Эта страница переведена с помощью Cloud Translation API.

Настройка TLS между маршрутизатором и процессором сообщений

Edge для частного облака v4.18.05

По умолчанию TLS между маршрутизатором и процессором сообщений отключен.

Примечание. Порт 8082 на процессоре сообщений должен быть открыт для доступа маршрутизатора для выполнения проверок работоспособности при настройке TLS/SSL между маршрутизатором и процессором сообщений. Если вы не настроили TLS/SSL между маршрутизатором и процессором сообщений, в конфигурации по умолчанию порт 8082 по-прежнему должен быть открыт на процессоре сообщений для управления компонентом, но маршрутизатору не требуется доступ к нему.

Используйте следующую процедуру, чтобы включить шифрование TLS между маршрутизатором и процессором сообщений:

Убедитесь, что порт 8082 процессора сообщений доступен маршрутизатору.
Создайте файл JKS хранилища ключей, содержащий ваш сертификат TLS и закрытый ключ. Дополнительные сведения см. в разделе Настройка TLS/SSL для Edge On Premises .
Скопируйте файл JKS хранилища ключей в каталог на сервере процессора сообщений, например /opt/apigee/customer/application .
Измените разрешения и владельца файла JKS:
```
chown apigee:apigee /opt/apigee/customer/application/keystore.jks
chmod 600 /opt/apigee/customer/application/keystore.jks
```
Где keystore.jks — это имя вашего файла хранилища ключей.
Отредактируйте файл /opt/apigee/customer/application/message-processor.properties . Если файл не существует, создайте его.

Установите следующие свойства в файле message-processor.properties :

conf_message-processor-communication_local.http.ssl=true
conf/message-processor-communication.properties+local.http.port=8443
conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keystore.jks
conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
# Enter the obfuscated keystore password below.
conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword

Где keystore.jks — это ваш файл хранилища ключей, а obsPword — это ваше скрытое хранилище ключей и пароль-псевдоним. Информацию о создании запутанного пароля см. в разделе Настройка TLS/SSL для Edge On Premises .

Убедитесь, что файл message-processor.properties принадлежит пользователю apigee:
```
chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
```

Остановите процессоры сообщений и маршрутизаторы:

/opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
/opt/apigee/apigee-service/bin/apigee-service edge-router stop

На маршрутизаторе удалите все файлы в /opt/nginx/conf.d :
```
rm -f /opt/nginx/conf.d/*
```

Запустите процессоры сообщений и маршрутизаторы:

/opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
/opt/apigee/apigee-service/bin/apigee-service edge-router start

Повторите эти действия для любых дополнительных процессоров сообщений.

После включения TLS между маршрутизатором и процессором сообщений файл журнала процессора сообщений содержит следующее INFO-сообщение:

MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks

Это заявление INFO подтверждает, что TLS работает между маршрутизатором и процессором сообщений.

В следующей таблице перечислены все доступные свойства в message-processor.properties:

Характеристики	Описание
conf_message-processor-communication_local. http.host=`localhost_or_IP_address`	Необязательный. Имя хоста для прослушивания подключений маршрутизатора. Это переопределит имя хоста, настроенное при регистрации.
conf/message-processor-communication. properties+local.http.port=8998	Необязательный. Порт для прослушивания подключений маршрутизатора. По умолчанию — 8998.
conf_message-processor-communication_local. http.ssl=[ false \| true ]	Установите для этого параметра значение true, чтобы включить TLS/SSL. По умолчанию — ложь. Если TLS/SSL включен, вы должны установить `local.http.ssl.keystore.path` и `local.http.ssl.keyalias` .
conf/message-processor-communication. properties+local.http.ssl.keystore.path=	Путь локальной файловой системы к хранилищу ключей (JKS или PKCS12). Обязательно, если `local.http.ssl=true` .
conf/message-processor-communication. properties+local.http.ssl.keyalias=	Псевдоним ключа из хранилища ключей, который будет использоваться для соединений TLS/SSL. Обязательно, если `local.http.ssl=true` .
conf/message-processor-communication. properties+local.http.ssl.keyalias.password=	Пароль, используемый для шифрования ключа внутри хранилища ключей. Используйте запутанный пароль в следующем формате: OBF: `xxxxxxxxxx`
conf/message-processor-communication. properties+local.http.ssl.keystore.type=jks	Тип хранилища ключей. В настоящее время поддерживаются только JKS и PKCS12. По умолчанию — JKS.
conf/message-processor-communication. properties+local.http.ssl.keystore.password=	Необязательный. Запутанный пароль для хранилища ключей. Используйте запутанный пароль в следующем формате: OBF: `xxxxxxxxxx`
conf_message-processor-communication_local. http.ssl.ciphers=`cipher1,cipher2`	Необязательный. При настройке разрешены только перечисленные шифры. Если этот параметр опущен, используйте все шифры, поддерживаемые JDK.