Edge cho đám mây riêng tư phiên bản 4.18.05
Theo mặc định, Bộ định tuyến và Bộ xử lý thư hỗ trợ TLS phiên bản 1.0, 1.1, 1.2. Tuy nhiên, bạn nên giới hạn các giao thức mà Bộ định tuyến và Bộ xử lý thông báo hỗ trợ. Tài liệu này mô tả cách thiết lập giao thức chung trên Bộ định tuyến và Trình xử lý thông báo.
Đối với Bộ định tuyến, bạn cũng có thể thiết lập giao thức cho từng máy chủ ảo riêng lẻ. Hãy xem bài viết Định cấu hình quyền truy cập TLS vào API cho Đám mây riêng tư để biết thêm thông tin.
Đối với Bộ xử lý thông báo, bạn có thể thiết lập giao thức cho một TargetEndpoint riêng lẻ. Hãy xem bài viết Định cấu hình TLS từ Edge đến phần phụ trợ (Đám mây và Đám mây riêng) để biết thêm thông tin.
Thiết lập giao thức TLS trên Bộ định tuyến
Để thiết lập giao thức TLS trên Bộ định tuyến, hãy đặt các thuộc tính trong tệp router.properties
:
- Mở tệp
router.properties
trong một trình chỉnh sửa. Nếu tệp không tồn tại, hãy tạo tệp:vi /opt/apigee/customer/application/router.properties
- Thiết lập các cơ sở lưu trú theo ý muốn:
# Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2 conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
- Lưu các thay đổi.
- Đảm bảo tệp thuộc tính thuộc sở hữu của người dùng "apigee":
chown apigee:apigee /opt/apigee/customer/application/router.properties
- Khởi động lại bộ định tuyến:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- Xác minh rằng giao thức đã được cập nhật chính xác bằng cách kiểm tra tệp Nginx
/opt/nginx/conf.d/0-default.conf
:cat /opt/nginx/conf.d/0-default.conf
Đảm bảo rằng giá trị của
ssl_protocols
là TLS phiên bản 1.2. - Nếu đang dùng TLS hai chiều với một máy chủ ảo, thì bạn cũng phải thiết lập giao thức TLS trong máy chủ ảo như mô tả trong bài viết Định cấu hình quyền truy cập TLS vào một API cho Đám mây riêng tư.
Thiết lập giao thức TLS trên Trình xử lý thư
Để thiết lập giao thức TLS trên Trình xử lý thông báo, hãy đặt các thuộc tính trong tệp message-processor.properties
:
- Mở tệp
message-processor.properties
trong một trình chỉnh sửa. Nếu tệp không tồn tại, hãy tạo tệp:vi /opt/apigee/customer/application/message-processor.properties
- Thiết lập các cơ sở lưu trú theo ý muốn:
# Possible values are a comma-delimited list of TLSv1, TLSv1.1, TLSv1.2 conf/system.properties+https.protocols=TLSv1.2 # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2 # Ensure that you include SSLv3 conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1 # Specify the ciphers that need to be supported by the Message Processor: conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- Lưu các thay đổi.
- Đảm bảo tệp thuộc tính thuộc sở hữu của người dùng "apigee":
chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
- Khởi động lại bộ xử lý thư:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- Nếu bạn đang dùng TLS hai chiều với phần phụ trợ, hãy thiết lập giao thức TLS trong máy chủ ảo như mô tả trong bài viết Định cấu hình TLS từ Edge đến phần phụ trợ (Đám mây và Đám mây riêng tư).