Como configurar o TLS entre um roteador e um processador de mensagens

Edge para nuvem privada v4.18.01

Por padrão, o TLS entre o roteador e o processador de mensagens está desativado.

Use o procedimento a seguir para ativar a criptografia TLS entre um roteador e o processador de mensagens:

1. Verifique se a porta 8082 no processador de mensagens pode ser acessada pelo roteador.
2. Gere o arquivo JKS do keystore que contém sua certificação TLS e chave privada. Para mais informações, consulte Como configurar o TLS/SSL para o Edge On-Premises.
3. Copie o arquivo JKS do keystore para um diretório no servidor do Processador de mensagens, como /opt/apigee/customer/application.
4. Altere as permissões e a propriedade do arquivo JKS:
   > chown apigee:apigee /opt/apigee/customer/application/keystore.jks
   > chmod 600 /opt/apigee/customer/application/keystore.jks
   
   em que keystore.jks é o nome do seu arquivo de keystore.
5. Edite o arquivo /opt/apigee/customer/application/message-processor.properties. Se o arquivo não existir, crie-o.
6. Defina as seguintes propriedades no arquivo message-processor.properties:
   conf_message-processor-communication_local.http.ssl=true
   conf/message-processor-communication.properties+local.http.port=8443
   conf/message-processor-communication.properties+local.http.ssl.keystore.type=jk
   
   
   
   conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword
   
   em que keyStore.jks é seu arquivo de keystore e obsPword é sua senha de keystore e keyalias ofuscada. Consulte Como configurar TLS/SSL para o Edge On-Premises (em inglês) para informações sobre como gerar uma senha ofuscada.
7. Verifique se o arquivo message-processor.properties pertence ao usuário "apigee":
   > chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
8. Interrompa o Processador de mensagens e os roteadores:
   /opt/apigee/apigee-service/bin/apigee-service borda-processador-mensagem
   /opt/apigee/apigee-service/bin/apigee-service borda-roteador
9. No roteador, exclua todos os arquivos em /opt/nginx/conf.d:
   > rm -f /opt/nginx/conf.d/*
10. Inicie os processadores de mensagens e roteadores:
    /opt/apigee/apigee-service/bin/serviço-inicial de início do processador de mensagens de borda
    /opt/apigee/apigee-service/bin/inicial do roteador de serviço da Apigee
11. Repita o procedimento para outros processadores de mensagens.

Depois que o TLS for ativado entre o roteador e o processador de mensagens, o arquivo de registro do processador de mensagens conterá esta mensagem INFO:

MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks

Esta instrução INFO confirma que o TLS está funcionando entre o roteador e o processador de mensagens.

A tabela a seguir lista todas as propriedades disponíveis em message-processor.properties:

Propriedades	Descrição
conf_message-processor-communication_local.http.host=<localhost ou endereço IP>	Opcional. Nome do host para detectar conexões do roteador. Isso substituirá o nome do host configurado no registro.
conf/message-processor-communication.properties+local.http.port=8998 (link em inglês)	Opcional. Porta para detectar conexões do roteador. O padrão é 8998.
conf_message-processor-communication_local.http.ssl=<false | true>	Defina como verdadeiro para ativar o TLS/SSL. O padrão é false Quando TLS/SSL está ativado, é necessário definir local.http.ssl.keystore.path e local.http.ssl.keyalias.
conf/message-processor-communication.properties+local.http.ssl.keystore.path=.	Caminho do sistema de arquivos local para o keystore (JKS ou PKCS12). Obrigatório quando local.http.ssl=true.
conf/message-processor-communication.properties+local.http.ssl.keyalias=	Alias de chave do keystore a ser usado para conexões TLS/SSL. Obrigatório quando local.http.ssl=true.
conf/message-processor-communication.properties+local.http.ssl.keyalias.password=	Senha usada para criptografar a chave dentro do keystore. Use uma senha ofuscada neste formato: OBF:xxxxxxxxxx
conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks (em inglês)	Tipo de keystore. Apenas o JKS e o PKCS12 são compatíveis no momento. O padrão é JKS.
conf/message-processor-communication.properties+local.http.ssl.keystore.password=.	Opcional. Senha ofuscada do keystore. Use uma senha ofuscada neste formato: OBF:xxxxxxxxxx
conf_message-processor-communication_local.http.ssl.ciphers=<cipher1,cipher2>	Opcional. Quando configuradas, somente as criptografias listadas são permitidas. Se omitido, use todas as criptografias compatíveis com o JDK.