私有雲的邊緣 4.17.09 版
根據預設,路由器和訊息處理器支援傳輸層安全標準 (TLS) 1.0、1.1、1.2 版。不過,您可能會想要限制路由器和訊息處理器支援的通訊協定。本文件說明如何在路由器和訊息處理器上設定全域通訊協定。
如果是路由器,您也可以為個別虛擬主機設定通訊協定。詳情請參閱「設定私有雲的 API 的 TLS 存取權」。
您可以針對訊息處理器設定個別 TargetEndpoint 的通訊協定。詳情請參閱「設定從 Edge 到後端的 TLS (雲端和私有雲)」。
在路由器上設定 TLS 通訊協定
如要在路由器上設定 TLS 通訊協定,請在 router.properties 檔案內設定屬性:
- 在編輯器中開啟 router.properties 檔案。如果檔案不存在,請建立該檔案:
> vi /opt/apigee/customer/application/router.properties - 視需要設定屬性:
# 可能的值是以空格分隔的清單:TLSv1 TLSv1.1 TLSv1.2
conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2 - 儲存變更。
- 請確保為「apigee」使用者擁有的屬性檔案:
> chown apigee:apigee /opt/apigee/customer/application/router.properties - 重新啟動路由器:
> /opt/apigee/apigee-service/bin/apigee-service Edge-router restart - 檢查 Nginx 檔案 /opt/nginx/conf.d/0-default.conf,
> cat /opt/nginx/conf.d/0-default.conf
確認 ssl_protocols 的值是 TLSv1.2,確認通訊協定已正確更新。 - 如果將雙向傳輸層安全標準 (TLS) 與虛擬主機搭配使用,您也必須按照為私有雲設定 API 的 TLS 存取權一文的說明,在虛擬主機中設定 TLS 通訊協定。
在訊息處理器上設定 TLS 通訊協定
如要在郵件處理器上設定 TLS 通訊協定,請在 message-processor.properties 檔案中設定屬性:
- 在編輯器中開啟 message-processor.properties 檔案。如果檔案不存在,請建立檔案:
> vi /opt/apigee/customer/application/message-processor.properties - 視需要設定屬性:
# 可能的值是以逗號分隔的 TLSv1、TLSv1.1、TLSv1.2 清單
conf/system.properties+https.protocols=TLSv1.2
# 可能的值是以半形逗號分隔的清單,當中列出 SSLv3、TLSv1、TLSv1.1、TLSv1.2
#,請確保您包含 SSLv3。
conf/jvmsecurity.properties+jdk.tls.disableAlgorithms=SSLv3, TLSv1、TLSv1.1
#設定訊息處理方需要支援的加密/加密傳輸協定,以及 TLS_SHA256_GCM_WITHTLS_5659556515-591
#設定需要由 Message Processor 支援的加密套件:communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_AESD - 儲存變更。
- 請確認您的屬性檔案為「apigee」使用者擁有:
> chown apigee:apigee:apigee /opt/apigee/customer/application/message-processor.properties - 重新啟動「訊息處理者」:
> /opt/apigee/apigee-service/bin/apigee-service Edge-message-processor restart - 如果您在後端使用雙向傳輸層安全標準 (TLS),請按照設定從 Edge 至後端的 TLS (雲端和私有雲) 設定所述,在虛擬主機中設定 TLS 通訊協定。