Yönlendirici ile İleti İşleyici arasında TLS'yi yapılandırma

Edge for Private Cloud s. 4.17.05

Varsayılan olarak, Yönlendirici ve İleti İşlemci arasındaki TLS devre dışıdır.

Yönlendirici ve İleti arasında TLS şifrelemesini etkinleştirmek için aşağıdaki prosedürü kullanın İşlemci:

  1. Mesaj İşleyici üzerindeki 8082 numaralı bağlantı noktasının Yönlendirici tarafından erişilebilir durumda olduğundan emin olun.
  2. TLS sertifikanızı ve özel anahtarınızı içeren anahtar deposu JKS dosyasını oluşturun. Daha fazlası için Uç Açık için TLS/SSL'yi Yapılandırma başlıklı makaleyi inceleyin Tesis.
  3. Anahtar deposu JKS dosyasını, İleti İşlemci sunucusundaki bir dizine kopyalayın. Örneğin, /opt/apigee/customer/application olarak değiştirin.
  4. JKS dosyasının izinlerini ve sahipliğini değiştirin:
    > chown Apigee:Apigee /opt/apigee/customer/application/keystore.jks
    > chmod 600 /opt/Apigee/customer/application/keystore.jks

    . Buradaki ad keystore.jks şeklindedir bir geçiş dosyası oluşturun.
  5. /opt/apigee/customer/application/message-processor.properties dosyasını düzenleyin. Dosya yoksa, oluşturun.
  6. message-processor.properties dosyasında aşağıdaki özellikleri ayarlayın:
    conf_message-processor-communication_local.http.ssl=true
    conf/message-processor-communication.properties+local.http.port=8443
    conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
    conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keyStore.jks
    conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
    # Karartılmış anahtar deposu şifresini aşağıya girin.
    . conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword

    . Burada keyStore.jks anahtar deposu dosyanız ve obsPword, kodu karartılmış anahtar deponuz ve keyalias şifrenizdir. Görüntüleyin Edge On-Premises için TLS/SSL'yi yapılandırma başlıklı makalemize göz atın.
  7. message-processor.properties dosyasının 'Apigee' mülkiyetindedir kullanıcı:
    > chown Apigee:Apigee /opt/potansiyel/customer/application/message-processor.properties
  8. İleti işlemcilerini ve yönlendiricileri durdurun:
    /opt/Apigee/Apigee-service/bin/potansiyel-service Edge-message-processor: durdur
    /opt/Apigee/Apigee-service/bin/potansiyel-service uç-yönlendirici durak
  9. Yönlendirici üzerinde /opt/nginx/conf.d dosyasındaki tüm dosyaları silin:
    > rm -f /opt/nginx/conf.d/*
  10. Mesaj işlemcilerini ve yönlendiricileri başlatın:
    /opt/apigee/apigee-service/bin/apigee-service uç mesaj işlemcisi başlangıcı
    /opt/Apigee/Apigee-service/bin/gelir-hizmeti Edge-router start
  11. Diğer Mesaj İşleyenler için de aynı adımları uygulayın.

Yönlendirici ve İleti İşlemci arasında TLS etkinleştirildikten sonra İleti İşleyen günlük dosyası şu INFO mesajını içerir:

MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks

Bu INFO ifadesi, TLS'nin Yönlendirici ve İleti İşlemci arasında çalıştığını onaylar.

Aşağıdaki tabloda, Message-processor.properties'deki tüm kullanılabilir özellikler listelenmektedir:

Mülkler

Açıklama

conf_message-processor-communication_local.http.host=<localhost veya IP adresi>

İsteğe bağlı. Yönlendirici bağlantılarını dinlemede kullanılacak ana makine adı. Bu işlem, ana makineyi geçersiz kılar kayıt sırasında yapılandırılan ad.

conf/message-processor-communication.properties+local.http.port=8998

İsteğe bağlı. Yönlendirici bağlantılarını dinlemede kullanılacak bağlantı noktası. Varsayılan değer 8998'dir.

conf_message-processor-communication_local.http.ssl=<false | true>

TLS/SSL'yi etkinleştirmek için bunu doğru olarak ayarlayın. Varsayılan değer, false'tur. TLS/SSL etkinleştirildiğinde, local.http.ssl.keystore.path değerini ve local.http.ssl.keyalias.

conf/message-processor-communication.properties+local.http.ssl.keystore.path=

Anahtar deposunun yerel dosya sistemi yolu (JKS veya PKCS12). local.http.ssl=true olduğunda zorunludur.

conf/message-processor-communication.properties+local.http.ssl.keyalias=

TLS/SSL bağlantıları için kullanılacak anahtar deposundaki anahtar takma adı. Şu durumda zorunlu local.http.ssl=true.

conf/message-processor-communication.properties+local.http.ssl.keyalias.password=

Anahtar deposunda anahtarı şifrelemek için kullanılan şifre. Karartılmış bir şifre kullanın şu biçimdedir: OBF:xxxxxxxxxx

conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks

Anahtar deposu türü. Şu anda yalnızca JKS ve PKCS12 desteklenmektedir. Varsayılan JKS'dir.

conf/message-processor-communication.properties+local.http.ssl.keystore.password=

İsteğe bağlı. Anahtar deposu için gizlenmiş şifre. Bu biçim: OBF:xxxxxxxxxx

conf_message-processor-communication_local.http.ssl.ciphers=<cipher1,cipher2>

İsteğe bağlı. Yapılandırıldığında yalnızca listelenen şifrelere izin verilir. Atlanırsa tümünü kullan JDK tarafından desteklenen şifreler.