הגדרת TLS בין נתב לבין מעבד הודעות

Edge for Private Cloud גרסה 4.17.09

כברירת מחדל, TLS בין הנתב למעבד ההודעות מושבת.

יש לבצע את התהליך הבא כדי להפעיל הצפנת TLS בין נתב להודעה מעבד:

  1. חשוב לוודא שהיציאה 8082 במעבד ההודעות נגישה לנתב.
  2. יוצרים את קובץ ה-JKS של מאגר המפתחות שמכיל את אישור ה-TLS ואת המפתח הפרטי שלכם. לקבלת מידע נוסף, ראה הגדרת TLS/SSL (אבטחת שכבת התעבורה)/SSL (SSL) ל-Edge On Premises.
  3. מעתיקים את קובץ ה-JKS של מאגר המפתחות לספרייה בשרת מעבד ההודעות, כמו /opt/apigee/customer/application.
  4. שינוי ההרשאות והבעלות על קובץ ה-JKS:
    > אפיק שושן:אפיג'י /opt/apigee/customer/application/keystore.jks
    > chmod 600 /opt/apigee/customer/application/keystore.jks


    keystore.jks הוא השם של קובץ מאגר המפתחות.
  5. עורכים את הקובץ /opt/apigee/customer/application/message-processor.properties. אם הקובץ לא קיים, יוצרים אותו.
  6. מגדירים את המאפיינים הבאים בקובץ message-processor.properties:
    conf_message-processor-communication_local.http.ssl=true
    conf/message-processor-communication.properties+local.http.port=8443
    conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
    conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keyStore.jks
    conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
    # יש להזין למטה את הסיסמה של מאגר המפתחות המעורפל.
    conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword


    keyStore.jks הוא קובץ מאגר המפתחות שלכם, obsPword הוא מאגר המפתחות המעורפל (obfuscated) והסיסמה שלכם ב-keyalias. צפייה הגדרת TLS/SSL עבור Edge On Premises (תשתיות קצה), לקבלת מידע על יצירת סיסמה עם ערפול קוד (obfuscated).
  7. מוודאים שהמאפיינים message-processor.properties הקובץ נמצא בבעלות 'apigee' user:
    > אפיק שושן:אפיג'י /opt/apigee/customer/application/message-processor.properties
  8. הפסקת הפעולה של מעבדי ההודעות והנתבים:
    /opt/apigee/apigee-service/bin/apigee-service עצירת מעבד הודעות קצה
    /opt/apigee/apigee-service/bin/apigee-service edge-router stop
  9. בנתב, מוחקים את כל הקבצים שנמצאים ב-/opt/nginx/conf.d:
    > חד-פעמי /opt/nginx/conf.d/*
  10. מפעילים את מעבדי ההודעות והנתבים:
    /opt/apigee/apigee-service/bin/apigee-service הפעלת מעבד הודעות קצה
    /opt/apigee/apigee-service/bin/apigee-service edge-router start
  11. חוזרים על הפעולה עבור מעבדי הודעות נוספים.

לאחר הפעלת TLS בין הנתב ומעבד ההודעות, קובץ היומן של מעבד ההודעות. מכיל את הודעת ה-INFO הבאה:

MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks

הצהרת INFO הזו מאשרת ש-TLS עובד בין הנתב ומעבד ההודעות.

בטבלה הבאה מפורטים כל המאפיינים הזמינים ב-message-processor.properties:

נכסים

תיאור

conf_message-processor-communication_local.http.host=<localhost או כתובת IP>

זה שינוי אופציונלי. שם המארח להאזנה לחיבורים של נתב. הפעולה הזו תבטל את המארח שהוגדר בזמן הרישום.

conf/message-processor-communication.properties+local.http.port=8998

זה שינוי אופציונלי. יציאה כדי להאזין לחיבורי נתב. ברירת המחדל היא 8998.

conf_message-processor-communication_local.http.ssl=<false | נכון>

יש להגדיר את הערך כ-True כדי להפעיל TLS/SSL. ברירת המחדל היא False. כאשר TLS/SSL מופעל, יש להגדיר את local.http.ssl.keystore.path וגם local.http.ssl.keyalias.

conf/message-processor-communication.properties+local.http.ssl.keystore.path=

נתיב של מערכת קבצים מקומית למאגר המפתחות (JKS או PKCS12). חובה כאשר local.http.ssl=true.

conf/message-processor-communication.properties+local.http.ssl.keyalias=

כינוי של מפתח ממאגר המפתחות שישמש לחיבורי TLS או SSL. חובה אם local.http.ssl=true.

conf/message-processor-communication.properties+local.http.ssl.keyalias.password=

הסיסמה שמשמשת להצפנת המפתח במאגר המפתחות. שימוש בסיסמה מעורפלת בפורמט הזה: OBF:xxxxxxxxxx

conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks

סוג מאגר המפתחות. כרגע יש תמיכה רק ב-JKS וב-PKCS12. ברירת המחדל היא JKS.

conf/message-processor-communication.properties+local.http.ssl.keystore.password=

זה שינוי אופציונלי. סיסמה מעורפלת למאגר המפתחות. במקרה הזה צריך להשתמש בסיסמה מעורפלת פורמט: OBF:xxxxxxxxxx

conf_message-processor-communication_local.http.ssl.ciphers=<cipher1,cipher2>

זה שינוי אופציונלי. לאחר ההגדרה, מותר להשתמש רק בהצפנה שמפורטת. אם לא צוין, משתמשים בכולם הצפנים שנתמכים על ידי ה-JDK.