Настройка протокола TLS для маршрутизатора и процессора сообщений

Edge для частного облака v. 4.17.09

По умолчанию маршрутизатор и процессор сообщений поддерживают TLS версий 1.0, 1.1, 1.2. Однако вы можете ограничить количество протоколов, поддерживаемых маршрутизатором и процессором сообщений. В этом документе описывается глобальная настройка протокола на маршрутизаторе и процессоре сообщений.

Для Маршрутизатора вы также можете установить протокол для отдельных виртуальных хостов. Дополнительные сведения см. в разделе Настройка доступа TLS к API для частного облака .

Для процессора сообщений вы можете установить протокол для отдельной TargetEndpoint. Дополнительные сведения см. в разделе Настройка TLS от Edge к серверной части (облако и частное облако) .

Установите протокол TLS на маршрутизаторе

Чтобы настроить протокол TLS на маршрутизаторе, установите свойства в файле router.properties :

  1. Откройте файл router.properties в редакторе. Если файл не существует, создайте его::
    > vi /opt/apigee/customer/application/router.properties
  2. Установите свойства по желанию:
    # Возможные значения представляют собой список, разделенный пробелами: TLSv1 TLSv1.1 TLSv1.2
    conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
  3. Сохраните изменения.
  4. Убедитесь, что файл свойств принадлежит пользователю apigee:
    > chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. Перезагрузите маршрутизатор:
    > /opt/apigee/apigee-service/bin/apigee-service перезапуск пограничного маршрутизатора
  6. Убедитесь, что протокол обновлен правильно, изучив файл Nginx /opt/nginx/conf.d/0-default.conf :
    > кот /opt/nginx/conf.d/0-default.conf

    Убедитесь, что значение ssl_protocols равно TLSv1.2.
  7. Если вы используете двусторонний TLS с виртуальным хостом, вам также необходимо настроить протокол TLS на виртуальном хосте, как описано в разделе Настройка доступа TLS к API для частного облака .

Установите протокол TLS на процессоре сообщений.

Чтобы настроить протокол TLS на процессоре сообщений, задайте свойства в файле message-processor.properties :

  1. Откройте файл message-processor.properties в редакторе. Если файл не существует, создайте его:
    > vi /opt/apigee/customer/application/message-processor.properties
  2. Установите свойства по желанию:
    # Возможные значения: список TLSv1, TLSv1.1, TLSv1.2, разделенный запятыми.
    conf/system.properties+https.protocols=TLSv1.2
    # Возможные значения: список SSLv3, TLSv1, TLSv1.1, TLSv1.2, разделенный запятыми.
    # Убедитесь, что вы включили SSLv3.
    conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1

    #Настройте шифры, которые должны поддерживаться процессором сообщений: communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,
    TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384, TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,
    TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,
    TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,
    TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  3. Сохраните изменения.
  4. Убедитесь, что файл свойств принадлежит пользователю apigee:
    > chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  5. Перезапустите процессор сообщений:
    > /opt/apigee/apigee-service/bin/apigee-service перезапуск процессора Edge-message
  6. Если вы используете двусторонний TLS с серверной частью, установите протокол TLS на виртуальном хосте, как описано в разделе Настройка TLS от Edge к серверной части (облако и частное облако) .