設定路由器和訊息處理器之間的傳輸層安全標準 (TLS)

Private Cloud v. 4.17.09 版本

根據預設，路由器和訊息處理器之間的 TLS 功能會停用。

請按照以下程序，在路由器和郵件之間啟用 TLS 加密功能 處理器：

1. 確保訊息處理器上的通訊埠 8082 可供路由器存取。
2. 產生含有傳輸層安全標準 (TLS) 憑證和私密金鑰的 KeyStore JKS 檔案。如果需要 請參閱設定 TLS/SSL (適用於 Edge On Premises)
3. 將 KeyStore JKS 檔案複製到訊息處理器伺服器上的目錄，例如 /opt/apigee/customer/application.
4. 變更 JKS 檔案的權限和擁有權：
   >Chown apigee:apigee /opt/apigee/customer/application/keystore.jks
   >chmod 600 /opt/apigee/customer/application/keystore.jks
   
   其中 keystore.jks 是名稱 。
5. 編輯檔案 /opt/apigee/customer/application/message-processor.properties。 如果檔案不存在，請建立一個。
6. 在 message-processor.properties 檔案中設定下列屬性：
   conf_message-processor-communication_local.http.ssl=true
   conf/message-processor-communication.properties+local.http.port=8443
   conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
   conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keyStore.jks
   conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
   # 在下方輸入經模糊化的 KeyStore 密碼。
   conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword
   
   其中 keyStore.jks 是您的 KeyStore 檔案，而 obsPword 是經過模糊處理的 KeyStore 和 Keyalias 密碼。詳情請見 為以下機構設定 TLS/SSL Edge On Premises：瞭解如何產生經過模糊處理的密碼。
7. 確認 message-processor.properties 檔案的擁有者為「apigee」使用者：
   >Chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
8. 停止訊息處理器和路由器：
   /opt/apigee/apigee-service/bin/apigee-service Edge-訊息處理器停止
   /opt/apigee/apigee-service/bin/apigee-service Edge-router 停止
9. 在路由器上，刪除 /opt/nginx/conf.d 中的任何檔案：
   >rm -f /opt/nginx/conf.d/*
10. 啟動訊息處理器和路由器：
    /opt/apigee/apigee-service/bin/apigee-service Edge-訊息處理器啟動
    /opt/apigee/apigee-service/bin/apigee-service Edge-router start
11. 對其他訊息處理器重複執行以上步驟。

在路由器和訊息處理器之間啟用 TLS 後，訊息處理器記錄檔 包含這則 INFO 訊息：

MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks

這個 INFO 陳述式可確認路由器和訊息處理器之間的 TLS 正常運作。

下表列出 message-processor.properties 的所有可用屬性：

資源	說明
conf_message-processor-communication_local.http.host=<localhost 或 IP 位址>	選用設定。用於監聽路由器連線的主機名稱。這會覆寫主機 註冊名稱
conf/message-processor-communication.properties+local.http.port=8998	選用設定。要監聽路由器連線的通訊埠。預設值為 8998。
conf_message-processor-communication_local.http.ssl=<false |正確>	設為 true 即可啟用 TLS/SSL。預設值為 False 啟用 TLS/SSL 必須設定 local.http.ssl.keystore.path，並 local.http.ssl.keyalias.
conf/message-processor-communication.properties+local.http.ssl.keystore.path=	KeyStore 的本機檔案系統路徑 (JKS 或 PKCS12)。當 local.http.ssl=true 時必須使用。
conf/message-processor-communication.properties+local.http.ssl.keyalias=	要用於 TLS/SSL 連線的 KeyStore 金鑰別名。必要時機 local.http.ssl=true.
conf/message-processor-communication.properties+local.http.ssl.keyalias.password=	用來加密 KeyStore 金鑰的密碼。使用經過模糊處理的密碼 格式為：OBF:xxxxxxxxxx
conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks	KeyStore 類型。目前僅支援 JKS 和 PKCS12。預設值為 JKS。
conf/message-processor-communication.properties+local.http.ssl.keystore.password=	選用設定。KeyStore 的密碼經過模糊處理。請在這部分使用經過模糊處理的密碼 格式：OBF:xxxxxxxxxx
conf_message-processor-communication_local.http.ssl.ciphers=<cipher1,cipher2>	選用設定。設定完成後，系統只會使用列出的加密機制。如果省略，請使用所有 JDK 支援的加密套件