Como configurar o TLS entre um roteador e um processador de mensagens

Edge for Private Cloud v. 4.17.05

Por padrão, o TLS entre o roteador e o processador de mensagens fica desativado.

Use o procedimento a seguir para ativar a criptografia TLS entre um roteador e a Processador:

  1. Verifique se o roteador pode acessar a porta 8082 do processador de mensagens.
  2. Gere o arquivo JKS do keystore contendo sua certificação TLS e chave privada. Para mais informações, consulte Como configurar TLS/SSL para o Edge ativado Locais.
  3. Copie o arquivo JKS do keystore para um diretório no servidor do Processador de mensagens, como como /opt/apigee/customer/application.
  4. Mude as permissões e a propriedade do arquivo JKS:
    > chown apigee:apigee /opt/apigee/customer/application/keystore.jks
    > chmod 600 /opt/apigee/customer/application/keystore.jks

    em que keystore.jks é o nome do arquivo do keystore.
  5. Edite o arquivo /opt/apigee/customer/application/message-processor.properties. Crie o arquivo se ele não existir.
  6. Defina as seguintes propriedades no arquivo message-processor.properties:
    conf_message-processor-communication_local.http.ssl=true
    conf/message-processor-communication.properties+local.http.port=8443
    . conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
    conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keyStore.jks
    conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
    # Insira a senha ofuscada do keystore abaixo.
    conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword

    em que keyStore.jks é seu arquivo de keystore e obsPword é a senha ofuscada do keystore e do keyalias. Consulte Como configurar TLS/SSL para o Edge no local para saber como gerar senhas ofuscadas.
  7. Confira se o arquivo message-processor.properties é de propriedade da Apigee usuário:
    > chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  8. Interrompa os processadores e os roteadores de mensagens:
    /opt/apigee/apigee-service/bin/apigee-service Edge-message-processor parada
    /opt/apigee/apigee-service/bin/apigee-service Edge-router stop
  9. No roteador, exclua todos os arquivos em /opt/nginx/conf.d:
    > rm -f /opt/nginx/conf.d/*
  10. Inicie os processadores de mensagens e os roteadores:
    /opt/apigee/apigee-service/bin/apigee-service início do processador de mensagem do Edge
    /opt/apigee/apigee-service/bin/apigee-service Edge-router start
  11. Repita essas etapas para outros processadores de mensagens.

Depois que o TLS é ativado entre o roteador e o processador de mensagens, o arquivo de registro do processador de mensagens contém esta mensagem INFO:

MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks

Esta instrução INFO confirma que o TLS está funcionando entre o roteador e o processador de mensagens.

A tabela abaixo lista todas as propriedades disponíveis em message-processor.properties:

Propriedades

Descrição

conf_message-processor-communication_local.http.host=<localhost ou endereço IP>

Opcional. Nome do host para detectar conexões do roteador. Isso modificará o host configurado no registro.

conf/message-processor-communication.properties+local.http.port=8998 (link em inglês).

Opcional. Porta para detectar conexões do roteador. O padrão é 8998.

conf_message-processor-communication_local.http.ssl=<false | verdadeiro>

Defina essa opção como "true" para ativar o TLS/SSL. O padrão é false Quando o TLS/SSL está ativado, precisa definir local.http.ssl.keystore.path e local.http.ssl.keyalias.

conf/message-processor-communication.properties+local.http.ssl.keystore.path=

Caminho do sistema de arquivos local para o keystore (JKS ou PKCS12). Obrigatório quando local.http.ssl=true.

conf/message-processor-communication.properties+local.http.ssl.keyalias=

Alias de chave do keystore a ser usado para conexões TLS/SSL. Obrigatório quando local.http.ssl=true.

conf/message-processor-communication.properties+local.http.ssl.keyalias.password=

Senha usada para criptografar a chave dentro do keystore. Usar uma senha ofuscada neste formato: OBF:xxxxxxxxxx

conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks

Tipo de keystore. No momento, apenas JKS e PKCS12 são compatíveis. O padrão é JKS.

conf/message-processor-communication.properties+local.http.ssl.keystore.password=

Opcional. Senha ofuscada para o keystore. Use uma senha ofuscada nesta formato: OBF:xxxxxxxxxx

conf_message-processor-communication_local.http.ssl.ciphers=<cipher1,cipher2>

Opcional. Quando configurado, apenas as criptografias listadas são permitidas. Se omitido, usar todos criptografias compatíveis com o JDK.