Định cấu hình TLS giữa Bộ định tuyến và Bộ xử lý thông báo

Edge cho Private Cloud phiên bản 4.17.05

Theo mặc định, TLS giữa Bộ định tuyến và Trình xử lý thư bị tắt.

Sử dụng quy trình sau để bật tính năng mã hoá TLS giữa Bộ định tuyến và Thư Bộ xử lý:

  1. Đảm bảo rằng cổng 8082 trên Bộ xử lý thông báo có thể truy cập được bằng Bộ định tuyến.
  2. Tạo tệp JKS trong kho khoá chứa chứng chỉ TLS và khoá riêng tư của bạn. Để biết thêm thông tin, xem Định cấu hình TLS/SSL cho Edge On Văn phòng.
  3. Sao chép tệp JKS kho khoá vào một thư mục trên máy chủ Message Processor (Trình xử lý thông báo), chẳng hạn như /opt/apigee/customer/application.
  4. Thay đổi quyền và quyền sở hữu đối với tệp JKS:
    > chown apigee:apigee /opt/apigee/customer/application/keystore.jks
    > chmod 600 /opt/apigee/customer/application/keystore.jks


    trong đó keystore.jks là tên của tệp kho khoá.
  5. Chỉnh sửa tệp /opt/apigee/customer/application/message-processor.properties. Nếu tệp không tồn tại, hãy tạo tệp đó.
  6. Thiết lập các thuộc tính sau trong tệp message-processor.properties:
    conf_message-processor-communication_local.http.ssl=true
    conf/message-processor-communication.properties+local.http.port=8443
    conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
    conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keyStore.jks
    conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
    # Nhập mật khẩu kho khoá đã làm rối mã nguồn bên dưới.
    conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword


    trong đó keyStore.jks là tệp kho khoá của bạn và obsPword là kho khoá và mật khẩu keyalias làm rối mã nguồn của bạn. Xem Định cấu hình TLS/SSL cho Edge On Premise để biết thông tin về cách tạo mật khẩu làm rối mã nguồn.
  7. Đảm bảo rằng tệp message-processor.properties thuộc sở hữu của "apigee" người dùng:
    > chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  8. Dừng Bộ xử lý thư và Bộ định tuyến:
    /opt/apigee/apigee-service/bin/apigee-service cạnh-message-processor dừng
    /opt/apigee/apigee-service/bin/apigee-service sẽ ngừng sử dụng bộ định tuyến cạnh
  9. Trên Bộ định tuyến, hãy xoá mọi tệp trong /opt/nginx/conf.d:
    > rm -f /opt/nginx/conf.d/*
  10. Khởi động Trình xử lý thư và Bộ định tuyến:
    /opt/apigee/apigee-service/bin/apigee-service bắt đầu bộ xử lý thông báo Edge
    /opt/apigee/apigee-service/bin/apigee-service bắt đầu bộ định tuyến cạnh
  11. Lặp lại các thao tác này cho bất kỳ Trình xử lý tin nhắn nào khác.

Sau khi TLS được bật giữa Bộ định tuyến và Trình xử lý thư, tệp nhật ký của Trình xử lý thư chứa thông báo INFO sau:

MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks

Câu lệnh INFO này xác nhận rằng TLS đang hoạt động giữa Bộ định tuyến và Bộ xử lý thư.

Bảng sau đây liệt kê tất cả các thuộc tính có sẵn trong message-processor.properties:

Thuộc tính

Nội dung mô tả

conf_message-processor-communication_local.http.host=<localhost hoặc địa chỉ IP>

Không bắt buộc. Tên máy chủ cần theo dõi kết nối của bộ định tuyến. Thao tác này sẽ ghi đè đơn vị quản lý tên được định cấu hình khi đăng ký.

conf/message-processor-communication.properties+local.http.port=8998

Không bắt buộc. Cổng để theo dõi kết nối của bộ định tuyến. Mặc định là 8998.

conf_message-processor-communication_local.http.ssl=<false | true>

Đặt giá trị này thành true để bật TLS/SSL. Mặc định là sai. Khi TLS/SSL được bật, bạn phải đặt local.http.ssl.keystore.pathlocal.http.ssl.keyalias.

conf/message-processor-communication.properties+local.http.ssl.keystore.path=

Đường dẫn hệ thống tệp cục bộ đến kho khoá (JKS hoặc PKCS12). Bắt buộc khi local.http.ssl=true.

conf/message-processor-communication.properties+local.http.ssl.keyalias=

Bí danh khoá trong kho khoá sẽ được dùng cho các kết nối TLS/SSL. Bắt buộc khi local.http.ssl=true.

conf/message-processor-communication.properties+local.http.ssl.keyalias.password=

Mật khẩu dùng để mã hoá khoá bên trong kho khoá. Sử dụng mật khẩu làm rối mã nguồn theo định dạng này: OBF:xxxxxxxxxx

conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks

Loại kho khoá. Hiện chỉ hỗ trợ JKS và PKCS12. Mặc định là JKS.

conf/message-processor-communication.properties+local.http.ssl.keystore.password=

Không bắt buộc. Mật khẩu đã bị làm rối mã nguồn cho kho khoá. Hãy sử dụng mật khẩu làm rối mã nguồn trong định dạng: OBF:xxxxxxxxxx

conf_message-processor-communication_local.http.ssl.ciphers=<cipher1,cipher2>

Không bắt buộc. Khi bạn định cấu hình, chỉ những thuật toán mật mã có trong danh sách mới được phép sử dụng. Nếu bỏ qua, hãy sử dụng tất cả mật mã được JDK hỗ trợ.