Configuration de TLS entre un routeur et un processeur de messages

Edge pour le cloud privé v4.19.01

Par défaut, le protocole TLS entre le routeur et le processeur de messages est désactivé.

Pour activer le chiffrement TLS entre un routeur et le processeur de messages, procédez comme suit:

  1. Assurez-vous que le routeur peut accéder au port 8082 du processeur de messages.
  2. Générez le fichier JKS contenant votre certification TLS et votre clé privée. Pour en savoir plus, consultez la section Configurer TLS/SSL pour les périphériques sur site.
  3. Copiez le fichier JKS du keystore dans un répertoire du serveur de traitement des messages, par exemple /opt/apigee/customer/application.
  4. Modifier les autorisations et la propriété du fichier JKS :
    chown apigee:apigee /opt/apigee/customer/application/keystore.jks
    chmod 600 /opt/apigee/customer/application/keystore.jks

    keystore.jks est le nom de votre fichier keystore.

  5. Modifiez le fichier /opt/apigee/customer/application/message-processor.properties. Si le fichier n'existe pas, créez-le.
  6. Définissez les propriétés suivantes dans le fichier message-processor.properties :
    conf_message-processor-communication_local.http.ssl=true
    conf/message-processor-communication.properties+local.http.port=8443
    conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
    conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keystore.jks
    conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
    # Enter the obfuscated keystore password below.
    conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword

    keystore.jks est votre fichier keystore et obsPword est votre keystore et votre mot de passe alias obscurcis. Pour en savoir plus sur la génération d'un mot de passe obscurci, consultez la page Configurer TLS/SSL pour les périphériques sur site.

  7. Assurez-vous que le fichier message-processor.properties appartient à l'utilisateur "apigee" :
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  8. Arrêtez les processeurs et les routeurs de message :
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
    /opt/apigee/apigee-service/bin/apigee-service edge-router stop
  9. Sur le routeur, supprimez tous les fichiers de /opt/nginx/conf.d :
    rm -f /opt/nginx/conf.d/*
  10. Démarrez les processeurs et les routeurs de message :
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
    /opt/apigee/apigee-service/bin/apigee-service edge-router start
  11. Répétez l'opération pour tout processeur de message supplémentaire.

Une fois que TLS est activé entre le routeur et le processeur de messages, le fichier journal du processeur de messages contient le message INFO suivant:

MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks

Cette instruction INFO confirme que TLS fonctionne entre le routeur et le processeur de messages.

Le tableau suivant répertorie toutes les propriétés disponibles dans message-processor.properties:

Propriétés Description
conf_message-processor-communication_local.
  http.host=localhost_or_IP_address
Facultatif. Nom d'hôte sur lequel écouter les connexions de routeur. Le nom d'hôte configuré lors de l'enregistrement sera remplacé.
conf/message-processor-communication.
  properties+local.http.port=8998
Facultatif. Port d'écoute des connexions du routeur. La valeur par défaut est 8998.
conf_message-processor-communication_local.
  http.ssl=[ false | true ]
Définissez cette option sur "true" pour activer le protocole TLS/SSL. La valeur par défaut est "false". Lorsque TLS/SSL est activé, vous devez définir local.http.ssl.keystore.path et local.http.ssl.keyalias.
conf/message-processor-communication.
  properties+local.http.ssl.keystore.path=
Chemin d'accès local au système de fichiers (JKS ou PKCS12) Obligatoire lorsque local.http.ssl=true.
conf/message-processor-communication.
  properties+local.http.ssl.keyalias=
Alias de clé du keystore à utiliser pour les connexions TLS/SSL. Obligatoire lorsque local.http.ssl=true.
conf/message-processor-communication.
  properties+local.http.ssl.keyalias.password=
Mot de passe utilisé pour chiffrer la clé dans le keystore. Utilisez un mot de passe obscurci au format suivant: OBF:xxxxxxxxxx.
conf/message-processor-communication.
  properties+local.http.ssl.keystore.type=jks
Type de keystore. Seuls JKS et PKCS12 sont actuellement compatibles. La valeur par défaut est JKS.
conf/message-processor-communication.
  properties+local.http.ssl.keystore.password=
Facultatif. Mot de passe obscur pour le keystore. Utilisez un mot de passe obscurci au format suivant: OBF:xxxxxxxxxx.
conf_message-processor-communication_local.
  http.ssl.ciphers=cipher1,cipher2
Facultatif. Une fois configurés, seuls les algorithmes de chiffrement répertoriés sont autorisés. En cas d'omission, utilisez tous les algorithmes de chiffrement compatibles avec le JDK.