Konfigurowanie protokołu TLS między routerem a podmiotem przetwarzającym wiadomości

Domyślnie protokół TLS między routerem a procesorem wiadomości jest wyłączony.

Aby włączyć szyfrowanie TLS między routerem a podmiotem przetwarzającym wiadomości:

  1. Upewnij się, że port 8082 w procesorze wiadomości jest dostępny dla routera.
  2. Wygeneruj plik JKS magazynu kluczy zawierający certyfikat TLS i klucz prywatny. Więcej informacji znajdziesz w artykule Konfigurowanie TLS/SSL dla serwerów brzegowych.
  3. Skopiuj plik JKS magazynu kluczy do katalogu na serwerze procesora wiadomości, np. /opt/apigee/customer/application.
  4. Zmień uprawnienia i własność pliku JKS: 
    chown apigee:apigee /opt/apigee/customer/application/keystore.jks
chmod 600 /opt/apigee/customer/application/keystore.jks

    Gdzie keystore.jks to nazwa Twojego pliku magazynu kluczy.

  5. Edytuj plik /opt/apigee/customer/application/message-processor.properties. Jeśli plik nie istnieje, utwórz go.
  6. W pliku message-processor.properties ustaw te właściwości: 
    conf_message-processor-communication_local.http.ssl=true
conf/message-processor-communication.properties+local.http.port=8443
conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keystore.jks
conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
# Enter the obfuscated keystore password below.
conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword

    Gdzie keystore.jks to Twój plik magazynu kluczy, a obsPword to zaciemniony klucz magazynu i hasło. Informacje o generowaniu zaciemnionego hasła znajdziesz w artykule Konfigurowanie TLS/SSL dla obiektów lokalnie dostępnych na serwerach brzegowych.

  7. Sprawdź, czy plik message-processor.properties należy do użytkownika „apigee”: 
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  8. Zatrzymaj osoby obsługujące wiadomości i routery: 
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
/opt/apigee/apigee-service/bin/apigee-service edge-router stop
  9. Na routerze usuń wszystkie pliki z katalogu /opt/nginx/conf.d: 
    rm -f /opt/nginx/conf.d/*
  10. Uruchom procesory i routery wiadomości: 
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
/opt/apigee/apigee-service/bin/apigee-service edge-router start
  11. Powtórz ten proces dla każdego podmiotu przetwarzającego wiadomości.

Gdy protokół TLS jest włączony między routerem a procesorem wiadomości, plik dziennika tego procesora zawiera ten komunikat INFO:

MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks

Ta instrukcja INFO potwierdza, że protokół TLS działa między routerem a procesorem wiadomości.

W tej tabeli znajdziesz wszystkie właściwości dostępne w message-processor.properties:

Właściwości Opis 
conf_message-processor-communication_local.
  http.host=localhost_or_IP_address
 Opcjonalnie. Nazwa hosta, na której nasłuchuje połączenia routera. To zastępuje nazwę hosta skonfigurowaną podczas rejestracji. 
conf/message-processor-communication.
  properties+local.http.port=8998
 Opcjonalnie. Port, na którym nasłuchuje połączeń routera. Wartość domyślna to 8998. 
conf_message-processor-communication_local.
  http.ssl=[ false | true ]
 Ustaw tę wartość na true, aby włączyć TLS/SSL. Wartość domyślna to false. Gdy protokół TLS/SSL jest włączony, musisz ustawić local.http.ssl.keystore.path i local.http.ssl.keyalias. 
conf/message-processor-communication.
  properties+local.http.ssl.keystore.path=
 Lokalna ścieżka systemu plików do magazynu kluczy (JKS lub PKCS12). Obowiązkowy w przypadku local.http.ssl=true. 
conf/message-processor-communication.
  properties+local.http.ssl.keyalias=
 Alias klucza z magazynu kluczy, który ma być używany na potrzeby połączeń TLS/SSL. Obowiązkowy w przypadku local.http.ssl=true. 
conf/message-processor-communication.
  properties+local.http.ssl.keyalias.password=
 Hasło używane do szyfrowania klucza w magazynie kluczy. Użyj zaciemnionego hasła w tym formacie: 
OBF:obsPword
 
conf/message-processor-communication.
  properties+local.http.ssl.keystore.type=jks
 Typ magazynu kluczy. Obecnie obsługiwane są tylko pliki JKS i PKCS12. Wartość domyślna to JKS. 
conf/message-processor-communication.
  properties+local.http.ssl.keystore.password=
 Opcjonalnie. Zamaskowane hasło do magazynu kluczy. Użyj zaciemnionego hasła w tym formacie: 
OBF:obsPword
 
conf_message-processor-communication_local.
  http.ssl.ciphers=cipher1,cipher2
 Opcjonalnie. Po skonfigurowaniu tej zasady dozwolone są tylko mechanizmy szyfrowania wymienione na liście. W przypadku pominięcia użyj wszystkich mechanizmów szyfrowania obsługiwanych przez JDK.