Configura el protocolo TLS para el router y el procesador de mensajes

Edge for Private Cloud v4.18.05

De forma predeterminada, el router y el procesador de mensajes son compatibles con las versiones 1.0, 1.1 y 1.2 de TLS, pero tú puede limitar los protocolos que admiten el router y el procesador de mensajes. Este documento describe cómo configurar el protocolo de manera global en el router y el procesador de mensajes.

Para el router, también puedes configurar el protocolo para hosts virtuales individuales. Consulta Configura el acceso TLS a una API para la nube privada y obtén más información.

Para el Message Processor, puedes configurar el protocolo para un TargetEndpoint individual. Consulta Configura TLS desde el perímetro hasta el backend (en la nube y en la nube privada).

Configura el protocolo TLS en el router

Para configurar el protocolo TLS en el router, configura las propiedades en router.properties archivo:

  1. Abre el archivo router.properties en un editor. Si el archivo no existe, créalo:
    vi /opt/apigee/customer/application/router.properties
  2. Configura las propiedades como desees:
    # Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2
    conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
  3. Guarda los cambios.
  4. Asegúrate de que el archivo de propiedades sea propiedad de “apigee” usuario:
     chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. Reinicia el router:
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
  6. Examina el archivo Nginx para verificar que el protocolo esté actualizado correctamente. /opt/nginx/conf.d/0-default.conf:
    cat /opt/nginx/conf.d/0-default.conf

    Asegúrate de que el valor de ssl_protocols sea TLSv1.2.

  7. Si usas TLS bidireccional con un host virtual, también debes configurar el protocolo TLS en la host virtual, como se describe en Configurar el acceso TLS a un API para la nube privada.

Configurar el protocolo TLS en la pestaña Mensaje Procesador

Para configurar el protocolo TLS en Message Processor, establece propiedades en la Archivo message-processor.properties:

  1. Abre el archivo message-processor.properties en una Editor. Si el archivo no existe, créalo:
    vi /opt/apigee/customer/application/message-processor.properties
  2. Configura las propiedades como desees:
    # Possible values are a comma-delimited list of TLSv1, TLSv1.1, TLSv1.2
    conf/system.properties+https.protocols=TLSv1.2
    # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2
    # Ensure that you include SSLv3
    conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1
    
    # Specify the ciphers that need to be supported by the Message Processor:
    conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  3. Guarda los cambios.
  4. Asegúrate de que el archivo de propiedades sea propiedad de “apigee” usuario:
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  5. Reinicia el procesador de mensajes:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
  6. Si usas TLS bidireccional con el backend, establece el protocolo TLS en el host virtual como que se describe en Cómo configurar TLS desde el perímetro hasta el backend (nube y nube privada).