Edge for Private Cloud, wersja 4.18.01
Domyślnie protokół TLS między routerem a procesorem wiadomości jest wyłączony.
Aby włączyć szyfrowanie TLS między routerem a firmą obsługującą wiadomości, wykonaj te czynności:
- Upewnij się, że port 8082 w procesorze wiadomości jest dostępny dla routera.
- Wygeneruj plik JKS magazynu kluczy zawierający certyfikat TLS i klucz prywatny. Więcej informacji znajdziesz w artykule Konfigurowanie TLS/SSL dla serwerów brzegowych.
- Skopiuj plik JKS magazynu kluczy do katalogu na serwerze procesora wiadomości, np. /opt/apigee/customer/application.
- Zmień uprawnienia i prawo własności do pliku JKS:
> chown apigee:apigee /opt/apigee/customer/application/keystore.jks
> chmod 600 /opt/apigee/customer/application/keystore.jks
gdzie keystore.jks to nazwa Twojego pliku magazynu kluczy. - Edytuj plik /opt/apigee/customer/application/message-processor.property. Jeśli plik nie istnieje, utwórz go.
- W pliku message-processor.property ustaw te właściwości:
conf_message-processor-communication_local.http.ssl=true
conf/message-processor-communication.property+local.http.ssl.keystore.type=jks
conf/message.process.message.add.user.app.add
conf/message-processor-communication.property+local.http.ssl.keystore.password=OBF:obsPword
gdzie keyStore.jks to plik magazynu kluczy, a obsPword to zaciemniony magazyn kluczy i hasło. Informacje o generowaniu zaciemnionego hasła znajdziesz w artykule Konfigurowanie TLS/SSL dla obiektów lokalnie dostępnych na serwerach brzegowych. - Upewnij się, że plik message-processor.property należy do użytkownika „apigee”:
> chown apigee:apigee /opt/apigee/customer/application/message-processor.property - Zatrzymaj procesory i routery wiadomości:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
/opt/apigee/apigee-service/bin/apigee-service edge-router stop - Na routerze usuń wszystkie pliki z katalogu /opt/nginx/conf.d:
> rm -f /opt/nginx/conf.d/* - Uruchom procesory i routery wiadomości:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
/opt/apigee/apigee-service/bin/apigee-service edge-router start - Powtórz te czynności dla wszystkich dodatkowych podmiotów przetwarzających wiadomości.
Gdy protokół TLS jest włączony między routerem a firmą obsługującą wiadomości, plik dziennika tego procesora zawiera ten komunikat:
MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks
Ta instrukcja INFO potwierdza, że protokół TLS działa między routerem a procesorem wiadomości.
W tabeli poniżej znajdziesz listę wszystkich właściwości dostępnych w polu message-processor.property:
|
Usługi |
Description |
|---|---|
|
conf_message-processor-communication_local.http.host=<lokalnyhost lub adres IP>
|
Opcjonalnie. Nazwa hosta, na której nasłuchuje połączenia routera. Spowoduje to zastąpienie nazwy hosta skonfigurowanego podczas rejestracji. |
|
conf/message-processor-communication.property+local.http.port=8998 |
Opcjonalnie. Port, na którym nasłuchuje połączeń routera. Wartość domyślna to 8998. |
|
conf_message-processor-communication_local.http.ssl=<false | true> |
Ustaw wartość „true”, aby włączyć TLS/SSL. Wartość domyślna to fałsz (fałsz). Gdy protokół TLS/SSL jest włączony, musisz ustawić local.http.ssl.keystore.path i local.http.ssl.keyalias. |
|
conf/message-processor-communication.property+local.http.ssl.keystore.path= |
Lokalna ścieżka systemu plików do magazynu kluczy (JKS lub PKCS12). Obowiązkowa wartość w polu local.http.ssl=true. |
|
conf/message-processor-communication.property+local.http.ssl.keyalias= |
Alias klucza z magazynu kluczy, który ma być używany na potrzeby połączeń TLS/SSL. Obowiązkowy w przypadku local.http.ssl=true. |
|
conf/message-processor-communication.property+local.http.ssl.keyalias.password= |
Hasło używane do szyfrowania klucza w magazynie kluczy. Użyj zaciemnionego hasła w formacie: OBF:xxxxxxxxxx |
|
conf/message-processor-communication.property+local.http.ssl.keystore.type=jks |
Typ magazynu kluczy. Obecnie obsługiwane są tylko pliki JKS i PKCS12. Wartość domyślna to JKS. |
|
conf/message-processor-communication.property+local.http.ssl.keystore.password= |
Opcjonalnie. Zamaskowane hasło do magazynu kluczy. Użyj zaciemnionego hasła w formacie OBF:xxxxxxxxxx |
|
conf_message-processor-communication_local.http.ssl.ciphers=<cipher1,cipher2>. |
Opcjonalnie. Po skonfigurowaniu tej zasady dozwolone są tylko mechanizmy szyfrowania wymienione na liście. W przypadku pominięcia użyj wszystkich mechanizmów szyfrowania obsługiwanych przez JDK. |