Konfigurowanie protokołu TLS między routerem a podmiotem przetwarzającym wiadomości

Edge for Private Cloud w wersji 4.17.05

Domyślnie protokół TLS między routerem a procesorem wiadomości jest wyłączony.

Aby włączyć szyfrowanie TLS między routerem a procesorem wiadomości:

  1. Upewnij się, że port 8082 na przetwarzaczu wiadomości jest dostępny dla routera.
  2. Wygeneruj plik magazynu kluczy JKS zawierający certyfikat TLS i klucz prywatny. Więcej informacji znajdziesz w artykule Konfigurowanie TLS/SSL na potrzeby Edge On Premises.
  3. Skopiuj plik JKS magazynu kluczy do katalogu na serwerze Message Processor, taki jak pod adresem /opt/apigee/customer/application.
  4. Zmień uprawnienia i właściciela pliku JKS:
    > chown apigee:apigee /opt/apigee/customer/application/keystore.jks
    > chmod 600 /opt/apigee/customer/application/keystore.jks


    gdzie keystore.jks to nazwa pliku magazynu kluczy.
  5. Otwórz do edycji plik /opt/apigee/customer/application/message-processor.properties. Jeśli plik nie istnieje, utwórz go.
  6. Ustaw w pliku message-processor.properties te właściwości:
    conf_message-processor-communication_local.http.ssl=true
    conf/message-processor-communication.properties+local.http.port=8443
    conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
    conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keyStore.jks
    conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
    # Wpisz poniżej zaciemnione hasło magazynu kluczy.
    conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword


    gdzie keyStore.jks to szyfrowany plik klucza i hasło klucza. Zobacz Konfigurowanie TLS/SSL dla usługi Edge On .
  7. Upewnij się, że plik message-processor.properties należy do użytkownika „apigee”:
    > chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  8. Zatrzymaj procesory i przekaźniki wiadomości:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
    /opt/apigee/apigee-service/bin/apigee-service edge-router stop
  9. W routerze usuń wszystkie pliki z katalogu /opt/nginx/conf.d:
    > rm -f /opt/nginx/conf.d/*
  10. Uruchom procesory wiadomości i routery:
    /opt/apigee/apigee-service/bin/apigee-service uruchomienie procesora tymczasowego przechowywania wiadomości na serwerach brzegowych
    /opt/apigee/apigee-service/bin/apigee-service starter routera brzegowego
  11. Powtórz te czynności w przypadku wszystkich dodatkowych procesorów wiadomości.

Po włączeniu protokołu TLS między routerem a procesorem wiadomości, plik dziennika procesora wiadomości zawiera tę wiadomość INFO:

MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks

Ta instrukcja INFO potwierdza, że protokół TLS działa między routerem a procesorem wiadomości.

Tabela poniżej zawiera wszystkie dostępne właściwości w pliku message-processor.properties:

Usługi

Opis

conf_message-processor-communication_local.http.host=<localhost or IP address>

Opcjonalnie: Nazwa hosta nasłuchującego połączeń routera. Spowoduje to zastąpienie nazwy hosta skonfigurowanej podczas rejestracji.

conf/message-processor-communication.properties+local.http.port=8998

Opcjonalnie: Port nasłuchujący połączenia routera. Wartość domyślna to 8998.

conf_message-processor-communication_local.http.ssl=<false | true>

Aby włączyć TLS/SSL, ustaw tę wartość na „prawda”. Wartość domyślna to false (fałsz). Gdy protokół TLS/SSL jest włączony, musi ustawić local.http.ssl.keystore.path oraz local.http.ssl.keyalias.

conf/message-processor-communication.properties+local.http.ssl.keystore.path=

Ścieżka lokalnego systemu plików do magazynu kluczy (JKS lub PKCS12). Obowiązkowe w przypadku parametru local.http.ssl=true.

conf/message-processor-communication.properties+local.http.ssl.keyalias=

Alias klucza z repozytorium kluczy, który ma być używany do połączeń TLS/SSL. Wymagane, gdy local.http.ssl=true.

conf/message-processor-communication.properties+local.http.ssl.keyalias.password=

Hasło używane do szyfrowania klucza w magazynie kluczy. Użyj zaciemnionego hasła w tym formacie: OBF:xxxxxxxxxx

conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks

Typ magazynu kluczy. Obecnie obsługiwane są tylko JKS i PKCS12. Wartość domyślna to JKS.

conf/message-processor-communication.properties+local.http.ssl.keystore.password=

Opcjonalnie: Zaszyfrowane hasło do magazynu kluczy. Użyj zaciemnionego hasła w tym formacie: OBF:xxxxxxxxxx

conf_message-processor-communication_local.http.ssl.ciphers=<cipher1,cipher2>

Opcjonalnie: Po skonfigurowaniu tylko wymienione szyfry są dozwolone. Jeśli go pominiesz, użyj wszystkich obsługiwane przez pakiet JDK.