Définir le protocole TLS pour le routeur et le processeur de messages

Edge pour Private Cloud v4.18.05

Par défaut, le routeur et le processeur de messages sont compatibles avec les versions 1.0, 1.1 et 1.2 de TLS. Toutefois, vous pourrait vouloir limiter les protocoles pris en charge par le routeur et le processeur de messages. Ce document décrit comment définir le protocole globalement sur le routeur et le processeur de messages.

Pour le routeur, vous pouvez également définir le protocole pour des hôtes virtuels individuels. Voir Configuration de l'accès TLS à une API sur le Private Cloud.

Pour le processeur de messages, vous pouvez définir le protocole d'un TargetEndpoint individuel. Voir la section Configuration de TLS d'Edge au backend (cloud et cloud privé).

Définir le protocole TLS sur le routeur

Pour définir le protocole TLS sur le routeur, définissez les propriétés dans router.properties :

  1. Ouvrir le fichier router.properties dans un éditeur. Si le fichier n'existe pas, créez-le: 
    vi /opt/apigee/customer/application/router.properties
  2. Définissez les propriétés comme vous le souhaitez: 
    # Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2
conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
  3. Enregistrez les modifications.
  4. Assurez-vous que le fichier de propriétés appartient à "apigee" utilisateur: 
     chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. Redémarrez le routeur: 
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
  6. Vérifiez que le protocole est correctement mis à jour en examinant le fichier Nginx /opt/nginx/conf.d/0-default.conf: 
    cat /opt/nginx/conf.d/0-default.conf

    Assurez-vous que la valeur de ssl_protocols est TLSv1.2.

  7. Si vous utilisez le protocole TLS bidirectionnel avec un hôte virtuel, vous devez également définir le protocole TLS dans le hôte virtuel, comme décrit dans la section Configuration de l'accès TLS à un pour le cloud privé.

Définir le protocole TLS sur le message Processeur

Pour définir le protocole TLS sur le processeur de messages, définissez les propriétés dans la Fichier message-processor.properties:

  1. Ouvrez le fichier message-processor.properties dans un éditeur. Si le fichier n'existe pas, créez-le: 
    vi /opt/apigee/customer/application/message-processor.properties
  2. Définissez les propriétés comme vous le souhaitez: 
    # Possible values are a comma-delimited list of TLSv1, TLSv1.1, TLSv1.2
conf/system.properties+https.protocols=TLSv1.2
# Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2
# Ensure that you include SSLv3
conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1

# Specify the ciphers that need to be supported by the Message Processor:
conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  3. Enregistrez les modifications.
  4. Assurez-vous que le fichier de propriétés appartient à "apigee" utilisateur: 
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  5. Redémarrez le processeur de messages: 
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
  6. Si vous utilisez le protocole TLS bidirectionnel avec le backend, définissez le protocole TLS dans l'hôte virtuel en tant que décrit dans la section Configuration de TLS d'Edge au backend (cloud et cloud privé).