Konfigurowanie protokołu TLS dla routera i procesora wiadomości

Edge for Private Cloud w wersji 4.18.01

Domyślnie router i procesor wiadomości obsługują protokół TLS 1.0, 1.1 i 1.2, ale możesz ograniczyć liczbę protokołów obsługiwanych przez router i procesor wiadomości. Ten dokument opisuje, jak globalnie ustawić protokół w routerze i procesorze wiadomości.

W przypadku routera możesz też ustawić protokół dla poszczególnych hostów wirtualnych. Więcej informacji znajdziesz w artykule Konfigurowanie dostępu przy użyciu protokołu TLS do interfejsu API w chmurze Private Cloud.

W przypadku podmiotu przetwarzającego wiadomości możesz ustawić protokół dla pojedynczego punktu końcowego docelowego. Więcej informacji znajdziesz w artykule Konfigurowanie protokołu TLS z brzegu do backendu (chmura i chmura prywatna).

Ustaw protokół TLS w routerze

Aby ustawić protokół TLS w routerze, ustaw właściwości w pliku router.properties:

  1. Otwórz plik router.properties w edytorze. Jeśli plik nie istnieje, utwórz go:
    > vi /opt/apigee/customer/application/router.properties
  2. Ustaw właściwości zgodnie z potrzebami:
    # Możliwe wartości to rozdzielana spacjami lista: TLSv1 TLSv1.1 TLSv1.2
    conf_load_Balance_load.Balance.driver.server.ssl.protocols=TLSv1.2
  3. Zapisz zmiany.
  4. Sprawdź, czy plik właściwości należy do użytkownika „apigee”:
    > chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. Ponownie uruchom router:
    > /opt/apigee/apigee-service/bin/apigee-service Edge-router restart
  6. Sprawdź, czy protokół jest prawidłowo zaktualizowany, sprawdzając plik Nginx /opt/nginx/conf.d/0-default.conf:
    > cat /opt/nginx/conf.d/0-default.conf

    Sprawdź, czy wartość parametru ssl_protocols to TLSv1.2.
  7. Jeśli z hostem wirtualnym korzystasz z dwukierunkowego protokołu TLS, musisz też ustawić protokół TLS na hoście wirtualnym zgodnie z opisem w sekcji Konfigurowanie dostępu TLS do interfejsu API w chmurze prywatnej.

Ustaw protokół TLS w procesorze wiadomości

Aby ustawić protokół TLS w procesorze wiadomości, ustaw właściwości w pliku message-processor.properties:

  1. Otwórz plik message-processor.properties w edytorze. Jeśli plik nie istnieje, utwórz go:
    > vi /opt/apigee/customer/application/message-processor.properties
  2. Ustaw właściwości zgodnie z potrzebami:
    # Możliwe wartości to rozdzielana przecinkami lista protokołów TLSv1, TLSv1.1 i TLSv1.2
    conf/system.properties+https.protocols=TLSv1.2
    # Możliwe wartości to rozdzielana przecinkami lista protokołów SSLv3, TLSv1, TLSv1.1 i TLSv1.2.
    # Pamiętaj o uwzględnieniu protokołu SSLv3.
    Algorithms_conf/jvmsecurity.properties+jdk.tls.excludedAlgorithms=SSLv3, TLSv1, TLS_1.1

    #Skonfiguruj mechanizmy szyfrowania, które muszą być obsługiwane przez procesor wiadomości: communication_local.http.ssl.ciphers=TLS_ECDHE_GECDSA_WITH_AES_256_HECMEC8
  3. Zapisz zmiany.
  4. Sprawdź, czy plik właściwości należy do użytkownika „apigee”:
    > chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  5. Ponownie uruchom procesor wiadomości:
    > /opt/apigee/apigee-service/bin/apigee-service Edge-message-processor restart
  6. Jeśli w backendzie używasz dwukierunkowego protokołu TLS, ustaw protokół TLS na hoście wirtualnym w sposób opisany w sekcji Konfigurowanie protokołu TLS z brzegu do backendu (chmura i chmura prywatna).