Edge for Private Cloud w wersji 4.18.01
Domyślnie protokół TLS między routerem a procesorem wiadomości jest wyłączony.
Aby włączyć szyfrowanie TLS między routerem a wiadomością, wykonaj czynności opisane poniżej Procesor:
- Upewnij się, że router ma dostęp do portu 8082 procesora wiadomości.
- Wygeneruj plik JKS magazynu kluczy zawierający certyfikat TLS i klucz prywatny. Aby zobaczyć więcej, zobacz Konfigurowanie TLS/SSL dla Edge On Nieruchomość.
- Skopiuj plik JKS magazynu kluczy do katalogu na serwerze Message Processor, taki jak pod adresem /opt/apigee/customer/application.
- Zmień uprawnienia i własność pliku JKS:
> chown apigee:apigee /opt/apigee/customer/application/keystore.jks
> chmod 600 /opt/apigee/customer/application/keystore.jks
gdzie keystore.jks to nazwa pliku magazynu kluczy. - Edytuj plik /opt/apigee/customer/application/message-processor.properties. Jeśli plik nie istnieje, utwórz go.
- Ustaw w pliku message-processor.properties te właściwości:
conf_message-processor-communication_local.http.ssl=true
conf/message-processor-communication.properties+local.http.port=8443
conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keyStore.jks
conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
# Wpisz poniżej zaciemnione hasło magazynu kluczy.
conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword
gdzie keyStore.jks to plik magazynu kluczy. obsPword to zaciemniony magazyn kluczy i hasło aliasu. Zobacz Konfigurowanie TLS/SSL dla usługi Edge On dla domeny jak wygenerować zaciemnione hasło. - Upewnij się, że plik message-processor.properties
należy do „apigee” użytkownik:
> chown apigee:apigee /opt/apigee/customer/application/message-processor.properties - Zatrzymaj procesory wiadomości i routery:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor przystanek
/opt/apigee/apigee-service/bin/apigee-service Edge-router - W routerze usuń wszystkie pliki z katalogu /opt/nginx/conf.d:
> rm -f /opt/nginx/conf.d/* - Uruchom procesory wiadomości i routery:
/opt/apigee/apigee-service/bin/apigee-service uruchomienie procesora tymczasowego przechowywania wiadomości na serwerach brzegowych
/opt/apigee/apigee-service/bin/apigee-service starter routera brzegowego - Powtórz te czynności w przypadku wszystkich dodatkowych procesorów wiadomości.
Po włączeniu protokołu TLS między routerem a procesorem wiadomości, plik dziennika procesora wiadomości zawiera tę wiadomość INFO:
MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks
Ta instrukcja INFO potwierdza, że protokół TLS działa między routerem a procesorem wiadomości.
Poniższa tabela zawiera wszystkie właściwości dostępne w pliku message-processor.properties:
|
Usługi |
Opis |
|---|---|
|
conf_message-processor-communication_local.http.host=<localhost lub adres IP
|
Opcjonalnie: Nazwa hosta nasłuchującego połączeń routera. Spowoduje to zastąpienie hosta nazwę skonfigurowaną podczas rejestracji. |
|
conf/message-processor-communication.properties+local.http.port=8998 |
Opcjonalnie: Port nasłuchujący połączenia routera. Wartość domyślna to 8998. |
|
conf_message-processor-communication_local.http.ssl=<false | true> |
Aby włączyć TLS/SSL, ustaw tę wartość na „prawda”. Wartość domyślna to false (fałsz). Gdy protokół TLS/SSL jest włączony, musi ustawić local.http.ssl.keystore.path oraz local.http.ssl.keyalias. |
|
conf/message-processor-communication.properties+local.http.ssl.keystore.path= |
Ścieżka lokalnego systemu plików do magazynu kluczy (JKS lub PKCS12). Obowiązkowe w przypadku parametru local.http.ssl=true. |
|
conf/message-processor-communication.properties+local.http.ssl.keyalias= |
Alias klucza z magazynu kluczy, który ma być używany na potrzeby połączeń TLS/SSL. Obowiązkowe, gdy: local.http.ssl=true. |
|
conf/message-processor-communication.properties+local.http.ssl.keyalias.password= |
Hasło używane do szyfrowania klucza w magazynie kluczy. Używanie zaciemnionego hasła format: OBF:xxxxxxxxxx |
|
conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks |
Typ magazynu kluczy. Obecnie obsługiwane są tylko JKS i PKCS12. Wartość domyślna to JKS. |
|
conf/message-processor-communication.properties+local.http.ssl.keystore.password= |
Opcjonalnie: Zamaskowane hasło do magazynu kluczy. Użyj zaciemnionego hasła w tej format: OBF:xxxxxxxxxx |
|
conf_message-processor-communication_local.http.ssl.ciphers=<cipher1,cipher2> |
Opcjonalnie: Jeśli zostanie skonfigurowana, dozwolone będą tylko wymienione mechanizmy szyfrowania. Jeśli go pominiesz, użyj wszystkich obsługiwane przez pakiet JDK. |