TLS zwischen einem Router und einem Nachrichtenprozessor konfigurieren

Edge für Private Cloud v4.18.01

Standardmäßig ist TLS zwischen dem Router und dem Nachrichtenprozessor deaktiviert.

So aktivieren Sie die TLS-Verschlüsselung zwischen einem Router und dem Nachrichtenprozessor:

  1. Achten Sie darauf, dass Port 8082 im Message Processor für den Router zugänglich ist.
  2. Generieren Sie die Keystore-JKS-Datei mit Ihrer TLS-Zertifizierung und Ihrem privaten Schlüssel. Weitere Informationen finden Sie unter TLS/SSL für Edge On Premises konfigurieren.
  3. Kopieren Sie die Keystore-JKS-Datei in ein Verzeichnis auf dem Message Processor-Server, z. B. /opt/apigee/customer/application.
  4. Ändern Sie die Berechtigungen und die Inhaberschaft der JKS-Datei:
    > chown apigee:apigee /opt/apigee/customer/application/keystore.jks
    > chmod 600 /opt/apigee/customer/application/keystore.jks

    , wobei keystore.jks der Name Ihrer Schlüsselspeicherdatei ist.
  5. Bearbeiten Sie die Datei /opt/apigee/customer/application/message-processor.properties. Wenn die Datei nicht vorhanden ist, erstellen Sie sie.
  6. Legen Sie die folgenden Attribute in der Datei message-processor.properties fest:
    conf_message-processor-communication_local.http.ssl=true
    conf/message-processor-communication.properties+local.http.port=8443
    conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
    conf/message.process.application


    conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword

    wobei keyStore.jks Ihre Schlüsselspeicherdatei und obsPword Ihre verschleierten Schlüsselspeicher- und Keyalias-Passwörter sind. Informationen zum Generieren eines verschleierten Passworts finden Sie unter TLS/SSL für Edge On Premises konfigurieren.
  7. Überprüfen Sie, ob die Datei message-processor.properties dem Nutzer „apigee“ gehört:
    > chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  8. Beenden Sie die Message-Processors und Router:
    /opt/apigee/apigee-service/bin/apigee-service Edge-message-processor stop
    /opt/apigee/apigee-service/bin/apigee-service Edge-Router anhalten
  9. Löschen Sie auf dem Router alle Dateien in /opt/nginx/conf.d:
    > rm -f /opt/nginx/conf.d/*.
  10. Starten Sie die Message-Processoren und Router:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
    /opt/apigee/apigee-service/bin/apigee-service Edge-Router starten
  11. Wiederholen Sie diese Schritte für alle weiteren Message Processor.

Nachdem TLS zwischen dem Router und dem Nachrichtenprozessor aktiviert wurde, enthält die Logdatei der Nachrichtenverarbeitung diese INFO-Nachricht:

MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks

Diese INFO-Anweisung bestätigt, dass TLS zwischen dem Router und dem Nachrichtenprozessor funktioniert.

In der folgenden Tabelle sind alle verfügbaren Attribute in „message-processor.properties“ aufgeführt:

Properties

Beschreibung

conf_message-processor-communication_local.http.host=<localhost oder IP-Adresse>

Optional. Hostname, der bei Routerverbindungen überwacht werden soll. Dadurch wird der bei der Registrierung konfigurierte Hostname überschrieben.

conf/message-processor-communication.properties+local.http.port=8998

Optional. Port, der für Routerverbindungen verwendet werden soll. Der Standardwert ist 8.998.

conf_message-processor-communication_local.http.ssl=<false | true>

Setzen Sie den Wert auf „true“, um TLS/SSL zu aktivieren. Der Standardwert ist "false". Wenn TLS/SSL aktiviert ist, müssen Sie local.http.ssl.keystore.path und local.http.ssl.keyalias festlegen.

conf/message-processor-communication.properties+local.http.ssl.keystore.path=.

Pfad des lokalen Dateisystems zum Schlüsselspeicher (JKS oder PKCS12). Obligatorisch, wenn local.http.ssl=true.

conf/message-processor-communication.properties+local.http.ssl.keyalias=.

Schlüsselalias aus dem Schlüsselspeicher, der für TLS/SSL-Verbindungen verwendet werden soll. Obligatorisch, wenn local.http.ssl=true.

conf/message-processor-communication.properties+local.http.ssl.keyalias.password=.

Passwort, das zum Verschlüsseln des Schlüssels im Schlüsselspeicher verwendet wird. Verwenden Sie ein verschleiertes Passwort in diesem Format: OBF:xxxxxxxxxx

conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks

Schlüsselspeichertyp. Derzeit werden nur JKS und PKCS12 unterstützt. Der Standardwert ist JKS.

conf/message-processor-communication.properties+local.http.ssl.keystore.password=

Optional. Verschleiertes Passwort für den Schlüsselspeicher. Verwenden Sie ein verschleiertes Passwort in diesem Format: OBF:xxxxxxxxxx

conf_message-processor-communication_local.http.ssl.icks=<Chiffre1,verschlüsselt2>

Optional. Wenn sie konfiguriert sind, sind nur die aufgeführten Chiffren zulässig. Wenn nichts angegeben ist, sollten Sie alle Chiffren verwenden, die vom JDK unterstützt werden.