Edge for Private Cloud w wersji 4.18.05
Domyślnie router i procesor wiadomości obsługują protokół TLS 1.0, 1.1 i 1.2, ale możesz ograniczyć liczbę protokołów obsługiwanych przez router i procesor wiadomości. Ten dokument opisuje, jak globalnie ustawić protokół w routerze i procesorze wiadomości.
W przypadku routera możesz też ustawić protokół dla poszczególnych hostów wirtualnych. Więcej informacji znajdziesz w artykule Konfigurowanie dostępu przy użyciu protokołu TLS do interfejsu API w chmurze Private Cloud.
W przypadku podmiotu przetwarzającego wiadomości możesz ustawić protokół dla pojedynczego punktu końcowego docelowego. Więcej informacji znajdziesz w artykule Konfigurowanie protokołu TLS z brzegu do backendu (chmura i chmura prywatna).
Ustaw protokół TLS w routerze
Aby ustawić protokół TLS w routerze, ustaw właściwości w pliku router.properties
:
- Otwórz plik
router.properties
w edytorze. Jeśli plik nie istnieje, utwórz go:vi /opt/apigee/customer/application/router.properties
- Ustaw odpowiednie właściwości:
# Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2 conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
- Zapisz zmiany.
- Upewnij się, że plik właściwości należy do użytkownika „apigee”:
chown apigee:apigee /opt/apigee/customer/application/router.properties
- Ponownie uruchom router:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- Sprawdź plik Nginx
/opt/nginx/conf.d/0-default.conf
, aby sprawdzić, czy protokół został prawidłowo zaktualizowany:cat /opt/nginx/conf.d/0-default.conf
Sprawdź, czy wartością
ssl_protocols
jest TLSv1.2. - Jeśli z hostem wirtualnym korzystasz z dwukierunkowego protokołu TLS, musisz też ustawić protokół TLS na hoście wirtualnym zgodnie z opisem w sekcji Konfigurowanie dostępu TLS do interfejsu API w chmurze prywatnej.
Ustaw protokół TLS w procesorze wiadomości
Aby ustawić protokół TLS w procesorze wiadomości, ustaw właściwości w pliku message-processor.properties
:
- Otwórz plik
message-processor.properties
w edytorze. Jeśli plik nie istnieje, utwórz go:vi /opt/apigee/customer/application/message-processor.properties
- Ustaw odpowiednie właściwości:
# Possible values are a comma-delimited list of TLSv1, TLSv1.1, TLSv1.2 conf/system.properties+https.protocols=TLSv1.2 # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2 # Ensure that you include SSLv3 conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1 # Specify the ciphers that need to be supported by the Message Processor: conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- Zapisz zmiany.
- Upewnij się, że plik właściwości należy do użytkownika „apigee”:
chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
- Ponownie uruchom procesor wiadomości:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- Jeśli w backendzie używasz dwukierunkowego protokołu TLS, ustaw protokół TLS na hoście wirtualnym w sposób opisany w sekcji Konfigurowanie protokołu TLS z brzegu do backendu (chmura i chmura prywatna).