הגדרת פרוטוקול TLS לנתב ולמעבד הודעות

Edge for Private Cloud גרסה 4.18.01

כברירת מחדל, הנתב ומעבד ההודעות תומכים ב-TLS בגרסאות 1.0, 1.1 ו-1.2. עם זאת, ייתכן שתרצו להגביל את הפרוטוקולים שנתמכים על ידי הנתב ומעבד ההודעות. במסמך הזה מוסבר איך מגדירים את הפרוטוקול באופן גלובלי בנתב ובמעבד ההודעות.

עבור הנתב, אפשר גם להגדיר את הפרוטוקול למארחים וירטואליים ספציפיים. מידע נוסף זמין במאמר הגדרת גישה של TLS ל-API בענן הפרטי.

עבור מעבד ההודעות, אתם יכולים להגדיר את הפרוטוקול ל-TargetEndpoint ספציפי. למידע נוסף, אפשר לקרוא את המאמר בנושא הגדרת TLS מ-Edge (לקצה העורפי (Cloud וענן פרטי).

הגדרה של פרוטוקול TLS בנתב

כדי להגדיר את פרוטוקול ה-TLS בנתב, מגדירים את המאפיינים בקובץ router.properties:

  1. פותחים את הקובץ router.properties בעורך. אם הקובץ לא קיים, יוצרים אותו:
    > vi /opt/apigee/customer/application/router.properties
  2. מגדירים את המאפיינים באופן הרצוי:
    # ערכים אפשריים הם רשימה מופרדת ברווחים של: TLSv1 TLSv1.1 TLSv1.2
    conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
  3. שומרים את השינויים.
  4. מוודאים שקובץ המאפיינים נמצא בבעלות המשתמש של 'apigee':
    > chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. מפעילים מחדש את הנתב:
    > /opt/apigee/apigee-service/bin/apigee-service edge-router מחדש
  6. מוודאים שהפרוטוקול מעודכן באופן תקין על ידי בדיקה של קובץ Nginx /opt/nginx/conf.d/0-default.conf:
    > cat /opt/nginx/conf.d/0-default.conf

    בדקו שהערך של ssl_protocols הוא TLSv1.2.
  7. אם משתמשים ב-TLS דו-כיווני עם מארח וירטואלי, צריך גם להגדיר את פרוטוקול ה-TLS במארח הווירטואלי, כפי שמתואר במאמר הגדרת גישה באמצעות TLS לממשק API של הענן הפרטי.

הגדרה של פרוטוקול TLS במעבד ההודעות

כדי להגדיר את פרוטוקול TLS במעבד ההודעות, צריך להגדיר מאפיינים בקובץ message-processor.properties:

  1. פותחים את הקובץ message-processor.properties בכלי עריכה. אם הקובץ לא קיים, יוצרים אותו:
    > vi /opt/apigee/customer/application/message-processor.properties
  2. מגדירים את המאפיינים באופן הרצוי:
    # הערכים האפשריים הם רשימה מופרדת בפסיקים של TLSv1, TLSv1.1, TLSv1.2
    conf/system.properties+https.protocols=TLSv1.2
    # ערכים אפשריים הם רשימה מופרדת בפסיקים של SSLv3, TLSv1, TLSv1.1, TLSv1.2 שתוודאו.
    #3.
    conf/jvmsecurity.properties,jdk.tls. disabledAlgorithms=SSLv3, TLSv1, TLSv1.1

    #יש להגדיר את הצופנים שמעבד ההודעות צריך לתמוך בהם: Communications_local_GCM_SHA4הגדרת הצפנת GCM_GCM_GCM_עם הצפנת GCM_GCM_GCM_עם נתוני זמינות של TLS_GCM_GCM_עם הצפנת GCM_GCM_GCM_עם נתוני GCM_GCM_עם_'G לקמפיין של הצפנת GCM_GCM_TLS6_TLS_עם הצפנת GCM_TLS_עם הצפנת GCM_GCM_TLS_עם הצפנת GCM_TLS_GCM_עם הצפנת GCM_GCM_עם_GCM_עם_ש- שהיא GCM_TLS_GCM_עם_ש-API_RSA5665Gהצפנת TLSorithms=TLS_ECDHE_ECDSA_WITH_386_GCM_SHA4ECDSA_WITH__386_GCM_SHA4ECDSA_WITH__386_GCM_SHA4הגדרת אלגוריתמים להצפנה שצריכה להישמר
  3. שומרים את השינויים.
  4. מוודאים שקובץ המאפיינים נמצא בבעלות המשתמש מסוג 'apigee':
    > chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  5. מפעילים מחדש את מעבד ההודעות:
    > /opt/apigee/apigee-service/bin/apigee-service edge-message-processor מחדש
  6. אם משתמשים ב-TLS דו-כיווני באמצעות הקצה העורפי, צריך להגדיר את פרוטוקול ה-TLS במארח הווירטואלי כפי שמתואר במאמר הגדרת TLS מ-Edge לקצה העורפי (ענן וענן פרטי).