Yönlendirici ile İleti İşleyici arasında TLS'yi yapılandırma

Edge for Private Cloud 4.19.01 sürümü

Varsayılan olarak, Yönlendirici ve İleti İşlemci arasındaki TLS devre dışıdır.

Yönlendirici ve İleti arasında TLS şifrelemesini etkinleştirmek için aşağıdaki prosedürü kullanın İşlemci:

  1. Mesaj İşleyici üzerindeki 8082 numaralı bağlantı noktasının Yönlendirici tarafından erişilebilir durumda olduğundan emin olun.
  2. TLS sertifikanızı ve özel anahtarınızı içeren anahtar deposu JKS dosyasını oluşturun. Daha fazlası için Uç Açık için TLS/SSL'yi Yapılandırma başlıklı makaleyi inceleyin Tesis.
  3. Anahtar deposu JKS dosyasını, İleti İşlemci sunucusundaki bir dizine kopyalayın. Örneğin, /opt/apigee/customer/application olarak.
  4. JKS dosyasının izinlerini ve sahipliğini değiştirin:
    chown apigee:apigee /opt/apigee/customer/application/keystore.jks
    chmod 600 /opt/apigee/customer/application/keystore.jks
    .

    Burada keystore.jks, anahtar deposu dosyanızın adıdır.

  5. /opt/apigee/customer/application/message-processor.properties dosyasını düzenleyin. Dosya yoksa, oluşturun.
  6. message-processor.properties dosyasında aşağıdaki özellikleri ayarlayın:
    conf_message-processor-communication_local.http.ssl=true
    conf/message-processor-communication.properties+local.http.port=8443
    conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
    conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keystore.jks
    conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
    # Enter the obfuscated keystore password below.
    conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword

    Burada keystore.jks anahtar deposu dosyanız, obsPword ise anahtar deposu dosyanızdır. kodu karartılmış anahtar deposu ve keyalias şifresi. Görüntüleyin karartılmış şifre oluşturma hakkında bilgi edinin.

  7. message-processor.properties dosyasının sahibi olarak 'Apigee' olduğundan emin olun kullanıcı:
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  8. İleti işlemcilerini ve yönlendiricileri durdurun:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
    /opt/apigee/apigee-service/bin/apigee-service edge-router stop
    .
  9. Yönlendiricide /opt/nginx/conf.d alanındaki tüm dosyaları silin:
    rm -f /opt/nginx/conf.d/*
  10. Mesaj işlemcilerini ve yönlendiricileri başlatın:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
    /opt/apigee/apigee-service/bin/apigee-service edge-router start
    .
  11. Diğer Mesaj İşleyenler için de aynı adımları uygulayın.

Yönlendirici ve İleti İşleyici arasında TLS etkinleştirildikten sonra İleti İşleyen günlük dosyası şu INFO mesajını içerir:

MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks

Bu INFO ifadesi, TLS'nin Yönlendirici ve İleti İşlemci arasında çalıştığını onaylar.

Aşağıdaki tabloda, Message-processor.properties'deki tüm kullanılabilir özellikler listelenmektedir:

Özellikler Açıklama
conf_message-processor-communication_local.
  http.host=localhost_or_IP_address
İsteğe bağlı. Yönlendirici bağlantılarını dinlemede kullanılacak ana makine adı. Bu işlem, ana makineyi geçersiz kılar kayıt sırasında yapılandırılan ad.
conf/message-processor-communication.
  properties+local.http.port=8998
İsteğe bağlı. Yönlendirici bağlantılarını dinlemede kullanılacak bağlantı noktası. Varsayılan değer 8998'dir.
conf_message-processor-communication_local.
  http.ssl=[ false | true ]
TLS/SSL'yi etkinleştirmek için bunu doğru olarak ayarlayın. Varsayılan değer, false'tur. TLS/SSL etkinleştirildiğinde, local.http.ssl.keystore.path ve local.http.ssl.keyalias ayarlanmalıdır.
conf/message-processor-communication.
  properties+local.http.ssl.keystore.path=
Anahtar deposunun yerel dosya sistemi yolu (JKS veya PKCS12). Şu durumda zorunlu local.http.ssl=true
conf/message-processor-communication.
  properties+local.http.ssl.keyalias=
TLS/SSL bağlantıları için kullanılacak anahtar deposundaki anahtar takma adı. Şu durumda zorunlu local.http.ssl=true
conf/message-processor-communication.
  properties+local.http.ssl.keyalias.password=
Anahtar deposunda anahtarı şifrelemek için kullanılan şifre. Karartılmış bir şifre kullanın şu biçimdedir: OBF:xxxxxxxxxx
conf/message-processor-communication.
  properties+local.http.ssl.keystore.type=jks
Anahtar deposu türü. Şu anda yalnızca JKS ve PKCS12 desteklenmektedir. Varsayılan JKS'dir.
conf/message-processor-communication.
  properties+local.http.ssl.keystore.password=
İsteğe bağlı. Anahtar deposu için gizlenmiş şifre. Bu biçim: OBF:xxxxxxxxxx
conf_message-processor-communication_local.
  http.ssl.ciphers=cipher1,cipher2
İsteğe bağlı. Yapılandırıldığında yalnızca listelenen şifrelere izin verilir. Atlanırsa tümünü kullan JDK tarafından desteklenen şifreler.