Router と Message Processor 間の TLS の構成

Edge for Private Cloud v4.19.01

デフォルトでは、Router と Message Processor 間の TLS は無効になっています。

Router と Message の間で TLS 暗号化を有効にするには、次の手順を行います。 プロセッサ:

  1. Router から Message Processor のポート 8082 にアクセスできることを確認します。
  2. TLS 証明書と秘密鍵を含むキーストア JKS ファイルを生成します。詳しくは Edge On Edge 向けの TLS/SSL の構成 前提
  3. キーストア JKS ファイルを Message Processor サーバーのディレクトリ( /opt/apigee/customer/application として指定します。
  4. JKS ファイルの権限とオーナー権限を変更します。 
    chown apigee:apigee /opt/apigee/customer/application/keystore.jks
chmod 600 /opt/apigee/customer/application/keystore.jks

    ここで、keystore.jks はキーストア ファイルの名前です。

  5. /opt/apigee/customer/application/message-processor.properties ファイルを編集します。 ファイルが存在しない場合は作成します。
  6. message-processor.properties ファイルで次のプロパティを設定します。 
    conf_message-processor-communication_local.http.ssl=true
conf/message-processor-communication.properties+local.http.port=8443
conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keystore.jks
conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
# Enter the obfuscated keystore password below.
conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword

    ここで、keystore.jks はキーストア ファイル、obsPword は実際のキーストア ファイルです。 難読化されたキーストアとキーエイリアスのパスワードを使用します。詳しくは、 オンプレミスの Edge での TLS/SSL の構成 難読化されたパスワードの生成に関する情報が記載されています。

  7. message-processor.properties ファイルの所有者が「apigee」であることを確認します。user: 
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  8. Message Processor と Router を停止します。 
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
/opt/apigee/apigee-service/bin/apigee-service edge-router stop
  9. Router で、/opt/nginx/conf.d 内のファイルをすべて削除します。 
    rm -f /opt/nginx/conf.d/*
  10. Message Processor と Router を起動します。 
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
/opt/apigee/apigee-service/bin/apigee-service edge-router start
  11. Message Processor ごとにこの手順を繰り返します。

Router と Message Processor の間で TLS が有効になると、Message Processor のログ・ファイルが 次の INFO メッセージが含まれています。

MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks

この INFO ステートメントは、Router と Message Processor 間の TLS の動作を確認します。

次の表に、message-processor.properties で使用可能なすべてのプロパティを示します。

プロパティ 説明 
conf_message-processor-communication_local.
  http.host=localhost_or_IP_address
 省略可。ルーター接続をリッスンするホスト名。指定した名前の 名前で識別されます。 
conf/message-processor-communication.
  properties+local.http.port=8998
 省略可。ルーター接続をリッスンするポート。デフォルトは 8998 です。 
conf_message-processor-communication_local.
  http.ssl=[ false | true ]
 TLS/SSL を有効にするには、これを true に設定します。デフォルトは false です。TLS/SSL を有効にすると、 local.http.ssl.keystore.pathlocal.http.ssl.keyalias を設定する必要があります。 
conf/message-processor-communication.
  properties+local.http.ssl.keystore.path=
 キーストア(JKS または PKCS12)へのローカル ファイル システムのパス。必須の場合 local.http.ssl=true 
conf/message-processor-communication.
  properties+local.http.ssl.keyalias=
 TLS/SSL 接続に使用されるキーストアのキーエイリアス。必須の場合 local.http.ssl=true 
conf/message-processor-communication.
  properties+local.http.ssl.keyalias.password=
 キーストア内の鍵の暗号化に使用されるパスワード。難読化されたパスワードを使用する OBF:xxxxxxxxxx の形式にします。 
conf/message-processor-communication.
  properties+local.http.ssl.keystore.type=jks
 キーストアのタイプ。現在サポートされているのは JKS と PKCS12 のみです。デフォルトは JKS です。 
conf/message-processor-communication.
  properties+local.http.ssl.keystore.password=
 省略可。キーストアの難読化されたパスワード。ここでは難読化されたパスワードを使用してください 形式: OBF:xxxxxxxxxx 
conf_message-processor-communication_local.
  http.ssl.ciphers=cipher1,cipher2
 省略可。構成すると、リストにある暗号のみが許可されます。省略した場合は、すべてを使用します おすすめします。