Edge for Private Cloud Version 4.17.09
Standardmäßig ist TLS zwischen dem Router und dem Message Processor deaktiviert.
Gehen Sie wie nachfolgend beschrieben vor, um die TLS-Verschlüsselung zwischen einem Router und der Nachricht zu aktivieren. Prozessor:
- Achten Sie darauf, dass Port 8082 auf dem Message Processor für den Router zugänglich ist.
- Generieren Sie die JKS-Datei des Schlüsselspeichers, die Ihre TLS-Zertifizierung und Ihren privaten Schlüssel enthält. Weitere Informationen Siehe TLS/SSL konfigurieren für Edge On Premises.
- Kopieren Sie die JKS-Schlüsselspeicherdatei in ein Verzeichnis auf dem Message Processor-Server, z. B. /opt/apigee/customer/application.
- Berechtigungen und Eigentümerschaft der JKS-Datei ändern:
> chown apigee:apigee /opt/apigee/customer/application/keystore.jks
> chmod 600 /opt/apigee/customer/application/keystore.jks
wobei keystore.jks der Name ist, Ihrer Schlüsselspeicherdatei. - Bearbeiten Sie die Datei /opt/apigee/customer/application/message-processor.properties. Wenn die Datei nicht vorhanden ist, erstellen Sie sie.
- Legen Sie in der Datei message-processor.properties die folgenden Attribute fest:
conf_message-processor-communication_local.http.ssl=true
conf/message-processor-communication.properties+local.http.port=8443
conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keyStore.jks
conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
# Geben Sie unten das verschleierte Schlüsselspeicher-Passwort ein.
conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword
Dabei ist keyStore.jks Ihre Schlüsselspeicherdatei und obsPword ist Ihr verschleierter Schlüsselspeicher und Keyalias-Passwort. Weitere Informationen finden Sie unter TLS/SSL für Edge On Premises für Informationen zum Generieren eines verschleierten Passworts. - Überprüfen Sie, ob der Parameter message-processor.properties
-Datei gehört dem Apigee Nutzer:
> chown apigee:apigee /opt/apigee/customer/application/message-processor.properties - Beenden Sie die Nachrichtenprozessoren und Router:
/opt/apigee/apigee-service/bin/apigee-service Edge-Nachrichtenprozessor-Stopp
/opt/apigee/apigee-service/bin/apigee-service Edge-router stop - Löschen Sie auf dem Router alle Dateien in /opt/nginx/conf.d:
> RM-F /opt/nginx/conf.d/* - Starten Sie die Nachrichtenprozessoren und Router:
/opt/apigee/apigee-service/bin/apigee-service Start des Edge-Nachrichtenprozessors
/opt/apigee/apigee-service/bin/apigee-service Edge-Router-Start - Wiederholen Sie diese Schritte für alle weiteren Message Processor.
Nachdem TLS zwischen dem Router und dem Message Processor aktiviert wurde, wird die Protokolldatei des Message Processor enthält diese INFO-Nachricht:
MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks
Diese INFO-Anweisung bestätigt, dass TLS zwischen dem Router und dem Message Processor funktioniert.
In der folgenden Tabelle sind alle verfügbaren Eigenschaften in message-processor.properties aufgeführt:
|
Properties |
Beschreibung |
|---|---|
|
conf_message-processor-communication_local.http.host=<localhost oder IP-Adresse> |
Optional. Hostname, der auf Routerverbindungen überwacht werden soll. Dadurch wird der Host überschrieben Name, der bei der Registrierung konfiguriert wurde. |
|
conf/message-processor-communication.properties+local.http.port=8998 |
Optional. Port, der auf Routerverbindungen überwacht werden soll. Der Standardwert ist 8998. |
|
conf_message-processor-communication_local.http.ssl=<false | wahr> |
Setzen Sie diesen Wert auf "true", um TLS/SSL zu aktivieren. Der Standardwert ist "false". Wenn TLS/SSL aktiviert ist, local.http.ssl.keystore.path muss festgelegt werden und local.http.ssl.keyalias. |
|
conf/message-processor-communication.properties+local.http.ssl.keystore.path= |
Pfad des lokalen Dateisystems zum Schlüsselspeicher (JKS oder PKCS12). Bei local.http.ssl=true erforderlich. |
|
conf/message-processor-communication.properties+local.http.ssl.keyalias= |
Schlüsselalias aus dem Schlüsselspeicher, der für TLS/SSL-Verbindungen verwendet werden soll. Obligatorisch, wenn local.http.ssl=true. |
|
conf/message-processor-communication.properties+local.http.ssl.keyalias.password= |
Passwort, das zum Verschlüsseln des Schlüssels im Schlüsselspeicher verwendet wird. Verschleiertes Passwort verwenden im folgenden Format: OBF:xxxxxxxxxx. |
|
conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks |
Schlüsselspeichertyp. Derzeit werden nur JKS und PKCS12 unterstützt. Der Standardwert ist JKS. |
|
conf/message-processor-communication.properties+local.http.ssl.keystore.password= |
Optional. Verschleiertes Passwort für den Schlüsselspeicher. Verwenden Sie hier ein verschleiertes Passwort Format: OBF:xxxxxxxxxx |
|
conf_message-processor-communication_local.http.ssl.ciphers=<cipher1,cipher2> |
Optional. Bei der Konfiguration sind nur die aufgeführten Chiffren zulässig. Wenn nicht angegeben, alle verwenden Chiffren, die vom JDK unterstützt werden. |