Router と Message Processor 間の TLS の構成

Edge for Private Cloud v. 4.17.09

デフォルトでは、Router と Message Processor 間の TLS は無効になっています。

Router と Message の間で TLS 暗号化を有効にするには、次の手順を行います。 プロセッサ:

1. Router から Message Processor のポート 8082 にアクセスできることを確認します。
2. TLS 証明書と秘密鍵を含むキーストア JKS ファイルを生成します。詳しくは TLS/SSL の構成 をご覧ください。
3. キーストア JKS ファイルを Message Processor サーバーのディレクトリ（ /opt/apigee/customer/application.
4. JKS ファイルの権限とオーナー権限を変更します。
   >chown apigee:apigee /opt/apigee/customer/application/keystore.jks
   >chmod 600 /opt/apigee/customer/application/keystore.jks
   
   ここで、keystore.jks は名前です。 確認します。
5. ファイル /opt/apigee/customer/application/message-processor.properties を編集します。 ファイルが存在しない場合は作成します。
6. message-processor.properties ファイルで次のプロパティを設定します。
   conf_message-processor-communication_local.http.ssl=true
   conf/message-processor-communication.properties+local.http.port=8443
   conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
   conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keyStore.jks
   conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
   # 難読化されたキーストアのパスワードを以下に入力してください。
   conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword
   
   ここで、keyStore.jks はキーストア ファイルです。 obsPwordobsPword は、難読化されたキーストアとキーエイリアスのパスワードです。詳しくは、 Google Compute Engine の TLS/SSL の構成 難読化されたパスワードの生成については、オンプレミスのエッジをご覧ください。
7. message-processor.properties のプロパティが オーナーが「apigee」ユーザー:
   >chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
8. Message Processor と Router を停止します。
   /opt/apigee/apigee-service/bin/apigee-service Edge-message-processor 停止
   /opt/apigee/apigee-service/bin/apigee-service edge-router 停止
9. Router で、/opt/nginx/conf.d にあるすべてのファイルを削除します。
   >rm -f /opt/nginx/conf.d/*
10. Message Processor と Router を起動します。
    /opt/apigee/apigee-service/bin/apigee-service Edge-message-processor の開始
    /opt/apigee/apigee-service/bin/apigee-service edge-router start
11. Message Processor ごとにこの手順を繰り返します。

Router と Message Processor の間で TLS が有効になると、Message Processor のログ・ファイルが 次の INFO メッセージが含まれています。

MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks

この INFO ステートメントは、Router と Message Processor 間の TLS の動作を確認します。

次の表に、message-processor.properties で使用可能なすべてのプロパティを示します。

プロパティ	説明
conf_message-processor-communication_local.http.host=<localhost または IP アドレス>	省略可。ルーター接続をリッスンするホスト名。指定した名前の 名前で識別されます。
conf/message-processor-communication.properties+local.http.port=8998	省略可。ルーター接続をリッスンするポート。デフォルトは 8998 です。
conf_message-processor-communication_local.http.ssl=<false |正>	TLS/SSL を有効にするには、これを true に設定します。デフォルトは false です。TLS/SSL を有効にすると、 local.http.ssl.keystore.path と local.http.ssl.keyalias.
conf/message-processor-communication.properties+local.http.ssl.keystore.path=	キーストア（JKS または PKCS12）へのローカル ファイル システムのパス。local.http.ssl=true の場合は必須。
conf/message-processor-communication.properties+local.http.ssl.keyalias=	TLS/SSL 接続に使用されるキーストアのキーエイリアス。必須の場合 local.http.ssl=true.
conf/message-processor-communication.properties+local.http.ssl.keyalias.password=	キーストア内の鍵の暗号化に使用されるパスワード。難読化されたパスワードを使用する （OBF:xxxxxxxxxx の形式）
conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks	キーストアのタイプ。現在サポートされているのは JKS と PKCS12 のみです。デフォルトは JKS です。
conf/message-processor-communication.properties+local.http.ssl.keystore.password=	省略可。キーストアの難読化されたパスワード。ここでは難読化されたパスワードを使用してください 形式: OBF:xxxxxxxxxx
conf_message-processor-communication_local.http.ssl.ciphers=<cipher1,cipher2>	省略可。構成すると、リストにある暗号のみが許可されます。省略した場合は、すべてを使用します おすすめします。