การตั้งค่าโปรโตคอล TLS สําหรับเราเตอร์และผู้ประมวลผลข้อความ

Edge สำหรับ Private Cloud เวอร์ชัน 4.18.05

โดยค่าเริ่มต้น เราเตอร์และผู้ประมวลผลข้อมูลข้อความรองรับ TLS เวอร์ชัน 1.0, 1.1, 1.2 แต่คุณอาจต้องการจำกัดโปรโตคอลที่เราเตอร์และผู้ประมวลผลข้อมูลข้อความรองรับ เอกสารนี้จะอธิบายวิธีตั้งค่าโปรโตคอลบนเราเตอร์และเครื่องมือประมวลผลข้อความทั่วโลก

สำหรับเราเตอร์ คุณยังสามารถตั้งค่าโปรโตคอลสำหรับโฮสต์เสมือนแต่ละโฮสต์ได้ด้วย โปรดดูการกำหนดค่าการเข้าถึง TLS ไปยัง API สำหรับ Private Cloud สำหรับข้อมูลเพิ่มเติม

สำหรับเครื่องมือประมวลผลข้อความ คุณสามารถตั้งค่าโปรโตคอลสำหรับ TargetEndpoint แต่ละรายการได้ โปรดดูการกำหนดค่า TLS จาก Edge เป็นแบ็กเอนด์ (Cloud และ Private Cloud) สำหรับข้อมูลเพิ่มเติม

ตั้งค่าโปรโตคอล TLS บนเราเตอร์

หากต้องการตั้งค่าโปรโตคอล TLS บนเราเตอร์ ให้ตั้งค่าพร็อพเพอร์ตี้ในไฟล์ router.properties ดังนี้

  1. เปิดไฟล์ router.properties ในตัวแก้ไข หากไม่มีไฟล์ ให้สร้างขึ้นมาโดยทำดังนี้ 
    vi /opt/apigee/customer/application/router.properties
  2. ตั้งค่าพร็อพเพอร์ตี้ตามต้องการ ดังนี้ 
    # Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2
conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
  3. บันทึกการเปลี่ยนแปลง
  4. ตรวจสอบว่าผู้ใช้ "apigee" เป็นเจ้าของไฟล์พร็อพเพอร์ตี้: 
     chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. รีสตาร์ทเราเตอร์โดยทำดังนี้ 
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
  6. ตรวจสอบว่าโปรโตคอลได้รับการอัปเดตอย่างถูกต้องโดยตรวจสอบไฟล์ Nginx /opt/nginx/conf.d/0-default.conf: 
    cat /opt/nginx/conf.d/0-default.conf

    ตรวจสอบว่าค่าของ ssl_protocols คือ TLSv1.2

  7. หากใช้ TLS แบบ 2 ทางกับโฮสต์เสมือน คุณต้องตั้งค่าโปรโตคอล TLS ในโฮสต์เสมือนด้วย ตามที่อธิบายไว้ในการกำหนดค่าการเข้าถึง TLS ไปยัง API สำหรับ Private Cloud

ตั้งค่าโปรโตคอล TLS ในตัวประมวลผลข้อความ

หากต้องการตั้งค่าโปรโตคอล TLS ในตัวประมวลผลข้อความ ให้ตั้งค่าพร็อพเพอร์ตี้ในไฟล์ message-processor.properties ดังนี้

  1. เปิดไฟล์ message-processor.properties ในตัวแก้ไข หากไม่มีไฟล์ ให้สร้างขึ้นมาโดยทำดังนี้ 
    vi /opt/apigee/customer/application/message-processor.properties
  2. ตั้งค่าพร็อพเพอร์ตี้ตามต้องการ ดังนี้ 
    # Possible values are a comma-delimited list of TLSv1, TLSv1.1, TLSv1.2
conf/system.properties+https.protocols=TLSv1.2
# Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2
# Ensure that you include SSLv3
conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1

# Specify the ciphers that need to be supported by the Message Processor:
conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  3. บันทึกการเปลี่ยนแปลง
  4. ตรวจสอบว่าผู้ใช้ "apigee" เป็นเจ้าของไฟล์พร็อพเพอร์ตี้: 
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  5. รีสตาร์ทโปรแกรมประมวลผลข้อความโดยทำดังนี้ 
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
  6. หากใช้ TLS แบบ 2 ทางกับแบ็กเอนด์อยู่ ให้ตั้งค่าโปรโตคอล TLS ในโฮสต์เสมือนตามที่อธิบายไว้ในการกำหนดค่า TLS จาก Edge เป็นแบ็กเอนด์ (Cloud และ Private Cloud)