De forma predeterminada, la TLS entre el router y el procesador de mensajes está inhabilitada.
Para habilitar la encriptación TLS entre un router y un Message Processor, haz lo siguiente:
- Asegúrate de que el router pueda acceder al puerto 8082 del procesador de mensajes.
- Genera el archivo JKS de almacén de claves que contiene tu certificación TLS y tu clave privada. Para obtener más información, consulta Configura TLS/SSL para Edge On Instalaciones.
- Copia el archivo JKS del almacén de claves a un directorio en el servidor Message Processor, como
como
/opt/apigee/customer/application
. - Cambia los permisos y la propiedad del archivo JKS:
chown apigee:apigee /opt/apigee/customer/application/keystore.jks
chmod 600 /opt/apigee/customer/application/keystore.jks
En el ejemplo anterior,
keystore.jks
es el nombre del archivo del almacén de claves. - Edita el archivo
/opt/apigee/customer/application/message-processor.properties
. Si el archivo no existe, créalo. - Configura las siguientes propiedades en el archivo
message-processor.properties
:conf_message-processor-communication_local.http.ssl=true conf/message-processor-communication.properties+local.http.port=8443 conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keystore.jks conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest # Enter the obfuscated keystore password below. conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword
En el ejemplo anterior,
keystore.jks
es el archivo del almacén de claves, y obsPword es el archivo del almacén de claves. un almacén de claves ofuscado y una contraseña de alias de claves. Consulta Configuración de TLS/SSL para Edge On Local para información para generar contraseñas ofuscadas. - Asegúrate de que el archivo
message-processor.properties
sea propiedad de “apigee” usuario:chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
- Detén los Enrutadores y Procesadores de Mensajes:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
/opt/apigee/apigee-service/bin/apigee-service edge-router stop
- En el router, borra cualquier archivo del directorio
/opt/nginx/conf.d
:rm -f /opt/nginx/conf.d/*
- Inicia Message Processors and Routers:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
/opt/apigee/apigee-service/bin/apigee-service edge-router start
- Repite este proceso con cada uno de los procesadores de mensajes.
Después de habilitar TLS entre el router y el procesador de mensajes, el archivo de registro del procesador de mensajes
contiene este mensaje INFO
:
MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks
Con esta sentencia INFO
, se confirma que TLS funciona entre el router y el mensaje
Procesador.
La siguiente tabla incluye todas las propiedades disponibles de
message-processor.properties
:
Propiedades | Descripción |
---|---|
conf_message-processor-communication_local. http.host=localhost_or_IP_address |
Opcional. Nombre de host en el que se escucharán las conexiones del router. Esto anula el host configurado en el registro. |
conf/message-processor-communication. properties+local.http.port=8998 |
Opcional. Puerto en el que se escucharán las conexiones del router. El valor predeterminado es 8,998. |
conf_message-processor-communication_local. http.ssl=[ false | true ] |
Configúralo como true para habilitar TLS/SSL. La ruta predeterminada es false . Cuándo
TLS/SSL está habilitado, debes configurar local.http.ssl.keystore.path y
local.http.ssl.keyalias
|
conf/message-processor-communication. properties+local.http.ssl.keystore.path= |
Ruta de acceso del sistema de archivos local al almacén de claves (JKS o PKCS12). Obligatorio cuando
local.http.ssl=true |
conf/message-processor-communication. properties+local.http.ssl.keyalias= |
El alias de clave del almacén de claves que se usará para las conexiones TLS/SSL. Obligatorio cuando
local.http.ssl=true |
conf/message-processor-communication. properties+local.http.ssl.keyalias.password= |
Contraseña usada para encriptar la clave dentro del almacén de claves. Usa una contraseña ofuscada
en el siguiente formato:
OBF:obsPword |
conf/message-processor-communication. properties+local.http.ssl.keystore.type=jks |
Tipo de almacén de claves. Por el momento, solo se admiten JKS y PKCS12. El valor predeterminado es JKS. |
conf/message-processor-communication. properties+local.http.ssl.keystore.password= |
Opcional. Contraseña ofuscada para el almacén de claves. Usa una contraseña ofuscada en la
con el siguiente formato:
OBF:obsPword |
conf_message-processor-communication_local. http.ssl.ciphers=cipher1,cipher2 |
Opcional. Cuando se configura, solo se permiten los algoritmos de cifrado enumerados. Si se omiten, se deben usar todas. los cifrados compatibles con el JDK. |