Edge for Private Cloud v4.18.01
כברירת מחדל, ה-TLS בין הנתב למעבד ההודעות מושבת.
יש להשתמש בתהליך הבא כדי להפעיל הצפנת TLS בין נתב לבין מעבד ההודעות:
- יש לוודא שהנתב 8082 במעבד ההודעות נגיש לנתב.
- יוצרים את קובץ ה-JKS של מאגר המפתחות שמכיל את אישור ה-TLS והמפתח הפרטי. למידע נוסף, קראו את המאמר הגדרת TLS/SSL עבור Edge Edge.
- מעתיקים את קובץ ה-JKS של מאגר המפתחות לספרייה בשרת עיבוד ההודעות, למשל /opt/apigee/customer/application.
- שינוי ההרשאות והבעלות על קובץ ה-JKS:
> chown apigee:apigee /opt/apigee/customer/application/keystore.jks
> chmod 600 /opt/apigee/customer/application/keystore.jks
כאשר keystore.jks הוא השם של קובץ מאגר המפתחות שלכם. - ערכו את הקובץ /opt/apigee/customer/application/message-CPU.properties. אם הקובץ לא קיים, יוצרים אותו.
- מגדירים את המאפיינים הבאים בקובץ message-CPU.properties:
conf_message-CPU-communication_local.http.ssl=true
conf/message-CPU-communication.properties+local.http.port=8443
conf/message-CPU-communication.properties+local.http.ssl.keystore.type=jks
conf/message-CPU.communication. משתמש. משתמש
conf/message-CPU-communication.properties+local.http.ssl.keystore.password=OBF:obsPword
כאשר keyStore.jks הוא קובץ המפתח של מאגר המפתחות שלכם, obsPword הוא הסיסמה או המפתחת של המפתחות המפתח שלכם וערפול הקוד (obfuscation). למידע נוסף על יצירת סיסמה מעורפלת, ראו הגדרת TLS/SSL ל-Edge על פי דומיין. - מוודאים שהקובץ message-CPU.properties הוא בבעלות המשתמש 'apigee':
> chown apigee:apigee /opt/apigee/customer/application/message-CPU.properties - הפסקת עיבוד ההודעות והנתבים:
/opt/apigee/apigee-service/bin/apigee-service edge-message-CPU עצירה
/opt/apigee/apigee-service/bin/apigee-service edge-router - בנתב, מוחקים קבצים מהכתובת /opt/nginx/conf.d:
> rm -f /opt/nginx/conf.d/* - מפעילים את עיבוד ההודעות והנתבים:
/opt/apigee/apigee-service/bin/apigee-service edge-message-CPU start
/opt/apigee/apigee-service/bin/apigee-service edge-router start - יש לחזור על התהליך עבור מעבדי הודעות נוספים.
לאחר הפעלת TLS בין הנתב לבין מעבד ההודעות, קובץ היומן של מעבד ההודעות מכיל את פרטי המידע הבאים:
MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks
הצהרת המידע הזו מאשרת ש-TLS פועל בין הנתב למעבד ההודעות.
בטבלה הבאה מפורטים כל הנכסים הזמינים ב-message-CPU.properties:
|
נכסים |
תיאור |
|---|---|
|
conf_message-CPU-communication_local.http.host=<localhost או כתובת IP>
|
אופציונלי. שם המארח להאזנה לחיבורי נתב. הפעולה הזו תשנה את שם המארח שהוגדר במהלך הרישום. |
|
conf/message-CPU-communication.properties+local.http.port=8998 |
אופציונלי. יציאה להאזנה לחיבורי נתבים ברירת המחדל היא 8998. |
|
conf_message-CPU-communication_local.http.ssl=<false | true> |
יש להגדיר את הערך כ-true כדי להפעיל TLS/SSL. ברירת המחדל היא FALSE. כאשר TLS/SSL מופעל, עליך להגדיר את local.http.ssl.keystore.path ואת local.http.ssl.keyalias. |
|
conf/message-CPU-communication.properties+local.http.ssl.keystore.path= |
נתיב מערכת קבצים מקומי אל מאגר המפתחות (JKS או PKCS12). חובה אם הכתובת local.http.ssl=true. |
|
conf/message-CPU-communication.properties+local.http.ssl.keyalias= |
כינוי מפתח ממאגר המפתחות שישמש לחיבורי TLS/SSL. חובה אם local.http.ssl=true. |
|
conf/message-CPU-communication.properties+local.http.ssl.keyalias.password= |
הסיסמה המשמשת להצפנת המפתח במאגר המפתחות. יש להשתמש בסיסמה מטושטשת בפורמט הבא: OBF:xxxxxxxxxx |
|
conf/message-CPU-communication.properties+local.http.ssl.keystore.type=jks |
סוג מאגר מפתחות. בשלב זה, יש תמיכה רק ב-JKS וב-PKCS12. ברירת המחדל היא JKS. |
|
conf/message-CPU-communication.properties+local.http.ssl.keystore.password= |
אופציונלי. סיסמה מעורפלת עבור מאגר המפתחות. יש להשתמש בסיסמה מטושטשת בפורמט הבא: OBF:xxxxxxxxxx |
|
conf_message-CPU-communication_local.http.ssl.ciphers=<cipher1,cipher2> |
אופציונלי. בעת ההגדרה, מותר להשתמש רק באלגוריתמים המצפנים המפורטים. אם הושמטו, צריך להשתמש בכל הצפנים הנתמכים על ידי ה-JDK. |