การตั้งค่าโปรโตคอล TLS สําหรับเราเตอร์และผู้ประมวลผลข้อความ

Edge for Private Cloud v4.19.01

โดยค่าเริ่มต้น เราเตอร์และตัวประมวลผลข้อความจะสนับสนุน TLS เวอร์ชัน 1.0, 1.1, 1.2 อย่างไรก็ตาม อาจต้องการจำกัดโปรโตคอลที่เราเตอร์และตัวประมวลผลข้อความสนับสนุน เอกสารนี้ อธิบายวิธีตั้งค่าโปรโตคอลทั่วโลกบนเราเตอร์และตัวประมวลผลข้อความ

สำหรับเราเตอร์ คุณยังสามารถตั้งค่าโปรโตคอลสำหรับโฮสต์เสมือนแต่ละรายการได้ด้วย โปรดดูการกำหนดค่าการเข้าถึง TLS สำหรับ API Private Cloud เพิ่มเติม

สำหรับโปรแกรมประมวลผลข้อความ คุณจะตั้งค่าโปรโตคอลสำหรับ TargetEndpoint แต่ละรายการได้ โปรดดูการกำหนดค่า TLS จาก Edge ไปยังแบ็กเอนด์ (Cloud และ Private Cloud) เพื่อให้ข้อมูลเพิ่มเติม

ตั้งค่าโปรโตคอล TLS บนเราเตอร์

หากต้องการตั้งค่าโปรโตคอล TLS บนเราเตอร์ ให้ตั้งค่าพร็อพเพอร์ตี้ใน router.properties ไฟล์:

  1. เปิดไฟล์ router.properties ใน เอดิเตอร์ หากไม่มีไฟล์ ให้สร้างตามขั้นตอนต่อไปนี้
    vi /opt/apigee/customer/application/router.properties
  2. ตั้งค่าพร็อพเพอร์ตี้ตามต้องการดังนี้
    # Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2
    conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
  3. บันทึกการเปลี่ยนแปลง
  4. ตรวจสอบว่าไฟล์พร็อพเพอร์ตี้เป็นของ "apigee" ผู้ใช้:
     chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. รีสตาร์ทเราเตอร์ดังนี้
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
  6. ตรวจสอบว่าโปรโตคอลมีการอัปเดตอย่างถูกต้องโดยตรวจสอบไฟล์ Nginx /opt/nginx/conf.d/0-default.conf:
    cat /opt/nginx/conf.d/0-default.conf

    ตรวจสอบว่าค่าของ ssl_protocols เป็น TLSv1.2

  7. หากคุณกำลังใช้ TLS แบบ 2 ทางกับโฮสต์เสมือน คุณต้องตั้งค่าโปรโตคอล TLS ใน โฮสต์เสมือนตามที่อธิบายไว้ในการกำหนดค่าการเข้าถึง TLS สำหรับ API สำหรับ Private Cloud

ตั้งค่าโปรโตคอล TLS ในข้อความ ผู้ประมวลผลข้อมูล

หากต้องการตั้งค่าโปรโตคอล TLS ใน Message Processor ให้ตั้งค่าคุณสมบัติใน message-processor.properties ไฟล์:

  1. เปิดไฟล์ message-processor.properties ใน Editor หากไม่มีไฟล์ ให้สร้างตามขั้นตอนต่อไปนี้
    vi /opt/apigee/customer/application/message-processor.properties
  2. ตั้งค่าพร็อพเพอร์ตี้ตามต้องการดังนี้
    # Possible values are a comma-delimited list of TLSv1, TLSv1.1, TLSv1.2
    conf/system.properties+https.protocols=TLSv1.2
    # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2
    # Ensure that you include SSLv3
    conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1
    
    # Specify the ciphers that need to be supported by the Message Processor:
    conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
  3. บันทึกการเปลี่ยนแปลง
  4. ตรวจสอบว่าไฟล์พร็อพเพอร์ตี้เป็นของ "apigee" ผู้ใช้:
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  5. รีสตาร์ทโปรแกรมประมวลผลข้อความ
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
  6. ถ้าคุณใช้ TLS แบบ 2 ทางกับแบ็กเอนด์ ให้ตั้งค่าโปรโตคอล TLS ในโฮสต์เสมือนเป็น ตามที่อธิบายไว้ในการกำหนดค่า TLS จาก Edge ไปยังแบ็กเอนด์ (ระบบคลาวด์และ Private Cloud)