Configurazione di TLS tra un router e un processore di messaggi

Edge per il cloud privato v4.18.01

Per impostazione predefinita, il protocollo TLS tra il router e il processore di messaggi è disattivato.

Utilizza la procedura seguente per abilitare la crittografia TLS tra un router e il processore di messaggi:

  1. Assicurati che la porta 8082 del processore di messaggi sia accessibile dal router.
  2. Genera il file JKS dell'archivio chiavi contenente la certificazione TLS e la chiave privata. Per saperne di più, consulta la pagina Configurare TLS/SSL per i sistemi on-premise.
  3. Copia il file JKS dell'archivio chiavi in una directory sul server Processore messaggi, ad esempio /opt/apigee/customer/application.
  4. Modifica le autorizzazioni e la proprietà del file JKS:
    > chown Apigee:Apigee /opt/apigee/customer/application/keystore.jks
    > chmod 600 /opt/apigee/customer/application/keystore.jks

    dove keystore.jks è il nome del tuo file archivio chiavi.
  5. Modifica il file /opt/apigee/customer/application/message-processor.properties. Se il file non esiste, crealo.
  6. Imposta le seguenti proprietà nel file message-processor.properties:
    conf_message-processor-communication_local.http.ssl=true
    conf/message-processor-communication.properties+local.http.port.8443
    conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
    conf.message-local-processor-communication-properties.communication/properties.com.


    conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword

    dove keyStore.jks è il tuo file archivio chiavi e obsPword è la tua password offuscata dell'archivio chiavi e dell'alias chiave. Per informazioni sulla generazione di una password offuscata, consulta Configurazione di TLS/SSL per Edge On Premises.
  7. Assicurati che il file message-processor.properties sia di proprietà dell'utente "Apigee":
    > chown apigee:Apigee /opt/apigee/customer/application/message-processor.properties
  8. Arresta i processori di messaggi e i router:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
    /opt/Apigee/apigee-service/bin/apigee-service edge-router
  9. Sul router, elimina tutti i file in /opt/nginx/conf.d:
    > rm -f /opt/nginx/conf.d/*
  10. Avvia i processori di messaggi e i router:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
    /opt/ Apigee-apigee-service/bin/apigee-service edge-router
  11. Ripeti la procedura per eventuali altri elaboratori di messaggi.

Dopo che TLS è stato abilitato tra il router e l'elaboratore di messaggi, il file di log dell'elaboratore dei messaggi contiene questo messaggio INFO:

MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks

Questa istruzione INFO conferma che TLS funziona tra il router e il processore di messaggi.

La tabella seguente elenca tutte le proprietà disponibili in message-processor.properties:

Proprietà

Description (Descrizione)

conf_message-processor-communication_local.http.host=<localhost or or IP address>

Campo facoltativo. Nome host su cui rimanere in ascolto delle connessioni del router. Questa operazione sostituirà il nome dell'host configurato al momento della registrazione.

conf/message-processor-communication.properties+local.http.port=8998

Campo facoltativo. Porta su cui ascoltare le connessioni del router. Il valore predefinito è 8998.

conf_message-processor-communication_local.http://ssl=<false | true>

Impostalo su true per attivare TLS/SSL. Il valore predefinito è false. Se TLS/SSL è abilitato, devi impostare local.http.ssl.keystore.path e local.http.ssl.keyalias.

conf/message-processor-communication.properties+local.http.ssl.keystore.path=

Percorso del file system locale all'archivio chiavi (JKS o PKCS12). Obbligatorio quando local.http.ssl=true.

conf/message-processor-communication.properties+local.http.ssl.keyalias=

Alias chiave dell'archivio chiavi da utilizzare per le connessioni TLS/SSL. Obbligatorio quando local.http.ssl=true.

conf/message-processor-communication.properties+local.http.ssl.keyalias.password=

Password utilizzata per criptare la chiave all'interno dell'archivio chiavi. Utilizza una password offuscata in questo formato: OBF:xxxxxxxxxx

conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks

Tipo di archivio chiavi. Al momento sono supportati solo JKS e PKCS12. Il valore predefinito è JKS.

conf/message-processor-communication.properties+local.http.ssl.keystore.password=

Campo facoltativo. Password sfocata per l'archivio chiavi. Utilizza una password offuscata in questo formato: OBF:xxxxxxxxxx

conf_message-processor-communication_local.http://ssl.ciphers=<cipher1,cipher2>

Campo facoltativo. In caso di configurazione, sono consentite solo le crittografie elencate. Se omesso, utilizza tutte le crittografie supportate dal JDK.