Đặt giao thức TLS cho Bộ định tuyến và Bộ xử lý thư

Edge for Private Cloud phiên bản 4.18.05

Theo mặc định, Bộ định tuyến và Trình xử lý thư hỗ trợ TLS phiên bản 1.0, 1.1, 1.2. có thể muốn giới hạn các giao thức được Bộ định tuyến và Bộ xử lý thư hỗ trợ. Tài liệu này mô tả cách thiết lập giao thức chung trên Bộ định tuyến và Bộ xử lý thư.

Đối với Bộ định tuyến, bạn cũng có thể thiết lập giao thức cho các máy chủ ảo riêng lẻ. Xem Định cấu hình quyền truy cập TLS vào API cho Private Cloud để biết thêm thông tin.

Đối với Trình xử lý thông báo, bạn có thể thiết lập giao thức cho từng TargetEndpoint riêng lẻ. Xem Định cấu hình TLS từ Edge đến phần phụ trợ (Cloud và Private Cloud) để có thêm nhiều lợi ích.

Đặt giao thức TLS trên Bộ định tuyến

Để thiết lập giao thức TLS trên Bộ định tuyến, hãy đặt các thuộc tính trong router.properties tệp:

  1. Mở tệp router.properties trong một người chỉnh sửa. Nếu tệp không tồn tại, hãy tạo tệp: 
    vi /opt/apigee/customer/application/router.properties
  2. Đặt các thuộc tính như mong muốn: 
    # Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2
conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
  3. Lưu các thay đổi.
  4. Đảm bảo rằng tệp thuộc tính thuộc sở hữu của "apigee" người dùng: 
     chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. Khởi động lại Bộ định tuyến: 
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
  6. Xác minh rằng giao thức đã được cập nhật chính xác bằng cách kiểm tra tệp Nginx /opt/nginx/conf.d/0-default.conf: 
    cat /opt/nginx/conf.d/0-default.conf

    Đảm bảo giá trị của ssl_protocols là TLSv1.2.

  7. Nếu đang sử dụng TLS hai chiều với máy chủ ảo, bạn cũng phải thiết lập giao thức TLS trong máy chủ ảo như được mô tả trong Định cấu hình truy cập TLS vào một API dành cho Đám mây riêng tư.

Thiết lập giao thức TLS trên Thông báo Bộ xử lý

Để thiết lập giao thức TLS trên Trình xử lý thư, hãy đặt các thuộc tính trong Tệp message-processor.properties:

  1. Mở tệp message-processor.properties trong trình chỉnh sửa. Nếu tệp không tồn tại, hãy tạo tệp: 
    vi /opt/apigee/customer/application/message-processor.properties
  2. Đặt các thuộc tính như mong muốn: 
    # Possible values are a comma-delimited list of TLSv1, TLSv1.1, TLSv1.2
conf/system.properties+https.protocols=TLSv1.2
# Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2
# Ensure that you include SSLv3
conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1

# Specify the ciphers that need to be supported by the Message Processor:
conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  3. Lưu các thay đổi.
  4. Đảm bảo rằng tệp thuộc tính thuộc sở hữu của "apigee" người dùng: 
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  5. Khởi động lại Trình xử lý thư: 
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
  6. Nếu bạn đang sử dụng TLS hai chiều với phần phụ trợ, hãy thiết lập giao thức TLS trong máy chủ ảo thành được mô tả trong Định cấu hình TLS từ Edge đến phần phụ trợ (Đám mây và Đám mây riêng tư).