הגדרת TLS בין נתב לבין מעבד הודעות

כברירת מחדל, TLS בין הנתב למעבד ההודעות מושבת.

כדי להפעיל הצפנת TLS בין נתב למעבד הודעות:

  1. חשוב לוודא שהיציאה 8082 במעבד ההודעות נגישה לנתב.
  2. יוצרים את קובץ ה-JKS של מאגר המפתחות שמכיל את אישור ה-TLS ואת המפתח הפרטי שלכם. לקבלת מידע נוסף, ראה הגדרת TLS/SSL עבור Edge On שטחים.
  3. מעתיקים את קובץ ה-JKS של מאגר המפתחות לספרייה בשרת מעבד ההודעות, כמו בתור /opt/apigee/customer/application.
  4. שינוי ההרשאות והבעלות על קובץ ה-JKS:
    chown apigee:apigee /opt/apigee/customer/application/keystore.jks
    chmod 600 /opt/apigee/customer/application/keystore.jks

    כאשר keystore.jks הוא השם של קובץ מאגר המפתחות.

  5. עורכים את הקובץ /opt/apigee/customer/application/message-processor.properties. אם הקובץ לא קיים, יוצרים אותו.
  6. מגדירים את המאפיינים הבאים בקובץ message-processor.properties:
    conf_message-processor-communication_local.http.ssl=true
    conf/message-processor-communication.properties+local.http.port=8443
    conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
    conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keystore.jks
    conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
    # Enter the obfuscated keystore password below.
    conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword

    כאשר keystore.jks הוא קובץ מאגר המפתחות, ו-obsPword הוא מאגר מפתחות מעורפל וסיסמה עבור Keyalias. צפייה הגדרת TLS/SSL ל-Edge Ones עבור מידע על יצירת סיסמה מעורפלת.

  7. יש לוודא שהקובץ message-processor.properties נמצא בבעלות ה-'apigee' user:
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  8. עוצרים את מעבדי ההודעות והנתבים:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
    /opt/apigee/apigee-service/bin/apigee-service edge-router stop
  9. בנתב, מוחקים את כל הקבצים שנמצאים בספרייה /opt/nginx/conf.d:
    rm -f /opt/nginx/conf.d/*
  10. מפעילים את מעבדי ההודעות והנתבים:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
    /opt/apigee/apigee-service/bin/apigee-service edge-router start
  11. חוזרים על התהליך לכל מעבד הודעות.

לאחר הפעלת TLS בין הנתב ומעבד ההודעות, קובץ היומן של מעבד ההודעות. מכיל את הודעת INFO הבאה:

MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks

הצהרת INFO הזו מאשרת ש-TLS פועל בין הנתב להודעה מעבד.

בטבלה הבאה מפורטים כל המאפיינים הזמינים ב- message-processor.properties:

מאפיינים תיאור
conf_message-processor-communication_local.
  http.host=localhost_or_IP_address
זה שינוי אופציונלי. שם המארח להאזנה לחיבורים של נתב. ההגדרה הזו מבטלת את המארח שהוגדר בזמן הרישום.
conf/message-processor-communication.
  properties+local.http.port=8998
זה שינוי אופציונלי. יציאה כדי להאזין לחיבורי נתב. ברירת המחדל היא 8998.
conf_message-processor-communication_local.
  http.ssl=[ false | true ]
צריך להגדיר את הערך true כדי להפעיל TLS/SSL. ברירת המחדל היא false. מתי TLS/SSL מופעל, צריך להגדיר את local.http.ssl.keystore.path וגם local.http.ssl.keyalias.
conf/message-processor-communication.
  properties+local.http.ssl.keystore.path=
נתיב של מערכת קבצים מקומית למאגר המפתחות (JKS או PKCS12). חובה אם local.http.ssl=true
conf/message-processor-communication.
  properties+local.http.ssl.keyalias=
כינוי של מפתח ממאגר המפתחות שישמש לחיבורי TLS או SSL. חובה אם local.http.ssl=true
conf/message-processor-communication.
  properties+local.http.ssl.keyalias.password=
הסיסמה שמשמשת להצפנת המפתח במאגר המפתחות. שימוש בסיסמה מעורפלת בפורמט הבא:
OBF:obsPword
conf/message-processor-communication.
  properties+local.http.ssl.keystore.type=jks
סוג מאגר המפתחות. כרגע יש תמיכה רק ב-JKS וב-PKCS12. ברירת המחדל היא JKS.
conf/message-processor-communication.
  properties+local.http.ssl.keystore.password=
זה שינוי אופציונלי. סיסמה מעורפלת למאגר המפתחות. להשתמש בסיסמה מעורפלת בקובץ בפורמט הבא:
OBF:obsPword
conf_message-processor-communication_local.
  http.ssl.ciphers=cipher1,cipher2
זה שינוי אופציונלי. לאחר ההגדרה, מותר להשתמש רק בהצפנה שמפורטת. אם לא צוין, משתמשים בכולם הצפנים שנתמכים על ידי ה-JDK.