Définir le protocole TLS pour le routeur et le processeur de messages

Edge pour Private Cloud version 4.17.09

Par défaut, le routeur et le processeur de messages prennent en charge les versions 1.0, 1.1 et 1.2 de TLS. Toutefois, vous pouvez limiter les protocoles compatibles avec ce routeur et ce processeur de messages. Ce document explique comment définir le protocole de manière globale sur le routeur et le processeur de messages.

Pour le routeur, vous pouvez également définir le protocole pour des hôtes virtuels individuels. Pour en savoir plus, consultez la section Configurer l'accès TLS à une API pour le cloud privé.

Pour le processeur de messages, vous pouvez définir le protocole pour un TargetEndpoint individuel. Pour en savoir plus, consultez la section Configuration de TLS de Edge vers le backend (Cloud et cloud privé).

Définir le protocole TLS sur le routeur

Pour définir le protocole TLS sur le routeur, définissez les propriétés dans le fichier router.properties:

  1. Ouvrez le fichier router.properties dans un éditeur. Si le fichier n'existe pas, créez-le :
    > vi /opt/apigee/customer/application/router.properties
  2. Définissez les propriétés comme vous le souhaitez:
    # Les valeurs possibles sont les suivantes: TLSv1 TLSv1.1 TLSv1.2
    conf_load_ renommé_load.balancer.driver.server.ssl.protocols=TLSv1.2
  3. Enregistrez les modifications.
  4. Assurez-vous que le fichier de propriétés appartient à l'utilisateur "apigee" :
    > chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. Redémarrez le routeur:
    > /opt/apigee/apigee-service/bin/apigee-service Edge-router restart
  6. Vérifiez que le protocole est mis à jour correctement en examinant le fichier Nginx /opt/nginx/conf.d/0-default.conf:
    > cat /opt/nginx/conf.d/0-default.conf

    Assurez-vous que la valeur de ssl_protocols est TLSv1.2.
  7. Si vous utilisez le protocole TLS bidirectionnel avec un hôte virtuel, vous devez également définir le protocole TLS au niveau de l'hôte virtuel, comme décrit dans la section Configurer l'accès TLS à une API pour le cloud privé.

Définir le protocole TLS sur le processeur de messages

Pour définir le protocole TLS sur le processeur de messages, définissez les propriétés dans le fichier message-processor.properties:

  1. Ouvrez le fichier message-processor.properties dans un éditeur. Si le fichier n'existe pas, créez-le:
    > vi /opt/apigee/customer/application/message-processor.properties
  2. Définissez les propriétés comme vous le souhaitez:
    # Les valeurs possibles sont une liste de TLSv1, TLSv1.1 et TLSv1.2 délimitée par des virgules
    conf/system.properties+https.protocols=TLSv1.2
    # Les valeurs possibles sont une liste de valeurs séparées par des virgules (SSLv3, TLSv1, TLSv1.1 et TLSv1.2).
    # Assurez-vous d'inclure SSLv3.
    conf/jvmsecurity.properties+jdk.tls. disabledAlgorithms=SSLv3, TLSv1, TLSv1.1
    TLSv1.

    #Configurer les algorithmes de chiffrement devant être compatibles avec le processeur de messages : communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,


  3. Enregistrez les modifications.
  4. Assurez-vous que le fichier de propriétés appartient à l'utilisateur "apigee" :
    > chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  5. Redémarrez le processeur de messages:
    > /opt/apigee/apigee-service/bin/apigee-serviceedge-message-processor restart
  6. Si vous utilisez le protocole TLS bidirectionnel avec le backend, définissez le protocole TLS dans l'hôte virtuel, comme décrit dans la section Configurer TLS de Edge vers le backend (Cloud et cloud privé).