Impostazione del protocollo TLS per router e processore di messaggi

Edge per Private Cloud v4.18.01

Per impostazione predefinita, il router e il processore di messaggi supportano le versioni TLS 1.0, 1.1 e 1.2. Tuttavia, potresti voler limitare i protocolli supportati dal router e dal processore di messaggi. Questo documento descrive come impostare il protocollo a livello globale sul router e sul processore di messaggi.

Per il router, puoi anche impostare il protocollo per singoli host virtuali. Per saperne di più, consulta Configurazione dell'accesso TLS a un'API per il cloud privato.

Per il processore di messaggi, puoi impostare il protocollo per un singolo TargetEndpoint. Per saperne di più, consulta Configurazione di TLS da Edge al backend (cloud e cloud privato).

Imposta il protocollo TLS sul router

Per impostare il protocollo TLS sul router, imposta le proprietà nel file router.properties:

  1. Apri il file router.properties in un editor. Se il file non esiste, crealo:
    > vi /opt/apigee/customer/application/router.properties
  2. Imposta le proprietà come preferisci:
    # I valori possibili sono un elenco delimitato da spazi di: TLSv1 TLSv1.1 TLSv1.2
    conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
  3. Salva le modifiche.
  4. Assicurati che il file delle proprietà sia di proprietà dell 'utente apigee':
    > chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. Riavvia il router:
    > /opt/apigee/apigee-service/bin/apigee-service edge-router concern
  6. Verifica che il protocollo sia aggiornato correttamente esaminando il file Nginx /opt/nginx/conf.d/0-default.conf:
    > cat /opt/nginx/conf.d/0-default.conf

    Assicurati che il valore di ssl_protocols sia TLSv1.2.
  7. Se utilizzi TLS a due vie con un host virtuale, devi anche impostare il protocollo TLS nell'host virtuale, come descritto in Configurazione dell'accesso TLS per un'API per il cloud privato.

Imposta il protocollo TLS sul processore di messaggi

Per impostare il protocollo TLS sul processore di messaggi, imposta le proprietà nel file message-processor.properties:

  1. Apri il file message-processor.properties in un editor. Se il file non esiste, crealo:
    > vi /opt/apigee/customer/application/message-processor.properties
  2. Imposta le proprietà come preferisci:
    # I valori possibili sono un elenco delimitato da virgole di TLSv1, TLSv1.1, TLSv1.2
    conf/system.properties+https.protocols=TLSv1.2
    # I valori possibili sono un elenco di SSLv3, TLSv1, TLSv1.1, TLSv1.2 delimitato da virgole
    # Assicurati di includere SSLv3.
    conf/jvmsecurity.properties+jdk.tls.DisabledAlgorithms=SSLv3, TLSv1, TLSv1.1

    #Configura le crittografie che devono essere supportate dall'elaboratore di messaggi: communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_SHA384,
  3. Salva le modifiche.
  4. Assicurati che il file delle proprietà sia di proprietà dell 'utente apigee':
    > chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  5. Riavvia il processore di messaggi:
    > /opt/apigee/apigee-service/bin/apigee-service edge-message-processor affidabile
  6. Se utilizzi TLS a due vie con il backend, imposta il protocollo TLS nell'host virtuale come descritto in Configurare TLS da Edge al backend (cloud e cloud privato).