הגדרת TLS בין נתב לבין מעבד הודעות

Edge for Private Cloud גרסה 4.18.01

כברירת מחדל, TLS בין הנתב למעבד ההודעות מושבת.

יש לבצע את התהליך הבא כדי להפעיל הצפנת TLS בין נתב להודעה מעבד:

1. חשוב לוודא שהיציאה 8082 במעבד ההודעות נגישה לנתב.
2. יוצרים את קובץ ה-JKS של מאגר המפתחות שמכיל את אישור ה-TLS ואת המפתח הפרטי שלכם. לקבלת מידע נוסף, ראה הגדרת TLS/SSL עבור Edge On שטחים.
3. מעתיקים את קובץ ה-JKS של מאגר המפתחות לספרייה בשרת מעבד ההודעות, כמו בפורמט /opt/apigee/customer/application.
4. שינוי ההרשאות והבעלות על קובץ ה-JKS:
   > אפיק שושן:אפיג'י /opt/apigee/customer/application/keystore.jks
   > chmod 600 /opt/apigee/customer/application/keystore.jks
   
   keystore.jks הוא השם של קובץ מאגר המפתחות.
5. עורכים את הקובץ /opt/apigee/customer/application/message-processor.properties. אם הקובץ לא קיים, יוצרים אותו.
6. מגדירים את המאפיינים הבאים בקובץ message-processor.properties:
   conf_message-processor-communication_local.http.ssl=true
   conf/message-processor-communication.properties+local.http.port=8443
   conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
   conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keyStore.jks
   conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
   # יש להזין למטה את הסיסמה של מאגר המפתחות המעורפל.
   conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword
   
   keyStore.jks הוא קובץ מאגר המפתחות שלכם, obsPword הוא מאגר המפתחות המעורפל (obfuscated) והסיסמה שלכם ב-keyalias. צפייה הגדרת TLS/SSL ל-Edge Ones עבור מידע על יצירת סיסמה מעורפלת.
7. מוודאים שהקובץ message-processor.properties. נמצאת בבעלות 'apigee' user:
   > chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
8. הפסקת הפעולה של מעבדי ההודעות והנתבים:
   /opt/apigee/apigee-service/bin/apigee-service edge-message-processor עצירת ביניים
   /opt/apigee/apigee-service/bin/apigee-service dge-router stop
9. בנתב, מוחקים את כל הקבצים שנמצאים ב-/opt/nginx/conf.d:
   > חד-פעמי /opt/nginx/conf.d/*
10. מפעילים את מעבדי ההודעות והנתבים:
    /opt/apigee/apigee-service/bin/apigee-service הפעלת מעבד הודעות קצה
    /opt/apigee/apigee-service/bin/apigee-service edge-router start
11. חוזרים על הפעולה עבור מעבדי הודעות נוספים.

לאחר הפעלת TLS בין הנתב ומעבד ההודעות, קובץ היומן של מעבד ההודעות. מכיל את הודעת ה-INFO הבאה:

MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks

הצהרת INFO הזו מאשרת ש-TLS עובד בין הנתב ומעבד ההודעות.

בטבלה הבאה מפורטים כל המאפיינים הזמינים ב-message-processor.properties:

נכסים	תיאור
conf_message-processor-communication_local.http.host=<localhost או כתובת IP>	זה שינוי אופציונלי. שם המארח להאזנה לחיבורים של נתב. הפעולה הזו תבטל את המארח שהוגדר בזמן הרישום.
conf/message-processor-communication.properties+local.http.port=8998	זה שינוי אופציונלי. יציאה כדי להאזין לחיבורי נתב. ברירת המחדל היא 8998.
conf_message-processor-communication_local.http.ssl=<false | נכון>	יש להגדיר את הערך כ-True כדי להפעיל TLS/SSL. ברירת המחדל היא False. כאשר TLS/SSL מופעל, יש להגדיר את local.http.ssl.keystore.path וגם local.http.ssl.keyalias.
conf/message-processor-communication.properties+local.http.ssl.keystore.path=	נתיב של מערכת קבצים מקומית למאגר המפתחות (JKS או PKCS12). חובה כאשר local.http.ssl=true.
conf/message-processor-communication.properties+local.http.ssl.keyalias=	כינוי של מפתח ממאגר המפתחות שישמש לחיבורי TLS או SSL. חובה אם local.http.ssl=true.
conf/message-processor-communication.properties+local.http.ssl.keyalias.password=	הסיסמה שמשמשת להצפנת המפתח במאגר המפתחות. שימוש בסיסמה מעורפלת בפורמט הזה: OBF:xxxxxxxxxx
conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks	סוג מאגר המפתחות. כרגע יש תמיכה רק ב-JKS וב-PKCS12. ברירת המחדל היא JKS.
conf/message-processor-communication.properties+local.http.ssl.keystore.password=	זה שינוי אופציונלי. סיסמה מעורפלת למאגר המפתחות. במקרה הזה צריך להשתמש בסיסמה מעורפלת פורמט: OBF:xxxxxxxxxx
conf_message-processor-communication_local.http.ssl.ciphers=<cipher1,cipher2>	זה שינוי אופציונלי. לאחר ההגדרה, מותר להשתמש רק בהצפנה שמפורטת. אם לא צוין, משתמשים בכולם הצפנים שנתמכים על ידי ה-JDK.