为路由器和消息处理器设置 TLS 协议

Edge for Private Cloud v4.18.01

默认情况下,路由器和消息处理器支持 TLS 版本 1.0、1.1、1.2。但是,您可能想要限制路由器和消息处理器支持的协议。本文档介绍了如何在路由器和消息处理器上全局设置协议。

对于路由器,您还可以为各个虚拟主机设置协议。如需了解详情,请参阅为私有云配置对 API 的 TLS 访问

对于消息处理器,您可以为单个 TargetEndpoint 设置协议。如需了解详情,请参阅配置从边缘到后端(云端和私有云)的 TLS

在路由器上设置 TLS 协议

要在路由器上设置 TLS 协议,请在 router.properties 文件中设置属性:

  1. 在编辑器中打开 router.properties 文件。如果该文件不存在,请创建:
    > vi /opt/apigee/customer/application/router.properties
  2. 根据需要设置属性:
    # 可能的值是以空格分隔的列表,包括:TLSv1 TLSv1.1 TLSv1.2
    conf_load_系统的负载均衡_load.变动.driver.server.ssl.protocols=TLSv1.2
  3. 保存更改。
  4. 请确保属性文件归“apigee”用户所有:
    > chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. 重启路由器:
    > /opt/apigee/apigee-service/bin/apigee-serviceedge-router restart
  6. 通过检查 Nginx 文件 /opt/nginx/conf.d/0-default.conf 验证协议是否已正确更新:
    > cat /opt/nginx/conf.d/0-default.conf

    确保 ssl_protocols 的值为 TLSv1.2。
  7. 如果您对虚拟主机使用双向 TLS,则还必须在虚拟主机中设置 TLS 协议,如配置对私有云的 API 的 TLS 访问中所述。

在消息处理器上设置 TLS 协议

要在消息处理器上设置 TLS 协议,请在 message-processor.properties 文件中设置属性:

  1. 在编辑器中打开 message-processor.properties 文件。如果该文件不存在,请创建:
    > vi /opt/apigee/customer/application/message-processor.properties
  2. 根据需要设置属性:
    # 可能的值是用英文逗号分隔的 TLSv1, TLSv1.1, TLSv1.2 列表
    conf/system.properties+https.protocols=TLSv1.2
    # 可能的值是用英文逗号分隔的 SSLv3, TLSv1, TLSv1.1, TLSv1.2
    # 您添加了 SSLv3.
    conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1

    #配置消息处理器需要支持的加密方式: Communication_local.http.ssl.cryptos=TLS_ECDHE_ECDSA_WITH_AES_256_AES_SHA3_TLS5GCM_SHA_TLS5
  3. 保存更改。
  4. 请确保属性文件归“apigee”用户所有:
    > chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  5. 重启消息处理器:
    > /opt/apigee/apigee-service/bin/apigee-serviceedge-message-processor restart
  6. 如果您在后端使用双向 TLS,请按照配置从边缘到后端(云端和私有云)的 TLS 中的说明,在虚拟主机中设置 TLS 协议。