TLS zwischen einem Router und einem Nachrichtenprozessor konfigurieren

Standardmäßig ist TLS zwischen dem Router und dem Message Processor deaktiviert.

So aktivieren Sie die TLS-Verschlüsselung zwischen einem Router und einem Message Processor:

  1. Achten Sie darauf, dass Port 8082 auf dem Message Processor für den Router zugänglich ist.
  2. Generieren Sie die JKS-Datei des Schlüsselspeichers, die Ihre TLS-Zertifizierung und Ihren privaten Schlüssel enthält. Weitere Informationen Siehe Konfigurieren von TLS/SSL für Edge On Gebäude.
  3. Kopieren Sie die JKS-Datei des Schlüsselspeichers in ein Verzeichnis auf dem Message Processor-Server, z. B. als /opt/apigee/customer/application.
  4. So ändern Sie die Berechtigungen und Eigentümerschaft der JKS-Datei:
    chown apigee:apigee /opt/apigee/customer/application/keystore.jks
    chmod 600 /opt/apigee/customer/application/keystore.jks

    Dabei ist keystore.jks der Name Ihrer Schlüsselspeicherdatei.

  5. Bearbeiten Sie die Datei /opt/apigee/customer/application/message-processor.properties. Wenn die Datei nicht vorhanden ist, erstellen Sie sie.
  6. Legen Sie in der Datei message-processor.properties die folgenden Attribute fest:
    conf_message-processor-communication_local.http.ssl=true
    conf/message-processor-communication.properties+local.http.port=8443
    conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
    conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keystore.jks
    conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
    # Enter the obfuscated keystore password below.
    conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword

    Dabei ist keystore.jks Ihre Schlüsselspeicherdatei und obsPword Ihre Schlüsselspeicherdatei verschleierten Schlüsselspeicher und Keyalias-Passwort. Weitere Informationen finden Sie unter Konfigurieren von TLS/SSL für Edge On Premises für Informationen zum Generieren eines verschleierten Passworts.

  7. Achten Sie darauf, dass die Datei message-processor.properties dem Apigee gehört Nutzer:
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  8. Beenden Sie die Message Processor und Router:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
    /opt/apigee/apigee-service/bin/apigee-service edge-router stop
  9. Löschen Sie auf dem Router alle Dateien im Verzeichnis /opt/nginx/conf.d:
    rm -f /opt/nginx/conf.d/*
  10. Starten Sie die Message Processors und Router:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
    /opt/apigee/apigee-service/bin/apigee-service edge-router start
  11. Wiederholen Sie diesen Vorgang für jeden Message Processor.

Nachdem TLS zwischen dem Router und dem Message Processor aktiviert wurde, wird die Protokolldatei des Message Processor enthält diese INFO-Nachricht:

MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks

Mit dieser INFO-Anweisung wird bestätigt, dass TLS zwischen dem Router und der Nachricht funktioniert Prozessor.

In der folgenden Tabelle sind alle verfügbaren Eigenschaften in message-processor.properties:

Attribute Beschreibung
conf_message-processor-communication_local.
  http.host=localhost_or_IP_address
Optional. Hostname, der auf Routerverbindungen überwacht werden soll. Dadurch wird der Host überschrieben Name, der bei der Registrierung konfiguriert wurde.
conf/message-processor-communication.
  properties+local.http.port=8998
Optional. Port, der auf Routerverbindungen überwacht werden soll. Der Standardwert ist 8998.
conf_message-processor-communication_local.
  http.ssl=[ false | true ]
Legen Sie true fest, um TLS/SSL zu aktivieren. Der Standardwert ist false. Wann? TLS/SSL ist aktiviert. Sie müssen local.http.ssl.keystore.path und local.http.ssl.keyalias.
conf/message-processor-communication.
  properties+local.http.ssl.keystore.path=
Pfad des lokalen Dateisystems zum Schlüsselspeicher (JKS oder PKCS12). Obligatorisch, wenn local.http.ssl=true
conf/message-processor-communication.
  properties+local.http.ssl.keyalias=
Schlüsselalias aus dem Schlüsselspeicher, der für TLS/SSL-Verbindungen verwendet werden soll. Obligatorisch, wenn local.http.ssl=true
conf/message-processor-communication.
  properties+local.http.ssl.keyalias.password=
Passwort, das zum Verschlüsseln des Schlüssels im Schlüsselspeicher verwendet wird. Verschleiertes Passwort verwenden im folgenden Format:
OBF:obsPword
conf/message-processor-communication.
  properties+local.http.ssl.keystore.type=jks
Schlüsselspeichertyp. Derzeit werden nur JKS und PKCS12 unterstützt. Der Standardwert ist JKS.
conf/message-processor-communication.
  properties+local.http.ssl.keystore.password=
Optional. Verschleiertes Passwort für den Schlüsselspeicher. Verwenden Sie ein verschleiertes Passwort im folgendes Format:
OBF:obsPword
conf_message-processor-communication_local.
  http.ssl.ciphers=cipher1,cipher2
Optional. Bei der Konfiguration sind nur die aufgeführten Chiffren zulässig. Wenn nicht angegeben, alle verwenden Chiffren, die vom JDK unterstützt werden.