หน้านี้ได้รับการแปลโดย Cloud Translation API

การกําหนดค่า TLS ระหว่างเราเตอร์และผู้ประมวลผลข้อความ

Edge for Private Cloud เวอร์ชัน 4.17.09

โดยค่าเริ่มต้น TLS ระหว่างเราเตอร์และโปรแกรมประมวลผลข้อความจะปิดใช้งาน

หมายเหตุ: ต้องเปิดพอร์ต 8082 บน Message Processor เพื่อเข้าถึงภายในวันที่ เราเตอร์เพื่อตรวจสอบประสิทธิภาพการทำงานเมื่อคุณกำหนดค่า TLS/SSL ระหว่างเราเตอร์และข้อความ ผู้ประมวลผลข้อมูล ถ้าคุณไม่กำหนดค่า TLS/SSL ระหว่างเราเตอร์และตัวประมวลผลข้อความ ค่าเริ่มต้น การกำหนดค่า พอร์ต 8082 ยังคงต้องเปิดบนตัวประมวลผลข้อความเพื่อจัดการคอมโพเนนต์ แต่ เราเตอร์ไม่จำเป็นต้องเข้าถึงเราเตอร์

ใช้ขั้นตอนต่อไปนี้เพื่อเปิดใช้การเข้ารหัส TLS ระหว่างเราเตอร์และข้อความ โปรเซสเซอร์:

ตรวจสอบว่าเราเตอร์เข้าถึงพอร์ต 8082 บน Message Processor ได้
สร้างไฟล์ JKS คีย์สโตร์ที่มีใบรับรอง TLS และคีย์ส่วนตัว สำหรับข้อมูลเพิ่มเติม ดูการกำหนดค่า TLS/SSL สำหรับ Edge On Premises
คัดลอกไฟล์ JKS ที่เป็นคีย์สโตร์ไปยังไดเรกทอรีในเซิร์ฟเวอร์ Message Processor เช่น /opt/apigee/customer/application.
เปลี่ยนสิทธิ์และการเป็นเจ้าของไฟล์ JKS:
> chown Apigee:Apigee /opt/apigee/customer/application/keystore.jks
chmod 600 /opt/apigee/customer/application/keystore.jks

โดยที่ keystore.jks คือชื่อ ของไฟล์คีย์สโตร์
แก้ไขไฟล์ /opt/apigee/customer/application/message-processor.properties หากไม่มีไฟล์ ให้สร้างขึ้นมา
ตั้งค่าพร็อพเพอร์ตี้ต่อไปนี้ในไฟล์ message-processor.properties
conf_message-processor-communication_local.http.ssl=true
conf/message-processor-communication.properties+local.http.port=8443
conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keyStore.jks
conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
# ป้อนรหัสผ่าน Keystore ที่ปรับให้ยากต่อการอ่าน (Obfuscate) ด้านล่าง
conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword

โดยที่ keyStore.jks คือไฟล์คีย์สโตร์ และ obsPword คือรหัสผ่านคีย์สโตร์และชื่อแทนคีย์ที่มีการสร้างความสับสนของคุณ โปรดดู การกำหนดค่า TLS/SSL สำหรับ Edge On Premises สำหรับข้อมูลเกี่ยวกับการสร้างรหัสผ่านที่ปรับให้ยากต่อการอ่าน (Obfuscate)
ตรวจสอบว่า message-processor.properties ไฟล์ "apigee" เป็นเจ้าของ ผู้ใช้:
> chown Apigee:Apigee /opt/apigee/customer/application/message-processor.properties
หยุด Message-Processor และ Router โดยทำดังนี้
/opt/apigee/apigee-service/bin/apigee-service EDGE-message-processor หยุด
/opt/apigee/apigee-service/bin/apigee-service หยุด edge-Router ด้วย
ในเราเตอร์ ให้ลบไฟล์ใน /opt/nginx/conf.d:
rm -f /opt/nginx/conf.d/*
เริ่มโปรแกรมประมวลผลข้อความและเราเตอร์:
/opt/apigee/apigee-service/bin/apigee-service เริ่มโปรแกรมประมวลผลข้อความ Edge
/opt/apigee/apigee-service/bin/apigee-service Edge-Router อีกด้วย
ทำซ้ำสำหรับ Message Processor อื่นๆ เพิ่มเติม

หลังจากเปิดใช้ TLS ระหว่างเราเตอร์และตัวประมวลผลข้อความแล้ว ไฟล์บันทึกของตัวประมวลผลข้อความ มีข้อความ INFO นี้:

MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks

คำสั่ง INFO นี้จะยืนยันว่า TLS กำลังทำงานระหว่างเราเตอร์และโปรแกรมประมวลผลข้อความ

ตารางต่อไปนี้แสดงพร็อพเพอร์ตี้ที่มีอยู่ทั้งหมดใน message-processor.properties

พร็อพเพอร์ตี้	คำอธิบาย
conf_message-processor-communication_local.http.host=<localhost หรือที่อยู่ IP>	ไม่บังคับ ชื่อโฮสต์ที่จะรับการเชื่อมต่อเราเตอร์ การดำเนินการนี้จะลบล้างโฮสต์ ชื่อที่กำหนดค่าไว้ตอนจดทะเบียน
conf/message-processor-communication.properties+local.http.port=8998	ไม่บังคับ พอร์ตที่จะใช้ฟังการเชื่อมต่อเราเตอร์ ค่าเริ่มต้นคือ 8998
conf_message-processor-communication_local.http.ssl=<false \| true>	ตั้งค่านี้เป็น "จริง" เพื่อเปิดใช้ TLS/SSL ทั้งนี้ ระบบตั้งค่าเริ่มต้นไว้ที่ false เมื่อเปิดใช้ TLS/SSL คุณจะ ต้องตั้งค่า local.http.ssl.keystore.path และ local.http.ssl.keyalias.
conf/message-processor-communication.properties+local.http.ssl.keystore.path=	เส้นทางระบบไฟล์ในเครื่องไปยังคีย์สโตร์ (JKS หรือ PKCS12) บังคับเมื่อ local.http.ssl=true
conf/message-processor-communication.properties+local.http.ssl.keyalias=	ชื่อแทนคีย์จากคีย์สโตร์ที่ใช้สำหรับการเชื่อมต่อ TLS/SSL บังคับเมื่อ local.http.ssl=true.
conf/message-processor-communication.properties+local.http.ssl.keyalias.password=	รหัสผ่านที่ใช้สำหรับเข้ารหัสคีย์ในคีย์สโตร์ ใช้รหัสผ่านที่ปรับให้ยากต่อการอ่าน (Obfuscate) ในรูปแบบนี้: OBF:xxxxxxxxxx
conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks	ประเภทคีย์สโตร์ ขณะนี้รองรับเฉพาะ JKS และ PKCS12 เท่านั้น ค่าเริ่มต้นคือ JKS
conf/message-processor-communication.properties+local.http.ssl.keystore.password=	ไม่บังคับ รหัสผ่านที่ปรับให้ยากต่อการอ่าน (Obfuscate) สำหรับคีย์สโตร์ ใช้รหัสผ่านที่ปรับให้ยากต่อการอ่าน (Obfuscate) ใน รูปแบบ: OBF:xxxxxxxxxx
conf_message-processor-communication_local.http.ssl.ciphers=<cipher1,cipher2>	ไม่บังคับ เมื่อกำหนดค่าแล้ว ระบบจะอนุญาตเฉพาะการเข้ารหัสที่แสดงในรายการเท่านั้น หากละไว้ ให้ใช้ทั้งหมด การเข้ารหัสที่ JDK รองรับ