TLS zwischen einem Router und einem Nachrichtenprozessor konfigurieren

Edge for Private Cloud v4.18.05

Standardmäßig ist TLS zwischen dem Router und dem Message Processor deaktiviert.

Gehen Sie wie nachfolgend beschrieben vor, um die TLS-Verschlüsselung zwischen einem Router und der Nachricht zu aktivieren. Prozessor:

  1. Achten Sie darauf, dass Port 8082 auf dem Message Processor für den Router zugänglich ist.
  2. Generieren Sie die JKS-Datei des Schlüsselspeichers, die Ihre TLS-Zertifizierung und Ihren privaten Schlüssel enthält. Weitere Informationen Siehe Konfigurieren von TLS/SSL für Edge On Gebäude.
  3. Kopieren Sie die JKS-Datei des Schlüsselspeichers in ein Verzeichnis auf dem Message Processor-Server, z. B. als /opt/apigee/customer/application.
  4. So ändern Sie die Berechtigungen und Eigentümerschaft der JKS-Datei:
    chown apigee:apigee /opt/apigee/customer/application/keystore.jks
    chmod 600 /opt/apigee/customer/application/keystore.jks

    Dabei ist keystore.jks der Name Ihrer Schlüsselspeicherdatei.

  5. Bearbeiten Sie die Datei /opt/apigee/customer/application/message-processor.properties. Wenn die Datei nicht vorhanden ist, erstellen Sie sie.
  6. Legen Sie in der Datei message-processor.properties die folgenden Attribute fest:
    conf_message-processor-communication_local.http.ssl=true
    conf/message-processor-communication.properties+local.http.port=8443
    conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
    conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keystore.jks
    conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
    # Enter the obfuscated keystore password below.
    conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword

    Dabei ist keystore.jks Ihre Schlüsselspeicherdatei und obsPword Ihre Schlüsselspeicherdatei verschleierten Schlüsselspeicher und Keyalias-Passwort. Weitere Informationen finden Sie unter Konfigurieren von TLS/SSL für Edge On Premises für Informationen zum Generieren eines verschleierten Passworts.

  7. Achten Sie darauf, dass die Datei message-processor.properties dem Apigee gehört Nutzer:
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  8. Stoppen Sie die Nachrichtenprozessoren und Router:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
    /opt/apigee/apigee-service/bin/apigee-service edge-router stop
  9. Löschen Sie auf dem Router alle Dateien in /opt/nginx/conf.d:
    rm -f /opt/nginx/conf.d/*
  10. Starten Sie die Message Processors und Router:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
    /opt/apigee/apigee-service/bin/apigee-service edge-router start
  11. Wiederholen Sie diese Schritte für alle weiteren Message Processor.

Nachdem TLS zwischen dem Router und dem Message Processor aktiviert wurde, wird die Protokolldatei des Message Processor enthält diese INFO-Nachricht:

MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks

Diese INFO-Anweisung bestätigt, dass TLS zwischen dem Router und dem Message Processor funktioniert.

In der folgenden Tabelle sind alle verfügbaren Eigenschaften in message-processor.properties aufgeführt:

Attribute Beschreibung
conf_message-processor-communication_local.
  http.host=localhost_or_IP_address
Optional. Hostname, der auf Routerverbindungen überwacht werden soll. Dadurch wird der Host überschrieben Name, der bei der Registrierung konfiguriert wurde.
conf/message-processor-communication.
  properties+local.http.port=8998
Optional. Port, der auf Routerverbindungen überwacht werden soll. Der Standardwert ist 8998.
conf_message-processor-communication_local.
  http.ssl=[ false | true ]
Setzen Sie diesen Wert auf "true", um TLS/SSL zu aktivieren. Der Standardwert ist "false". Wenn TLS/SSL aktiviert ist, müssen local.http.ssl.keystore.path und local.http.ssl.keyalias festlegen.
conf/message-processor-communication.
  properties+local.http.ssl.keystore.path=
Pfad des lokalen Dateisystems zum Schlüsselspeicher (JKS oder PKCS12). Obligatorisch, wenn local.http.ssl=true
conf/message-processor-communication.
  properties+local.http.ssl.keyalias=
Schlüsselalias aus dem Schlüsselspeicher, der für TLS/SSL-Verbindungen verwendet werden soll. Obligatorisch, wenn local.http.ssl=true
conf/message-processor-communication.
  properties+local.http.ssl.keyalias.password=
Passwort, das zum Verschlüsseln des Schlüssels im Schlüsselspeicher verwendet wird. Verschleiertes Passwort verwenden im folgenden Format: OBF:xxxxxxxxxx
conf/message-processor-communication.
  properties+local.http.ssl.keystore.type=jks
Schlüsselspeichertyp. Derzeit werden nur JKS und PKCS12 unterstützt. Der Standardwert ist JKS.
conf/message-processor-communication.
  properties+local.http.ssl.keystore.password=
Optional. Verschleiertes Passwort für den Schlüsselspeicher. Verwenden Sie hier ein verschleiertes Passwort Format: OBF:xxxxxxxxxx
conf_message-processor-communication_local.
  http.ssl.ciphers=cipher1,cipher2
Optional. Bei der Konfiguration sind nur die aufgeführten Chiffren zulässig. Wenn nicht angegeben, alle verwenden Chiffren, die vom JDK unterstützt werden.