הגדרת פרוטוקול TLS לנתב ולמעבד הודעות

Edge for Private Cloud גרסה 4.17.09

כברירת מחדל, הנתב ומעבד ההודעות תומכים ב-TLS בגרסאות 1.0, 1.1 ו-1.2. עם זאת, ייתכן שתרצו להגביל את הפרוטוקולים שנתמכים על ידי הנתב ומעבד ההודעות. במסמך הזה מוסבר איך מגדירים את הפרוטוקול באופן גלובלי בנתב ובמעבד ההודעות.

עבור הנתב, אפשר גם להגדיר את הפרוטוקול למארחים וירטואליים ספציפיים. מידע נוסף זמין במאמר הגדרת גישה של TLS ל-API בענן הפרטי.

עבור מעבד ההודעות, אתם יכולים להגדיר את הפרוטוקול ל-TargetEndpoint ספציפי. למידע נוסף, אפשר לקרוא את המאמר בנושא הגדרת TLS מ-Edge (לקצה העורפי (Cloud וענן פרטי).

הגדרה של פרוטוקול TLS בנתב

כדי להגדיר את פרוטוקול ה-TLS בנתב, מגדירים את המאפיינים בקובץ router.properties:

  1. פותחים את הקובץ router.properties בעורך. אם הקובץ לא קיים, יוצרים אותו:
    > vi /opt/apigee/customer/application/router.properties
  2. מגדירים את המאפיינים באופן הרצוי:
    # ערכים אפשריים הם רשימה מופרדת ברווחים של: TLSv1 TLSv1.1 TLSv1.2
    conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
  3. שומרים את השינויים.
  4. מוודאים שקובץ המאפיינים נמצא בבעלות המשתמש של 'apigee':
    > chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. מפעילים מחדש את הנתב:
    > /opt/apigee/apigee-service/bin/apigee-service edge-router מחדש
  6. מוודאים שהפרוטוקול מעודכן באופן תקין על ידי בדיקה של קובץ Nginx /opt/nginx/conf.d/0-default.conf:
    > cat /opt/nginx/conf.d/0-default.conf

    בדקו שהערך של ssl_protocols הוא TLSv1.2.
  7. אם משתמשים ב-TLS דו-כיווני עם מארח וירטואלי, צריך גם להגדיר את פרוטוקול ה-TLS במארח הווירטואלי, כפי שמתואר במאמר הגדרת גישה באמצעות TLS לממשק API של הענן הפרטי.

הגדרה של פרוטוקול TLS במעבד ההודעות

כדי להגדיר את פרוטוקול TLS במעבד ההודעות, צריך להגדיר מאפיינים בקובץ message-processor.properties:

  1. פותחים את הקובץ message-processor.properties בכלי עריכה. אם הקובץ לא קיים, יוצרים אותו:
    > vi /opt/apigee/customer/application/message-processor.properties
  2. מגדירים את המאפיינים באופן הרצוי:
    # הערכים האפשריים הם רשימה מופרדת בפסיקים של TLSv1, TLSv1.1, TLSv1.2
    conf/system.properties+https.protocols=TLSv1.2
    # ערכים אפשריים הם רשימה מופרדת בפסיקים של SSLv3, TLSv1, TLSv1.1, TLSv1.2 שתוודאו.
    #3.
    conf/jvmsecurity.properties+jdk.tls.מושבתAlgorithms=SSLv3, TLSv1, TLSv1.1

    #יש להגדיר את הצפנים שמעבד ההודעות צריך לתמוך בהם: Communications_local_GCM_SHA4SHA_GCM_SHA4665GMP4API_GCM_GCM_GCM_עם_ש-API_SHA465SHA_GCM_SHA4הגדרת הצפנת GCM_GCM_TLS /SHA4הצפנת SHA4SHA_GCM_SHA4TLS /SHA4GRSA3,TLS_SHA465GRSA3



  3. שומרים את השינויים.
  4. מוודאים שקובץ המאפיינים נמצא בבעלות המשתמש מסוג 'apigee':
    > chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  5. מפעילים מחדש את מעבד ההודעות:
    > /opt/apigee/apigee-service/bin/apigee-service edge-message-processor מחדש
  6. אם משתמשים ב-TLS דו-כיווני באמצעות הקצה העורפי, צריך להגדיר את פרוטוקול ה-TLS במארח הווירטואלי כפי שמתואר במאמר הגדרת TLS מ-Edge לקצה העורפי (ענן וענן פרטי).