ضبط بروتوكول أمان طبقة النقل بين جهاز توجيه ومعالج رسائل

الإصدار 4.19.01 من Edge for Private Cloud

يتم تلقائيًا إيقاف بروتوكول أمان طبقة النقل (TLS) بين جهاز التوجيه ومعالج الرسائل.

استخدم الإجراء التالي لتمكين تشفير TLS بين جهاز التوجيه والرسالة المعالج:

  1. تأكَّد من إمكانية وصول جهاز التوجيه إلى المنفذ 8082 في معالج الرسائل.
  2. أنشِئ ملف JKS لملف تخزين المفاتيح الذي يحتوي على شهادة بروتوكول أمان طبقة النقل (TLS) ومفتاح خاص. لمزيد من المعلومات، راجع تهيئة TLS/SSL for Edge On المبنى:
  3. انسخ ملف JKS لملف تخزين المفاتيح إلى دليل على خادم معالج الرسائل، مثل باسم /opt/apigee/customer/application.
  4. تغيير الأذونات وملكية ملف JKS:
    chown apigee:apigee /opt/apigee/customer/application/keystore.jks
    chmod 600 /opt/apigee/customer/application/keystore.jks

    يكون keystore.jks هو اسم ملف تخزين المفاتيح.

  5. تعديل الملف /opt/apigee/customer/application/message-processor.properties إذا لم يكن الملف متوفّرًا، أنشئه.
  6. اضبط السمات التالية في ملف message-processor.properties:
    conf_message-processor-communication_local.http.ssl=true
    conf/message-processor-communication.properties+local.http.port=8443
    conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
    conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keystore.jks
    conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
    # Enter the obfuscated keystore password below.
    conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword

    حيث يكون keystore.jks هو ملف تخزين المفاتيح، ويمثل obsPword ملف تخزين المفاتيح ملف تخزين المفاتيح المشفّر وكلمة مرور الاسم المستعار. عرض تهيئة بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة (SSL) لنظام Edge On Premises معلومات حول إنشاء كلمة مرور تتضمن تشويشًا.

  7. تأكَّد من أنّ الملف message-processor.properties يملكه "واجهة برمجة التطبيقات". المستخدم:
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  8. أوقِف معالِجات الرسائل وأجهزة التوجيه:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
    /opt/apigee/apigee-service/bin/apigee-service edge-router stop
  9. على جهاز التوجيه، احذف أي ملفات في /opt/nginx/conf.d:
    rm -f /opt/nginx/conf.d/*
  10. بدء معالِجات الرسائل وأجهزة التوجيه:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
    /opt/apigee/apigee-service/bin/apigee-service edge-router start
  11. كرر هذا مع أي معالجات إضافية للرسائل.

بعد تفعيل بروتوكول أمان طبقة النقل (TLS) بين جهاز التوجيه ومعالج الرسائل، يمكن استخدام ملف سجلّ معالج الرسائل يحتوي على رسالة INFO هذه:

MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks

تؤكد عبارة INFO هذه أن بروتوكول أمان طبقة النقل (TLS) يعمل بين جهاز التوجيه ومعالج الرسائل.

يسرد الجدول التالي جميع السمات المتاحة في message-processor.properties:

أماكن إقامة الوصف
conf_message-processor-communication_local.
  http.host=localhost_or_IP_address
اختياريّ. اسم المضيف المطلوب الاستماع إليه في اتصالات جهاز التوجيه. سيؤدي هذا الإجراء إلى إلغاء المضيف الاسم الذي يتم إعداده عند التسجيل.
conf/message-processor-communication.
  properties+local.http.port=8998
اختياريّ. المنفذ المطلوب الاستماع إليه في ما يتعلق باتصالات جهاز التوجيه. القيمة التلقائية هي 8998.
conf_message-processor-communication_local.
  http.ssl=[ false | true ]
يمكنك ضبط هذا الخيار على "صحيح" لتفعيل بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة (SSL). القيمة التلقائية هي "خطأ". عندما يتم تمكين TLS/SSL، يجب ضبط local.http.ssl.keystore.path وlocal.http.ssl.keyalias.
conf/message-processor-communication.
  properties+local.http.ssl.keystore.path=
مسار نظام الملفات المحلي إلى ملف تخزين المفاتيح (JKS أو PKCS12). تاريخ إلزامي local.http.ssl=true
conf/message-processor-communication.
  properties+local.http.ssl.keyalias=
الاسم المستعار للمفتاح من ملف تخزين المفاتيح لاستخدامه في اتصالات بروتوكول أمان طبقة النقل/طبقة المقابس الآمنة. تاريخ إلزامي local.http.ssl=true
conf/message-processor-communication.
  properties+local.http.ssl.keyalias.password=
كلمة المرور المستخدمة لتشفير المفتاح داخل ملف تخزين المفاتيح. استخدام كلمة مرور تم إخفاء مفاتيح فك تشفيرها بهذا التنسيق: OBF:xxxxxxxxxx
conf/message-processor-communication.
  properties+local.http.ssl.keystore.type=jks
نوع ملف تخزين المفاتيح. لا يتوافق سوى JKS وPKCS12 حاليًا. القيمة التلقائية هي JKS.
conf/message-processor-communication.
  properties+local.http.ssl.keystore.password=
اختياريّ. كلمة مرور مُبهَمة لتخزين المفاتيح. استخدام كلمة مرور مشفَّرة في هذه التنسيق: OBF:xxxxxxxxxx
conf_message-processor-communication_local.
  http.ssl.ciphers=cipher1,cipher2
اختياريّ. عند إعدادها، يُسمح فقط بالرموز المدرَجة. في حال حذفه، استخدم الرموز التي يدعمها بروتوكول JDK.