تنظیم پروتکل TLS برای روتر و پردازشگر پیام

Edge for Private Cloud نسخه 4.17.09

به طور پیش‌فرض، روتر و پردازشگر پیام از نسخه‌های 1.0، 1.1، 1.2 TLS پشتیبانی می‌کنند، اما ممکن است بخواهید پروتکل‌های پشتیبانی شده توسط روتر و پردازشگر پیام را محدود کنید. این سند نحوه تنظیم پروتکل به صورت سراسری بر روی روتر و پردازشگر پیام را توضیح می دهد.

برای روتر، شما همچنین می توانید پروتکل را برای میزبان های مجازی جداگانه تنظیم کنید. برای اطلاعات بیشتر به پیکربندی دسترسی TLS به یک API برای Private Cloud مراجعه کنید.

برای پردازشگر پیام، می توانید پروتکل را برای یک TargetEndpoint جداگانه تنظیم کنید. برای اطلاعات بیشتر به پیکربندی TLS از Edge به باطن (Cloud و Private Cloud) مراجعه کنید.

پروتکل TLS را روی روتر تنظیم کنید

برای تنظیم پروتکل TLS روی روتر، ویژگی ها را در فایل router.properties تنظیم کنید:

  1. فایل router.properties را در یک ویرایشگر باز کنید. اگر فایل وجود ندارد، آن را ایجاد کنید:
    > vi /opt/apigee/customer/application/router.properties
  2. خواص را به صورت دلخواه تنظیم کنید:
    # مقادیر ممکن لیستی با فاصله محدود از: TLSv1 TLSv1.1 TLSv1.2 هستند
    conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
  3. تغییرات خود را ذخیره کنید
  4. مطمئن شوید که فایل خواص متعلق به کاربر 'apigee' است:
    > chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. راه اندازی مجدد روتر:
    > /opt/apigee/apigee-service/bin/apigee-service edge-router راه اندازی مجدد
  6. با بررسی فایل Nginx /opt/nginx/conf.d/0-default.conf ، اطمینان حاصل کنید که پروتکل به درستی به روز شده است:
    > cat /opt/nginx/conf.d/0-default.conf

    مطمئن شوید که مقدار ssl_protocols TLSv1.2 است.
  7. اگر از TLS دو طرفه با میزبان مجازی استفاده می‌کنید، باید پروتکل TLS را نیز همانطور که در پیکربندی دسترسی TLS به یک API برای Private Cloud توضیح داده شده است، در میزبان مجازی تنظیم کنید.

پروتکل TLS را روی پردازشگر پیام تنظیم کنید

برای تنظیم پروتکل TLS در پردازشگر پیام، خصوصیات را در فایل message-processor.properties تنظیم کنید:

  1. فایل message-processor.properties را در یک ویرایشگر باز کنید. اگر فایل وجود ندارد، آن را ایجاد کنید:
    > vi /opt/apigee/customer/application/message-processor.properties
  2. خواص را به صورت دلخواه تنظیم کنید:
    # مقادیر ممکن یک لیست محدود شده با کاما از TLSv1، TLSv1.1، TLSv1.2 هستند.
    conf/system.properties+https.protocols=TLSv1.2
    # مقادیر ممکن لیستی از SSLv3، TLSv1، TLSv1.1، TLSv1.2 با کاما است.
    # مطمئن شوید که SSLv3 را وارد کرده اید.
    conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3، TLSv1، TLSv1.1

    #رمزهایی را که باید توسط پردازشگر پیام پشتیبانی شوند، پیکربندی کنید:communica_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384،
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384،TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384،
    TLS_RSA_WITH_AES_256_GCM_SHA384، TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384،
    TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384،
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  3. تغییرات خود را ذخیره کنید
  4. مطمئن شوید که فایل خواص متعلق به کاربر 'apigee' است:
    > chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  5. پردازشگر پیام را مجددا راه اندازی کنید:
    > /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
  6. اگر از TLS دو طرفه با باطن استفاده می کنید، پروتکل TLS را در میزبان مجازی همانطور که در پیکربندی TLS از Edge به باطن (Cloud و Private Cloud) توضیح داده شده است، تنظیم کنید.