Edge for Private Cloud v4.19.01
Standardmäßig unterstützen Router und Message Processor die TLS-Versionen 1.0, 1.1 und 1.2. Sie können jedoch die vom Router und Message Processor unterstützten Protokolle einschränken. Dieses Dokument wird beschrieben, wie Sie das Protokoll global auf dem Router und dem Message Processor festlegen.
Beim Router können Sie das Protokoll auch für einzelne virtuelle Hosts festlegen. Siehe TLS-Zugriff auf eine API konfigurieren für die Private Cloud.
Für den Message Processor können Sie das Protokoll für einen einzelnen TargetEndpoint festlegen. Siehe TLS konfigurieren vom Edge zum Back-End (Cloud und Private Cloud).
TLS-Protokoll auf dem Router festlegen
Legen Sie Attribute in der router.properties
fest, um das TLS-Protokoll auf dem Router festzulegen.
Datei:
- Datei
router.properties
öffnen in einen Redakteur. Wenn die Datei nicht vorhanden ist, erstellen Sie sie:vi /opt/apigee/customer/application/router.properties
- Legen Sie die Eigenschaften wie gewünscht fest:
# Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2 conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
- Speichern Sie die Änderungen.
- Achten Sie darauf, dass die Eigenschaftendatei dem „Apigee“ gehört Nutzer:
chown apigee:apigee /opt/apigee/customer/application/router.properties
- Starten Sie den Router neu:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- Überprüfen Sie die Nginx-Datei, um sicherzustellen, dass das Protokoll korrekt aktualisiert wurde.
/opt/nginx/conf.d/0-default.conf
:cat /opt/nginx/conf.d/0-default.conf
Achten Sie darauf, dass der Wert für
ssl_protocols
TLSv1.2 lautet. - Wenn Sie Zwei-Wege-TLS mit einem virtuellen Host verwenden, müssen Sie auch das TLS-Protokoll in der wie unter TLS-Zugriff auf einen virtuellen Host konfigurieren API für die Private Cloud
TLS-Protokoll für die Nachricht festlegen Prozessor
Um das TLS-Protokoll für den Message Processor festzulegen, legen Sie Attribute in der
message-processor.properties
-Datei:
- Öffnen Sie die Datei
message-processor.properties
in einem Editor. Wenn die Datei nicht vorhanden ist, erstellen Sie sie:vi /opt/apigee/customer/application/message-processor.properties
- Legen Sie die Eigenschaften wie gewünscht fest:
# Possible values are a comma-delimited list of TLSv1, TLSv1.1, TLSv1.2 conf/system.properties+https.protocols=TLSv1.2 # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2 # Ensure that you include SSLv3 conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1 # Specify the ciphers that need to be supported by the Message Processor: conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- Speichern Sie die Änderungen.
- Achten Sie darauf, dass die Eigenschaftendatei dem „Apigee“ gehört Nutzer:
chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
- Starten Sie den Message Processor neu:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- Wenn Sie mit dem Back-End bidirektionales TLS verwenden, legen Sie das TLS-Protokoll im virtuellen Host als wie unter TLS konfigurieren vom Edge zum Back-End (Cloud und Private Cloud).