Edge for Private Cloud v4.18.05
Standardmäßig unterstützen der Router und der Message Processor die TLS-Versionen 1.0, 1.1, 1.2. Sie können jedoch die vom Router und Message Processor unterstützten Protokolle einschränken. In diesem Dokument wird beschrieben, wie das Protokoll auf dem Router und Message Processor global festgelegt wird.
Für den Router können Sie auch das Protokoll für einzelne virtuelle Hosts festlegen. Weitere Informationen finden Sie unter TLS-Zugriff auf eine API für die Private Cloud konfigurieren.
Für den Message Processor können Sie das Protokoll für einen einzelnen TargetEndpoint festlegen. Weitere Informationen finden Sie unter TLS von Edge zum Back-End (Cloud und Private Cloud) konfigurieren.
TLS-Protokoll auf dem Router festlegen
Legen Sie in der Datei router.properties Attribute fest, um das TLS-Protokoll auf dem Router festzulegen:
- Öffnen Sie die Datei
router.propertiesin einem Editor. Wenn die Datei nicht vorhanden ist, erstellen Sie sie:vi /opt/apigee/customer/application/router.properties
- Legen Sie die Attribute wie gewünscht fest:
# Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2 conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
- Speichern Sie die Änderungen.
- Achten Sie darauf, dass die Attributdatei dem Nutzer „apigee“ gehört:
chown apigee:apigee /opt/apigee/customer/application/router.properties
- Starten Sie den Router neu:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- Prüfen Sie in der Nginx-Datei
/opt/nginx/conf.d/0-default.conf, ob das Protokoll korrekt aktualisiert wurde:cat /opt/nginx/conf.d/0-default.conf
Achten Sie darauf, dass der Wert für
ssl_protocolsTLSv1.2 ist. - Wenn Sie Zwei-Wege-TLS mit einem virtuellen Host verwenden, müssen Sie auch das TLS-Protokoll im virtuellen Host festlegen, wie unter TLS-Zugriff auf eine API für die Private Cloud konfigurieren beschrieben.
Legen Sie das TLS-Protokoll auf dem Message Processor fest
Legen Sie Attribute in der Datei message-processor.properties fest, um das TLS-Protokoll für Message Processor festzulegen:
- Öffnen Sie die Datei
message-processor.propertiesin einem Editor. Wenn die Datei nicht vorhanden ist, erstellen Sie sie:vi /opt/apigee/customer/application/message-processor.properties
- Legen Sie die Attribute wie gewünscht fest:
# Possible values are a comma-delimited list of TLSv1, TLSv1.1, TLSv1.2 conf/system.properties+https.protocols=TLSv1.2 # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2 # Ensure that you include SSLv3 conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1 # Specify the ciphers that need to be supported by the Message Processor: conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- Speichern Sie die Änderungen.
- Achten Sie darauf, dass die Attributdatei dem Nutzer „apigee“ gehört:
chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
- Starten Sie den Message Processor neu:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- Wenn Sie mit dem Back-End Zwei-Wege-TLS verwenden, legen Sie das TLS-Protokoll im virtuellen Host fest, wie unter TLS von Edge zum Back-End (Cloud und Private Cloud) konfigurieren beschrieben.