כברירת מחדל, TLS בין הנתב למעבד ההודעות מושבת.
כדי להפעיל הצפנת TLS בין נתב למעבד הודעות:
- חשוב לוודא שהיציאה 8082 במעבד ההודעות נגישה לנתב.
- יוצרים את קובץ ה-JKS של מאגר המפתחות שמכיל את אישור ה-TLS ואת המפתח הפרטי שלכם. לקבלת מידע נוסף, ראה הגדרת TLS/SSL עבור Edge On שטחים.
- מעתיקים את קובץ ה-JKS של מאגר המפתחות לספרייה בשרת מעבד ההודעות, כמו
בתור
/opt/apigee/customer/application
. - שינוי ההרשאות והבעלות על קובץ ה-JKS:
chown apigee:apigee /opt/apigee/customer/application/keystore.jks
chmod 600 /opt/apigee/customer/application/keystore.jks
כאשר
keystore.jks
הוא השם של קובץ מאגר המפתחות. - עורכים את הקובץ
/opt/apigee/customer/application/message-processor.properties
. אם הקובץ לא קיים, יוצרים אותו. - מגדירים את המאפיינים הבאים בקובץ
message-processor.properties
:conf_message-processor-communication_local.http.ssl=true conf/message-processor-communication.properties+local.http.port=8443 conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keystore.jks conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest # Enter the obfuscated keystore password below. conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword
כאשר
keystore.jks
הוא קובץ מאגר המפתחות, ו-obsPword הוא מאגר מפתחות מעורפל וסיסמה עבור Keyalias. צפייה הגדרת TLS/SSL ל-Edge Ones עבור מידע על יצירת סיסמה מעורפלת. - יש לוודא שהקובץ
message-processor.properties
נמצא בבעלות ה-'apigee' user:chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
- עוצרים את מעבדי ההודעות והנתבים:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
/opt/apigee/apigee-service/bin/apigee-service edge-router stop
- בנתב, מוחקים את כל הקבצים שנמצאים בספרייה
/opt/nginx/conf.d
:rm -f /opt/nginx/conf.d/*
- מפעילים את מעבדי ההודעות והנתבים:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
/opt/apigee/apigee-service/bin/apigee-service edge-router start
- חוזרים על התהליך לכל מעבד הודעות.
לאחר הפעלת TLS בין הנתב ומעבד ההודעות, קובץ היומן של מעבד ההודעות.
מכיל את הודעת INFO
הבאה:
MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks
הצהרת INFO
הזו מאשרת ש-TLS פועל בין הנתב להודעה
מעבד.
בטבלה הבאה מפורטים כל המאפיינים הזמינים ב-
message-processor.properties
:
מאפיינים | תיאור |
---|---|
conf_message-processor-communication_local. http.host=localhost_or_IP_address |
זה שינוי אופציונלי. שם המארח להאזנה לחיבורים של נתב. ההגדרה הזו מבטלת את המארח שהוגדר בזמן הרישום. |
conf/message-processor-communication. properties+local.http.port=8998 |
זה שינוי אופציונלי. יציאה כדי להאזין לחיבורי נתב. ברירת המחדל היא 8998. |
conf_message-processor-communication_local. http.ssl=[ false | true ] |
צריך להגדיר את הערך true כדי להפעיל TLS/SSL. ברירת המחדל היא false . מתי
TLS/SSL מופעל, צריך להגדיר את local.http.ssl.keystore.path וגם
local.http.ssl.keyalias .
|
conf/message-processor-communication. properties+local.http.ssl.keystore.path= |
נתיב של מערכת קבצים מקומית למאגר המפתחות (JKS או PKCS12). חובה אם
local.http.ssl=true |
conf/message-processor-communication. properties+local.http.ssl.keyalias= |
כינוי של מפתח ממאגר המפתחות שישמש לחיבורי TLS או SSL. חובה אם
local.http.ssl=true |
conf/message-processor-communication. properties+local.http.ssl.keyalias.password= |
הסיסמה שמשמשת להצפנת המפתח במאגר המפתחות. שימוש בסיסמה מעורפלת
בפורמט הבא:
OBF:obsPword |
conf/message-processor-communication. properties+local.http.ssl.keystore.type=jks |
סוג מאגר המפתחות. כרגע יש תמיכה רק ב-JKS וב-PKCS12. ברירת המחדל היא JKS. |
conf/message-processor-communication. properties+local.http.ssl.keystore.password= |
זה שינוי אופציונלי. סיסמה מעורפלת למאגר המפתחות. להשתמש בסיסמה מעורפלת בקובץ
בפורמט הבא:
OBF:obsPword |
conf_message-processor-communication_local. http.ssl.ciphers=cipher1,cipher2 |
זה שינוי אופציונלי. לאחר ההגדרה, מותר להשתמש רק בהצפנה שמפורטת. אם לא צוין, משתמשים בכולם הצפנים שנתמכים על ידי ה-JDK. |