Como configurar o protocolo TLS para o roteador e o processador de mensagens

Edge para nuvem privada v4.18.01

Por padrão, o roteador e o processador de mensagens aceitam as versões 1.0, 1.1 e 1.2 do TLS. No entanto, você pode querer limitar os protocolos compatíveis com o roteador e o processador de mensagens. Este documento descreve como definir o protocolo globalmente no roteador e no processador de mensagens.

No roteador, você também pode definir o protocolo para hosts virtuais individuais. Para saber mais, consulte Como configurar o acesso TLS a uma API para a nuvem privada.

Para o processador de mensagens, é possível configurar o protocolo para um TargetEndpoint individual. Consulte Como configurar o TLS do Edge para o back-end (nuvem e nuvem privada) para mais informações.

Definir o protocolo TLS no roteador

Para configurar o protocolo TLS no roteador, defina as propriedades no arquivo router.properties:

  1. Abra o arquivo router.properties em um editor. Se o arquivo não existir, crie-o:
    > vi /opt/apigee/customer/application/router.properties
  2. Defina as propriedades como quiser:
    # Os valores possíveis são lista delimitada por espaço de: TLSv1 TLSv1.1 TLSv1.2
    conf_load_ Balancing_load.Balancing.driver.server.ssl.protocols=TLSv1.2
  3. Salve as mudanças.
  4. Verifique se o arquivo de propriedades pertence ao usuário "apigee":
    > chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. Reinicie o roteador:
    > /opt/apigee/apigee-service/bin/apigee-service cloud-router restart
  6. Verifique se o protocolo está atualizado corretamente examinando o arquivo Nginx /opt/nginx/conf.d/0-default.conf:
    > cat /opt/nginx/conf.d/0-default.conf

    Verifique se o valor de ssl_protocols é TLSv1.2.
  7. Se você estiver usando o TLS bidirecional com um host virtual, precisará definir também o protocolo TLS no host virtual, conforme descrito em Como configurar o acesso TLS a uma API para a nuvem privada.

Definir o protocolo TLS no processador de mensagens

Para configurar o protocolo TLS no processador de mensagens, configure as propriedades no arquivo message-processor.properties:

  1. Abra o arquivo message-processor.properties em um editor. Se o arquivo não existir, crie-o:
    > vi /opt/apigee/customer/application/message-processor.properties
  2. Defina as propriedades como quiser:
    # Os valores possíveis são uma lista delimitada por vírgulas de TLSv1, TLSv1.1, TLSv1.2
    conf/system.properties+https.protocols=TLSv1.2
    # Os valores possíveis são uma lista delimitada por vírgulas de SSLv3, TLSv1, TLSv1.1 e TLSv1.2
    # Verifique se você inclui SSLv3.
    conf/jvmsecurity.properties+jdk.tls.DisabledAlgorithms=SSLv3, TLSv1, TLSv1.1

    #Configure as criptografias que precisam ser compatíveis com o processador de mensagens: notification_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_DSA_SHADHE_SHARS2
  3. Salve as mudanças.
  4. Verifique se o arquivo de propriedades pertence ao usuário "apigee":
    > chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  5. Reinicie o processador de mensagens:
    > /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
  6. Se você estiver usando o TLS bidirecional com o back-end, defina o protocolo TLS no host virtual, conforme descrito em Como configurar o TLS do Edge para o back-end (Cloud e nuvem privada).