Cómo configurar TLS entre un router y un procesador de mensajes

Edge para la nube privada v4.18.01

De forma predeterminada, la TLS entre el router y el procesador de mensajes está inhabilitada.

Usa el siguiente procedimiento para habilitar la encriptación TLS entre un router y el procesador de mensajes:

  1. Asegúrate de que el router pueda acceder al puerto 8082 en el procesador de mensajes.
  2. Genera el archivo JKS del almacén de claves que contiene tu certificación TLS y clave privada. Si deseas obtener más información, consulta Configura TLS/SSL para las instalaciones perimetrales.
  3. Copia el archivo JKS del almacén de claves a un directorio en el servidor del procesador de mensajes, como /opt/apigee/customer/application.
  4. Cambia los permisos y la propiedad del archivo JKS:
    > chown apigee:apigee /opt/apigee/customer/application/keystore.jks
    > chmod 600 /opt/apigee/customer/application/keystore.jks

    donde keystore.jks es el nombre de tu archivo del almacén de claves.
  5. Edite el archivo /opt/apigee/customer/application/message-processor.properties. Si el archivo no existe, créalo.
  6. Configura las siguientes propiedades en el archivo message-processor.properties:
    conf_message-processor-communication_local.http.ssl=true
    conf/message-processor-communication.properties+local.http.port=8443
    conf/message-processor-



    conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword

    En el ejemplo anterior, keyStore.jks es el archivo de su almacén de claves, y obsPword es el almacén de claves ofuscado y la contraseña de keyalias. Consulta Configura TLS/SSL para las instalaciones perimetrales a fin de obtener información sobre cómo generar una contraseña ofuscada.
  7. Asegúrate de que el archivo message-processor.properties sea propiedad del usuario “apigee”:
    > chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  8. Detén los procesadores de mensajes y los routers:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
    /opt/apigee/apigee-service/bin/apigee-service edge-router stop
  9. En el router, borra los archivos de /opt/nginx/conf.d:
    > rm -f /opt/nginx/conf.d/*
  10. Inicia los procesadores de mensajes y routers:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
    /opt/apigee/apigee-service/bin/apigee-service edge-router start
  11. Repita el proceso para otros procesadores de mensajes.

Después de que se habilite TLS entre el router y el procesador de mensajes, el archivo de registro del procesador de mensajes contendrá el siguiente mensaje INFO:

MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks

Esta declaración INFO confirma que TLS funciona entre el router y el procesador de mensajes.

En la siguiente tabla, se enumeran todas las propiedades disponibles en message-processor.properties:

Propiedades

Descripción

conf_message-processor-communication_local.http.host=<localhost o una dirección IP>

Opcional. Nombre de host en el que se escucharán las conexiones del router Esto anulará el nombre de host que se configuró en el registro.

conf/message-processor-communication.properties+local.http.port=8998

Opcional. Puerto en el que se detectarán las conexiones del router. El valor predeterminado es 8998.

conf_message-processor-communication_local.http.ssl=<false | verdadero>

Configúralo como verdadero para habilitar TLS/SSL. El valor predeterminado es falso. Cuando TLS/SSL está habilitado, debes configurar local.http.ssl.keystore.path y local.http.ssl.keyalias.

conf/message-processor-communication.properties+local.http.ssl.keystore.path=

Es la ruta de acceso del sistema de archivos local al almacén de claves (JKS o PKCS12). Obligatorio cuando local.http.ssl=true.

conf/message-processor-communication.properties+local.http.ssl.keyalias=

Alias de clave del almacén de claves que se usará para las conexiones TLS/SSL. Obligatorio cuando local.http.ssl=true.

conf/message-processor-communication.properties+local.http.ssl.keyalias.password=

Contraseña usada para encriptar la clave dentro del almacén de claves. Usa una contraseña ofuscada en este formato: OBF:xxxxxxxxxx

conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks

Tipo de almacén de claves. Actualmente, solo se admiten JKS y PKCS12. El valor predeterminado es JKS.

conf/message-processor-communication.properties+local.http.ssl.keystore.password=

Opcional. Contraseña oculta para el almacén de claves. Usa una contraseña ofuscada en este formato: OBF:xxxxxxxxxx

conf_message-processor-communication_local.http.ssl.crypts=<cifra1,cifrado2>

Opcional. Cuando se configura, solo se permiten los algoritmos de cifrado enumerados. Si se omite, usa todos los algoritmos de cifrado compatibles con el JDK.