Edge per Private Cloud v4.19.01
Per impostazione predefinita, il router e il processore di messaggi supportano le versioni TLS 1.0, 1.1 e 1.2. Tuttavia, potresti voler limitare i protocolli supportati dal router e dal processore di messaggi. Questo documento descrive come impostare il protocollo a livello globale sul router e sul processore di messaggi.
Per il router, puoi anche impostare il protocollo per singoli host virtuali. Per saperne di più, consulta Configurazione dell'accesso TLS a un'API per il cloud privato.
Per il processore di messaggi, puoi impostare il protocollo per un singolo TargetEndpoint. Per saperne di più, consulta Configurazione di TLS da Edge al backend (cloud e cloud privato).
Imposta il protocollo TLS sul router
Per impostare il protocollo TLS sul router, imposta le proprietà nel file router.properties:
- Apri il file
router.propertiesin un editor. Se il file non esiste, crealo:vi /opt/apigee/customer/application/router.properties
- Imposta le proprietà come preferisci:
# Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2 conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
- Salva le modifiche.
- Assicurati che il file delle proprietà sia di proprietà dell'utente "apigee":
chown apigee:apigee /opt/apigee/customer/application/router.properties
- Riavvia il router:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- Verifica che il protocollo sia aggiornato correttamente esaminando il file Nginx
/opt/nginx/conf.d/0-default.conf:cat /opt/nginx/conf.d/0-default.conf
Assicurati che il valore per
ssl_protocolssia TLSv1.2. - Se utilizzi TLS a due vie con un host virtuale, devi anche impostare il protocollo TLS nell'host virtuale, come descritto in Configurazione dell'accesso TLS per un'API per il cloud privato.
Imposta il protocollo TLS sul processore di messaggi
Per impostare il protocollo TLS sul processore di messaggi, imposta le proprietà nel
file message-processor.properties:
- Apri il file
message-processor.propertiesin un editor. Se il file non esiste, crealo:vi /opt/apigee/customer/application/message-processor.properties
- Imposta le proprietà come preferisci:
# Possible values are a comma-delimited list of TLSv1, TLSv1.1, TLSv1.2 conf/system.properties+https.protocols=TLSv1.2 # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2 # Ensure that you include SSLv3 conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1 # Specify the ciphers that need to be supported by the Message Processor: conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
- Salva le modifiche.
- Assicurati che il file delle proprietà sia di proprietà dell'utente "apigee":
chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
- Riavvia il processore di messaggi:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- Se utilizzi TLS a due vie con il backend, imposta il protocollo TLS nell'host virtuale come descritto in Configurare TLS da Edge al backend (cloud e cloud privato).