Edge para nuvem privada v. 4.17.09
Por padrão, o roteador e o processador de mensagens aceitam as versões 1.0, 1.1 e 1.2 do TLS. No entanto, você pode querer limitar os protocolos compatíveis com o roteador e o processador de mensagens. Este documento descreve como definir o protocolo globalmente no roteador e no processador de mensagens.
No roteador, você também pode definir o protocolo para hosts virtuais individuais. Para saber mais, consulte Como configurar o acesso TLS a uma API para a nuvem privada.
Para o processador de mensagens, é possível configurar o protocolo para um TargetEndpoint individual. Consulte Como configurar o TLS do Edge para o back-end (nuvem e nuvem privada) para mais informações.
Definir o protocolo TLS no roteador
Para configurar o protocolo TLS no roteador, defina as propriedades no arquivo router.properties:
- Abra o arquivo router.properties em
um editor. Se o arquivo não existir, crie-o:
> vi /opt/apigee/customer/application/router.properties - Defina as propriedades como quiser:
# Os valores possíveis são lista delimitada por espaço de: TLSv1 TLSv1.1 TLSv1.2
conf_load_ Balancing_load.Balancing.driver.server.ssl.protocols=TLSv1.2 - Salve as mudanças.
- Verifique se o arquivo de propriedades pertence ao usuário "apigee":
> chown apigee:apigee /opt/apigee/customer/application/router.properties - Reinicie o roteador:
> /opt/apigee/apigee-service/bin/apigee-service cloud-router restart - Verifique se o protocolo está atualizado corretamente examinando o arquivo Nginx /opt/nginx/conf.d/0-default.conf:
> cat /opt/nginx/conf.d/0-default.conf
Verifique se o valor de ssl_protocols é TLSv1.2. - Se você estiver usando o TLS bidirecional com um host virtual, precisará definir também o protocolo TLS no host virtual, conforme descrito em Como configurar o acesso TLS a uma API para a nuvem privada.
Definir o protocolo TLS no processador de mensagens
Para configurar o protocolo TLS no processador de mensagens, configure as propriedades no arquivo message-processor.properties:
- Abra o arquivo message-processor.properties em um editor. Se o arquivo não existir, crie-o:
> vi /opt/apigee/customer/application/message-processor.properties - Defina as propriedades como quiser:
# Os valores possíveis são uma lista delimitada por vírgulas de TLSv1, TLSv1.1, TLSv1.2
conf/system.properties+https.protocols=TLSv1.2
# Os valores possíveis são uma lista delimitada por vírgulas de SSLv3, TLSv1, TLSv1.1 e TLSv1.2
# Verifique se você inclui SSLv3.
conf/jvmsecurity.properties+jdk.tls.DisabledAlgorithms=SSLv3, TLSv1, TLSv1.1
#Configure as criptografias que precisam ser compatíveis com o processador de mensagens: notification_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHADHE_SHA384,
- Salve as mudanças.
- Verifique se o arquivo de propriedades pertence ao usuário "apigee":
> chown apigee:apigee /opt/apigee/customer/application/message-processor.properties - Reinicie o processador de mensagens:
> /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart - Se você estiver usando o TLS bidirecional com o back-end, defina o protocolo TLS no host virtual, conforme descrito em Como configurar o TLS do Edge para o back-end (Cloud e nuvem privada).