TLS-Protokoll für Router und Nachrichtenprozessor festlegen

Edge for Private Cloud v4.19.01

Standardmäßig unterstützen Router und Message Processor die TLS-Versionen 1.0, 1.1 und 1.2. Sie können jedoch die vom Router und Message Processor unterstützten Protokolle einschränken. Dieses Dokument wird beschrieben, wie Sie das Protokoll global auf dem Router und dem Message Processor festlegen.

Beim Router können Sie das Protokoll auch für einzelne virtuelle Hosts festlegen. Siehe TLS-Zugriff auf eine API konfigurieren für die Private Cloud.

Für den Message Processor können Sie das Protokoll für einen einzelnen TargetEndpoint festlegen. Siehe TLS konfigurieren vom Edge zum Back-End (Cloud und Private Cloud).

TLS-Protokoll auf dem Router festlegen

Legen Sie Attribute in der router.properties fest, um das TLS-Protokoll auf dem Router festzulegen. Datei:

  1. Datei router.properties öffnen in einen Redakteur. Wenn die Datei nicht vorhanden ist, erstellen Sie sie:
    vi /opt/apigee/customer/application/router.properties
  2. Legen Sie die Eigenschaften wie gewünscht fest:
    # Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2
    conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
  3. Speichern Sie die Änderungen.
  4. Achten Sie darauf, dass die Eigenschaftendatei dem „Apigee“ gehört Nutzer:
     chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. Starten Sie den Router neu:
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
  6. Überprüfen Sie die Nginx-Datei, um sicherzustellen, dass das Protokoll korrekt aktualisiert wurde. /opt/nginx/conf.d/0-default.conf:
    cat /opt/nginx/conf.d/0-default.conf

    Achten Sie darauf, dass der Wert für ssl_protocols TLSv1.2 lautet.

  7. Wenn Sie Zwei-Wege-TLS mit einem virtuellen Host verwenden, müssen Sie auch das TLS-Protokoll in der wie unter TLS-Zugriff auf einen virtuellen Host konfigurieren API für die Private Cloud

TLS-Protokoll für die Nachricht festlegen Prozessor

Um das TLS-Protokoll für den Message Processor festzulegen, legen Sie Attribute in der message-processor.properties-Datei:

  1. Öffnen Sie die Datei message-processor.properties in einem Editor. Wenn die Datei nicht vorhanden ist, erstellen Sie sie:
    vi /opt/apigee/customer/application/message-processor.properties
  2. Legen Sie die Eigenschaften wie gewünscht fest:
    # Possible values are a comma-delimited list of TLSv1, TLSv1.1, TLSv1.2
    conf/system.properties+https.protocols=TLSv1.2
    # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2
    # Ensure that you include SSLv3
    conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1
    
    # Specify the ciphers that need to be supported by the Message Processor:
    conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  3. Speichern Sie die Änderungen.
  4. Achten Sie darauf, dass die Eigenschaftendatei dem „Apigee“ gehört Nutzer:
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  5. Starten Sie den Message Processor neu:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
  6. Wenn Sie mit dem Back-End bidirektionales TLS verwenden, legen Sie das TLS-Protokoll im virtuellen Host als wie unter TLS konfigurieren vom Edge zum Back-End (Cloud und Private Cloud).