การตั้งค่าโปรโตคอล TLS สําหรับเราเตอร์และผู้ประมวลผลข้อความ

Edge สำหรับ Private Cloud เวอร์ชัน 4.17.09

โดยค่าเริ่มต้น เราเตอร์และผู้ประมวลผลข้อมูลข้อความรองรับ TLS เวอร์ชัน 1.0, 1.1, 1.2 แต่คุณอาจต้องการจำกัดโปรโตคอลที่เราเตอร์และผู้ประมวลผลข้อมูลข้อความรองรับ เอกสารนี้จะอธิบายวิธีตั้งค่าโปรโตคอลบนเราเตอร์และเครื่องมือประมวลผลข้อความทั่วโลก

สำหรับเราเตอร์ คุณยังสามารถตั้งค่าโปรโตคอลสำหรับโฮสต์เสมือนแต่ละโฮสต์ได้ด้วย โปรดดูการกำหนดค่าการเข้าถึง TLS ไปยัง API สำหรับ Private Cloud สำหรับข้อมูลเพิ่มเติม

สำหรับเครื่องมือประมวลผลข้อความ คุณสามารถตั้งค่าโปรโตคอลสำหรับ TargetEndpoint แต่ละรายการได้ โปรดดูการกำหนดค่า TLS จาก Edge เป็นแบ็กเอนด์ (Cloud และ Private Cloud) สำหรับข้อมูลเพิ่มเติม

ตั้งค่าโปรโตคอล TLS บนเราเตอร์

หากต้องการตั้งค่าโปรโตคอล TLS บนเราเตอร์ ให้ตั้งค่าพร็อพเพอร์ตี้ในไฟล์ router.properties

  1. เปิดไฟล์ router.properties ในตัวแก้ไข หากไม่มีไฟล์ ให้สร้างขึ้นมาโดยทำดังนี้
    > vi /opt/apigee/customer/application/router.properties
  2. ตั้งค่าพร็อพเพอร์ตี้ตามต้องการ
    # ค่าที่เป็นไปได้คือรายการคั่นด้วยช่องว่างของ TLSv1 TLSv1.1 TLSv1.2
    conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
  3. บันทึกการเปลี่ยนแปลง
  4. ตรวจสอบว่าไฟล์พร็อพเพอร์ตี้เป็นของผู้ใช้ "apigee":
    > chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. รีสตาร์ทเราเตอร์โดยทำดังนี้
    > /opt/apigee/apigee-service/bin/apigee-service edge-routerควรมีรีสตาร์ท
  6. ตรวจสอบว่าโปรโตคอลได้รับการอัปเดตอย่างถูกต้องโดยตรวจสอบไฟล์ Nginx /opt/nginx/conf.d/0-default.conf:
    > cat /opt/nginx/conf.d/0-default.conf

    ตรวจสอบว่าค่าของ ssl_protocols คือ TLSv1.2
  7. หากใช้ TLS แบบ 2 ทางกับโฮสต์เสมือน คุณต้องตั้งค่าโปรโตคอล TLS ในโฮสต์เสมือนด้วย ตามที่อธิบายไว้ในการกำหนดค่าการเข้าถึง TLS ไปยัง API สำหรับ Private Cloud

ตั้งค่าโปรโตคอล TLS ในตัวประมวลผลข้อความ

ในการตั้งค่าโปรโตคอล TLS ในเครื่องมือประมวลผลข้อความ ให้ตั้งค่าพร็อพเพอร์ตี้ในไฟล์ message-processor.properties

  1. เปิดไฟล์ message-processor.properties ในตัวแก้ไข หากไม่มีไฟล์ ให้สร้างขึ้นมาโดยทำดังนี้
    > vi /opt/apigee/customer/application/message-processor.properties
  2. ตั้งค่าพร็อพเพอร์ตี้ตามต้องการดังนี้
    # ค่าที่เป็นไปได้คือรายการที่คั่นด้วยเครื่องหมายจุลภาคของ TLSv1, TLSv1.1, TLSv1.2
    conf/system.properties+https.protocols=TLSv1.2
    # ค่าที่เป็นไปได้คือรายการ SSLv3, TLSv1, TLSv1.1, TLSv1.2
    # ตรวจสอบว่ารวม SSLv3 แล้ว
    conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1

    #กำหนดค่าการเข้ารหัสที่ผู้ประมวลผลข้อความต้องได้รับการรองรับโดยผู้ประมวลผลข้อความ: Communication_local.http.ssl.ciphers=TLS_ECDHE_SHA_WITH_ACMAWITHHES_HST_SHA8



  3. บันทึกการเปลี่ยนแปลง
  4. ตรวจสอบว่าไฟล์พร็อพเพอร์ตี้เป็นของผู้ใช้ "apigee":
    > chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  5. รีสตาร์ทโปรแกรมประมวลผลข้อความ
    > /opt/apigee/apigee-service/bin/apigee-service edge-message-processorรีสตาร์ท
  6. หากใช้ TLS แบบ 2 ทางกับแบ็กเอนด์อยู่ ให้ตั้งค่าโปรโตคอล TLS ในโฮสต์เสมือนตามที่อธิบายไว้ในการกำหนดค่า TLS จาก Edge เป็นแบ็กเอนด์ (Cloud และ Private Cloud)