Mengonfigurasi TLS antara Router dan Pemroses Pesan

Edge for Private Cloud v4.18.05

Secara default, TLS antara Router dan Pemroses Pesan dinonaktifkan.

Gunakan prosedur berikut untuk mengaktifkan enkripsi TLS antara Router dan Pesan Pemroses:

  1. Pastikan port 8082 di Pemroses Pesan dapat diakses oleh Router.
  2. Buat file JKS keystore yang berisi sertifikasi TLS dan kunci pribadi Anda. Untuk selengkapnya, lihat Mengonfigurasi TLS/SSL untuk Edge On Gedung.
  3. Salin file JKS keystore ke direktori di server Message Processor, misalnya sebagai /opt/apigee/customer/application.
  4. Ubah izin dan kepemilikan file JKS:
    chown apigee:apigee /opt/apigee/customer/application/keystore.jks
    chmod 600 /opt/apigee/customer/application/keystore.jks

    Dengan keystore.jks adalah nama file keystore Anda.

  5. Edit file /opt/apigee/customer/application/message-processor.properties. Jika file tidak ada, buat file tersebut.
  6. Tetapkan properti berikut dalam file message-processor.properties:
    conf_message-processor-communication_local.http.ssl=true
    conf/message-processor-communication.properties+local.http.port=8443
    conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
    conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keystore.jks
    conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
    # Enter the obfuscated keystore password below.
    conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword

    Dengan keystore.jks adalah file keystore Anda, dan obsPword adalah keystore dan sandi keyalias yang di-obfuscate. Lihat Mengonfigurasi TLS/SSL untuk Edge On Premises untuk informasi tentang cara membuat {i> password<i} yang di-obfuscate.

  7. Pastikan file message-processor.properties dimiliki oleh 'apigee' pengguna:
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  8. Hentikan Pemroses dan Router Pesan:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
    /opt/apigee/apigee-service/bin/apigee-service edge-router stop
  9. Di Router, hapus file apa pun di /opt/nginx/conf.d:
    rm -f /opt/nginx/conf.d/*
  10. Mulai Prosesor dan Router Pesan:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
    /opt/apigee/apigee-service/bin/apigee-service edge-router start
  11. Ulangi untuk Pemroses Pesan lainnya.

Setelah TLS diaktifkan antara Router dan Pemroses Pesan, file log Pemroses Pesan berisi pesan INFO ini:

MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks

Pernyataan INFO ini mengonfirmasi bahwa TLS berfungsi antara Router dan Pemroses Pesan.

Tabel berikut mencantumkan semua properti yang tersedia di message-processor.properties:

Properti Deskripsi
conf_message-processor-communication_local.
  http.host=localhost_or_IP_address
Opsional. Nama host yang akan didengarkan untuk koneksi router. Ini akan mengganti host nama yang dikonfigurasi saat pendaftaran.
conf/message-processor-communication.
  properties+local.http.port=8998
Opsional. Porta yang akan digunakan untuk memproses koneksi router. Defaultnya adalah 8998.
conf_message-processor-communication_local.
  http.ssl=[ false | true ]
Setel ini ke true untuk mengaktifkan TLS/SSL. Defaultnya adalah false. Jika TLS/SSL diaktifkan, Anda harus menetapkan local.http.ssl.keystore.path dan local.http.ssl.keyalias.
conf/message-processor-communication.
  properties+local.http.ssl.keystore.path=
Jalur sistem file lokal ke keystore (JKS atau PKCS12). Wajib saat local.http.ssl=true.
conf/message-processor-communication.
  properties+local.http.ssl.keyalias=
Alias kunci dari keystore yang akan digunakan untuk koneksi TLS/SSL. Wajib saat local.http.ssl=true.
conf/message-processor-communication.
  properties+local.http.ssl.keyalias.password=
Sandi yang digunakan untuk mengenkripsi kunci di dalam keystore. Menggunakan sandi yang di-obfuscate dalam format ini: OBF:xxxxxxxxxx
conf/message-processor-communication.
  properties+local.http.ssl.keystore.type=jks
Jenis keystore. Saat ini hanya JKS dan PKCS12 yang didukung. Defaultnya adalah JKS.
conf/message-processor-communication.
  properties+local.http.ssl.keystore.password=
Opsional. Sandi untuk keystore disamarkan. Gunakan sandi yang di-obfuscate dalam hal ini format: OBF:xxxxxxxxxx
conf_message-processor-communication_local.
  http.ssl.ciphers=cipher1,cipher2
Opsional. Saat dikonfigurasi, hanya cipher yang tercantum yang diizinkan. Jika dihilangkan, gunakan semua penyandian yang didukung oleh JDK.