Router と Message Processor の TLS プロトコルの設定

Edge for Private Cloud バージョン 4.17.09

Router と Message Processor はデフォルトで TLS バージョン 1.0、1.1、1.2 をサポートしていますが、Router と Message Processor でサポートされるプロトコルを制限したい場合があります。このドキュメントでは、Router と Message Processor でプロトコルをグローバルに設定する方法について説明します。

Router では、個々の仮想ホストのプロトコルを設定することもできます。詳細については、Private Cloud 用 API への TLS アクセスの構成をご覧ください。

Message Processor では、個別の TargetEndpoint にプロトコルを設定できます。詳細については、Edge からバックエンドへの TLS の構成(Cloud、Private Cloud)をご覧ください。

Router での TLS プロトコルの設定

Router で TLS プロトコルを設定するには、router.properties ファイル内のプロパティを設定します。

  1. エディタで router.properties ファイルを開きます。ファイルが存在しない場合は作成します。
    > vi /opt/apigee/customer/application/router.properties
  2. 必要に応じてプロパティを設定します。
    # 有効な値: TLSv1 TLSv1.1 TLSv1.2
    conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
  3. 変更を保存します。
  4. プロパティ ファイルの所有者を「apigee」ユーザーにします。
    > chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. Router を再起動します。
    > /opt/apigee/apigee-service/bin/apigee-service edge-router restart
  6. Nginx ファイルの /opt/nginx/conf.d/0-default.conf を調べて、プロトコルが正しく更新されていることを確認します。
    > cat /opt/nginx/conf.d/0-default.conf

    ssl_protocols の値が TLSv1.2 であることを確認します。
  7. 仮想ホストで双方向 TLS を使用する場合は、Private Cloud 用 API への TLS アクセスの構成の説明に従って、仮想ホストでも TLS プロトコルを設定する必要があります。

Message Processor で TLS プロトコルを設定する

Message Processor で TLS プロトコルを設定するには、message-processor.properties ファイルでプロパティを設定します。

  1. エディタで message-processor.properties ファイルを開きます。ファイルが存在しない場合は作成します。
    > vi /opt/apigee/customer/application/message-processor.properties
  2. 必要に応じてプロパティを設定します。
    # 有効な値は TLSv1、TLSv1.1、TLSv1.2 のカンマ区切りのリストです
    conf/system.properties+https.protocols=TLSv1.2
    # 有効な値は、SSLv3、TLSv1、TLSv1.1、TLSv1.2、TLSv1.2 のカンマ区切りリストです
    # SSL が含まれていることを確認します。
    conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1、TLSv1.1

    #conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1



  3. 変更を保存します。
  4. プロパティ ファイルの所有者を「apigee」ユーザーにします。
    > chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  5. Message Processor を再起動します。
    > /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
  6. バックエンドで双方向 TLS を使用している場合は、Edge からバックエンドへの TLS の構成(Cloud と Private Cloud)の説明に従って、仮想ホストで TLS プロトコルを設定します。