Konfigurowanie protokołu TLS między routerem a podmiotem przetwarzającym wiadomości

Domyślnie protokół TLS między routerem a procesorem wiadomości jest wyłączony.

Aby włączyć szyfrowanie TLS między routerem a procesorem wiadomości:

  1. Upewnij się, że router ma dostęp do portu 8082 procesora wiadomości.
  2. Wygeneruj plik JKS magazynu kluczy zawierający certyfikat TLS i klucz prywatny. Aby zobaczyć więcej, zobacz Konfigurowanie TLS/SSL dla Edge On Nieruchomość.
  3. Skopiuj plik JKS magazynu kluczy do katalogu na serwerze Message Processor, taki jak jako /opt/apigee/customer/application.
  4. Zmień uprawnienia i własność pliku JKS:
    chown apigee:apigee /opt/apigee/customer/application/keystore.jks
    chmod 600 /opt/apigee/customer/application/keystore.jks

    Gdzie keystore.jks to nazwa pliku magazynu kluczy.

  5. Edytuj plik /opt/apigee/customer/application/message-processor.properties. Jeśli plik nie istnieje, utwórz go.
  6. Ustaw w pliku message-processor.properties te właściwości:
    conf_message-processor-communication_local.http.ssl=true
    conf/message-processor-communication.properties+local.http.port=8443
    conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
    conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keystore.jks
    conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
    # Enter the obfuscated keystore password below.
    conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword

    Gdzie keystore.jks to plik magazynu kluczy, a obsPword to plik zaciemniony magazyn kluczy i hasło aliasu. Zobacz Konfigurowanie TLS/SSL dla usługi Edge On dla domeny jak wygenerować zaciemnione hasło.

  7. Sprawdź, czy plik message-processor.properties należy do „apigee” użytkownik:
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  8. Zatrzymaj procesory wiadomości i routery:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
    /opt/apigee/apigee-service/bin/apigee-service edge-router stop
  9. W routerze usuń wszystkie pliki z katalogu /opt/nginx/conf.d:
    rm -f /opt/nginx/conf.d/*
  10. Uruchom procesory wiadomości i routery:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
    /opt/apigee/apigee-service/bin/apigee-service edge-router start
  11. Powtórz ten proces dla każdego procesora wiadomości.

Po włączeniu protokołu TLS między routerem a procesorem wiadomości, plik dziennika procesora wiadomości zawiera tę wiadomość (INFO):

MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks

Ta instrukcja INFO potwierdza, że TLS działa między routerem a wiadomością Procesor.

Poniższa tabela zawiera wszystkie właściwości dostępne w: message-processor.properties:

Właściwości Opis
conf_message-processor-communication_local.
  http.host=localhost_or_IP_address
Opcjonalnie: Nazwa hosta nasłuchującego połączeń routera. Spowoduje to zastąpienie hosta nazwę skonfigurowaną podczas rejestracji.
conf/message-processor-communication.
  properties+local.http.port=8998
Opcjonalnie: Port nasłuchujący połączeń routera. Wartość domyślna to 8998.
conf_message-processor-communication_local.
  http.ssl=[ false | true ]
Aby włączyć TLS/SSL, ustaw tę wartość na true. Wartość domyślna to false. Kiedy Protokół TLS/SSL jest włączony, musisz ustawić local.http.ssl.keystore.path i local.http.ssl.keyalias
conf/message-processor-communication.
  properties+local.http.ssl.keystore.path=
Ścieżka lokalnego systemu plików do magazynu kluczy (JKS lub PKCS12). Obowiązkowe, gdy: local.http.ssl=true
conf/message-processor-communication.
  properties+local.http.ssl.keyalias=
Alias klucza z magazynu kluczy, który ma być używany na potrzeby połączeń TLS/SSL. Obowiązkowe, gdy: local.http.ssl=true
conf/message-processor-communication.
  properties+local.http.ssl.keyalias.password=
Hasło używane do szyfrowania klucza w magazynie kluczy. Używanie zaciemnionego hasła w tym formacie:
OBF:obsPword
conf/message-processor-communication.
  properties+local.http.ssl.keystore.type=jks
Typ magazynu kluczy. Obecnie obsługiwane są tylko JKS i PKCS12. Wartość domyślna to JKS.
conf/message-processor-communication.
  properties+local.http.ssl.keystore.password=
Opcjonalnie: Zamaskowane hasło do magazynu kluczy. Użyj zaciemnionego hasła w w tym formacie:
OBF:obsPword
conf_message-processor-communication_local.
  http.ssl.ciphers=cipher1,cipher2
Opcjonalnie: Jeśli zostanie skonfigurowana, dozwolone będą tylko wymienione mechanizmy szyfrowania. Jeśli go pominiesz, użyj wszystkich obsługiwane przez pakiet JDK.