إعداد بروتوكول بروتوكول أمان طبقة النقل (TLS) لجهاز التوجيه ومعالج الرسائل

الإصدار 4.18.05 من Edge الخاص بخدمة Private Cloud

يتوافق جهاز التوجيه ومعالج الرسائل تلقائيًا مع الإصدارات 1.0 و1.1 و1.2 من بروتوكول أمان طبقة النقل (TLS)، ولكن قد تحتاج إلى الحدّ من البروتوكولات المتوافقة مع جهاز التوجيه ومعالج الرسائل. ويصف هذا المستند طريقة إعداد البروتوكول على جهاز التوجيه ومعالج الرسائل على مستوى العالم.

بالنسبة إلى جهاز التوجيه، يمكنك أيضًا تعيين البروتوكول للمضيفات الظاهرية الفردية. راجِع ضبط الوصول إلى بروتوكول أمان طبقة النقل (TLS) إلى واجهة برمجة تطبيقات للسحابة الإلكترونية الخاصة لمزيد من المعلومات.

بالنسبة إلى معالج الرسائل، يمكنك تعيين البروتوكول لنقطة نهاية مستهدفة فردية. راجِع ضبط بروتوكول أمان طبقة النقل (TLS) من Edge إلى الخلفية (Cloud وخاصة Cloud) للحصول على مزيد من المعلومات.

ضبط بروتوكول أمان طبقة النقل (TLS) على جهاز التوجيه

لضبط بروتوكول أمان طبقة النقل (TLS) على جهاز التوجيه، اضبط السمات في ملف router.properties:

  1. افتح ملف router.properties في محرِّر. إذا لم يكن الملف متوفّرًا، يمكنك إنشاؤه: 
    vi /opt/apigee/customer/application/router.properties
  2. اضبط السمات على النحو المطلوب: 
    # Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2
conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
  3. احفظ التغييرات.
  4. تأكَّد من أنّ ملف السمات يملكه مستخدم "apigee": 
     chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. عليك إعادة تشغيل جهاز التوجيه: 
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
  6. تحقَّق من تحديث البروتوكول بشكل صحيح من خلال فحص ملف Nginx /opt/nginx/conf.d/0-default.conf: 
    cat /opt/nginx/conf.d/0-default.conf

    تأكَّد من أنّ قيمة ssl_protocols هي TLSv1.2.

  7. إذا كنت تستخدم بروتوكول أمان طبقة النقل (TLS) ثنائي الاتجاه مع مضيف افتراضي، يجب أيضًا إعداد بروتوكول أمان طبقة النقل (TLS) في المضيف الظاهري كما هو موضَّح في ضبط الوصول إلى بروتوكول أمان طبقة النقل (TLS) إلى واجهة برمجة تطبيقات للسحابة الإلكترونية الخاصة.

ضبط بروتوكول أمان طبقة النقل (TLS) في معالج الرسائل

لضبط بروتوكول أمان طبقة النقل (TLS) في معالج الرسائل، اضبط السمات في ملف message-processor.properties:

  1. افتح ملف message-processor.properties في محرِّر. إذا لم يكن الملف متوفّرًا، يمكنك إنشاؤه: 
    vi /opt/apigee/customer/application/message-processor.properties
  2. اضبط السمات على النحو المطلوب: 
    # Possible values are a comma-delimited list of TLSv1, TLSv1.1, TLSv1.2
conf/system.properties+https.protocols=TLSv1.2
# Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2
# Ensure that you include SSLv3
conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1

# Specify the ciphers that need to be supported by the Message Processor:
conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  3. احفظ التغييرات.
  4. تأكَّد من أنّ ملف السمات يملكه مستخدم "apigee": 
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  5. أعِد تشغيل معالج الرسائل: 
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
  6. إذا كنت تستخدم بروتوكول أمان طبقة النقل (TLS) في الخلفية، اضبط بروتوكول أمان طبقة النقل (TLS) في المضيف الظاهري كما هو موضح في ضبط بروتوكول أمان طبقة النقل (TLS) من Edge إلى الخلفية (السحابة الإلكترونية والسحابة الإلكترونية الخاصة).