הגדרת TLS בין נתב לבין מעבד הודעות

Edge for Private Cloud גרסה 4.18.05

כברירת מחדל, TLS בין הנתב למעבד ההודעות מושבת.

יש לבצע את התהליך הבא כדי להפעיל הצפנת TLS בין נתב להודעה מעבד:

1. חשוב לוודא שהיציאה 8082 במעבד ההודעות נגישה לנתב.
2. יוצרים את קובץ ה-JKS של מאגר המפתחות שמכיל את אישור ה-TLS ואת המפתח הפרטי שלכם. לקבלת מידע נוסף, ראה הגדרת TLS/SSL עבור Edge On שטחים.
3. מעתיקים את קובץ ה-JKS של מאגר המפתחות לספרייה בשרת מעבד ההודעות, כמו בתור /opt/apigee/customer/application.
4. שינוי ההרשאות והבעלות על קובץ ה-JKS:

   chown apigee:apigee /opt/apigee/customer/application/keystore.jks
   chmod 600 /opt/apigee/customer/application/keystore.jks

   כאשר keystore.jks הוא השם של קובץ מאגר המפתחות.

5. עורכים את הקובץ /opt/apigee/customer/application/message-processor.properties. אם הקובץ לא קיים, יוצרים אותו.
6. מגדירים את המאפיינים הבאים בקובץ message-processor.properties:

   conf_message-processor-communication_local.http.ssl=true
   conf/message-processor-communication.properties+local.http.port=8443
   conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
   conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keystore.jks
   conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
   # Enter the obfuscated keystore password below.
   conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword

   כאשר keystore.jks הוא קובץ מאגר המפתחות, ו-obsPword הוא מאגר מפתחות מעורפל וסיסמה עבור Keyalias. צפייה הגדרת TLS/SSL ל-Edge Ones עבור מידע על יצירת סיסמה מעורפלת.

7. יש לוודא שהקובץ message-processor.properties נמצא בבעלות ה-'apigee' user:

   chown apigee:apigee /opt/apigee/customer/application/message-processor.properties

8. עוצרים את מעבדי ההודעות והנתבים:

   /opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
   /opt/apigee/apigee-service/bin/apigee-service edge-router stop

9. בנתב, מוחקים את כל הקבצים שנמצאים ב-/opt/nginx/conf.d:

   rm -f /opt/nginx/conf.d/*

10. מפעילים את מעבדי ההודעות והנתבים:

    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
    /opt/apigee/apigee-service/bin/apigee-service edge-router start

11. חוזרים על הפעולה עבור מעבדי הודעות נוספים.

לאחר הפעלת TLS בין הנתב ומעבד ההודעות, קובץ היומן של מעבד ההודעות. מכיל את הודעת ה-INFO הבאה:

MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks

הצהרת INFO הזו מאשרת ש-TLS עובד בין הנתב ומעבד ההודעות.

בטבלה הבאה מפורטים כל המאפיינים הזמינים ב-message-processor.properties:

conf_message-processor-communication_local.
  http.host=localhost_or_IP_address

conf/message-processor-communication.
  properties+local.http.port=8998

conf_message-processor-communication_local.
  http.ssl=[ false | true ]

conf/message-processor-communication.
  properties+local.http.ssl.keystore.path=

conf/message-processor-communication.
  properties+local.http.ssl.keyalias=

conf/message-processor-communication.
  properties+local.http.ssl.keyalias.password=

conf/message-processor-communication.
  properties+local.http.ssl.keystore.type=jks

conf/message-processor-communication.
  properties+local.http.ssl.keystore.password=

conf_message-processor-communication_local.
  http.ssl.ciphers=cipher1,cipher2