Edge for Private Cloud v4.18.01
De forma predeterminada, la TLS entre el router y el procesador de mensajes está inhabilitada.
Usa el siguiente procedimiento para habilitar la encriptación TLS entre un router y el Mensaje Procesador:
- Asegúrate de que el router pueda acceder al puerto 8082 del procesador de mensajes.
- Genera el archivo JKS de almacén de claves que contiene tu certificación TLS y tu clave privada. Para obtener más información, consulta Configura TLS/SSL para Edge On Instalaciones.
- Copia el archivo JKS del almacén de claves a un directorio en el servidor Message Processor, como /opt/apigee/customer/application.
- Cambia los permisos y la propiedad del archivo JKS:
> chown apigee:apigee /opt/apigee/customer/application/keystore.jks
> chmod 600 /opt/apigee/customer/application/keystore.jks
donde keystore.jks es el nombre del archivo de almacén de claves. - Edita el archivo /opt/apigee/customer/application/message-processor.properties. Si el archivo no existe, créalo.
- Configura las siguientes propiedades en el archivo message-processor.properties:
conf_message-processor-communication_local.http.ssl=true
conf/message-processor-Communication.properties+local.http.port=8443
. conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keyStore.jks
conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
# Ingresa la contraseña del almacén de claves ofuscado que se muestra a continuación.
conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword
en el que keyStore.jks es el archivo del almacén de claves. obsPword es tu almacén de claves ofuscado y contraseña de alias de claves. Consulta Configuración de TLS/SSL para Edge On Local para información para generar contraseñas ofuscadas. - Asegúrate de que el archivo message-processor.properties
es propiedad del servicio de Apigee usuario:
> chown apigee:apigee /opt/apigee/customer/application/message-processor.properties - Detén los procesadores de mensajes y los routers:
/opt/apigee/apigee-service/bin/apigee-service Edge-message-processor parada
/opt/apigee/apigee-service/bin/apigee-service Edge-router stop - En el router, borra cualquier archivo en /opt/nginx/conf.d:
> rm -f /opt/nginx/conf.d/* - Inicia los procesadores de mensajes y los routers:
/opt/apigee/apigee-service/bin/apigee-service Edge-message-processor start
/opt/apigee/apigee-service/bin/apigee-service Edge-router start - Repite el proceso para todos los procesadores de mensajes adicionales.
Después de habilitar TLS entre el router y el procesador de mensajes, el archivo de registro del procesador de mensajes contiene este mensaje INFO:
MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks
Esta sentencia INFO confirma que TLS funciona entre el router y el procesador de mensajes.
En la siguiente tabla, se enumeran todas las propiedades disponibles en message-processor.properties:
Propiedades |
Descripción |
---|---|
conf_message-processor-communication_local.http.host=<localhost o dirección IP>
|
Opcional. Nombre de host en el que se escucharán las conexiones del router. Esto anulará el host configurado en el registro. |
conf/message-processor-Communication.properties+local.http.port=8998 |
Opcional. Puerto en el que se escucharán las conexiones del router. El valor predeterminado es 8,998. |
conf_message-processor-communication_local.http.ssl=<false | verdadero> |
Configúralo como verdadero para habilitar TLS/SSL. El valor predeterminado es falso. Cuando TLS/SSL está habilitado, se debe configurar local.http.ssl.keystore.path y local.http.ssl.keyalias. |
conf/message-processor-communication.properties+local.http.ssl.keystore.path= |
Ruta de acceso del sistema de archivos local al almacén de claves (JKS o PKCS12). Es obligatorio cuando es local.http.ssl=true. |
conf/message-processor-communication.properties+local.http.ssl.keyalias= |
El alias de clave del almacén de claves que se usará para las conexiones TLS/SSL. Obligatorio cuando local.http.ssl=true. |
conf/message-processor-communication.properties+local.http.ssl.keyalias.password= |
Contraseña usada para encriptar la clave dentro del almacén de claves. Usa una contraseña ofuscada en este formato: OBF:xxxxxxxxxx |
conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks |
Tipo de almacén de claves. Por el momento, solo se admiten JKS y PKCS12. El valor predeterminado es JKS. |
conf/message-processor-communication.properties+local.http.ssl.keystore.password= |
Opcional. Contraseña ofuscada para el almacén de claves. Usa una contraseña ofuscada en esta formato: OBF:xxxxxxxxxx |
conf_message-processor-communication_local.http.ssl.ciphers=<cipher1,cipher2> |
Opcional. Cuando se configura, solo se permiten los algoritmos de cifrado enumerados. Si se omiten, se deben usar todas. los cifrados compatibles con el JDK. |