http.host=&lt;localhost atau alamat IP >

Opsional. Nama host yang akan didengarkan untuk koneksi router. Ini akan mengganti host nama yang dikonfigurasi saat pendaftaran.

conf/message-processor-communication.properties+local.http.port=8998

Opsional. Porta yang akan digunakan untuk memproses koneksi router. Defaultnya adalah 8998.

conf_message-processor-communication_local.http.ssl=&lt;false | true>

Setel ini ke true untuk mengaktifkan TLS/SSL. Defaultnya adalah false. Jika TLS/SSL diaktifkan, Anda harus menetapkan local.http.ssl.keystore.path dan local.http.ssl.keyalias.

conf/message-processor-communication.properties+local.http.ssl.keystore.path=

Jalur sistem file lokal ke keystore (JKS atau PKCS12). Wajib jika local.http.ssl=true.

conf/message-processor-communication.properties+local.http.ssl.keyalias=

Alias kunci dari keystore yang akan digunakan untuk koneksi TLS/SSL. Wajib saat local.http.ssl=true.

conf/message-processor-communication.properties+local.http.ssl.keyalias.password=

Sandi yang digunakan untuk mengenkripsi kunci di dalam keystore. Menggunakan sandi yang di-obfuscate dalam format ini: OBF:xxxxxxxxxx

conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks

Jenis keystore. Saat ini hanya JKS dan PKCS12 yang didukung. Defaultnya adalah JKS.

conf/message-processor-communication.properties+local.http.ssl.keystore.password=

Opsional. Sandi untuk keystore disamarkan. Gunakan sandi yang di-obfuscate dalam hal ini format: OBF:xxxxxxxxxx

conf_message-processor-communication_local.http.ssl.ciphers=&lt;cipher1,cipher2&gt;

Opsional. Saat dikonfigurasi, hanya cipher yang tercantum yang diizinkan. Jika dihilangkan, gunakan semua penyandian yang didukung oleh JDK.