Domyślnie protokół TLS między routerem a procesorem wiadomości jest wyłączony.
Aby włączyć szyfrowanie TLS między routerem a podmiotem przetwarzającym wiadomości:
- Upewnij się, że port 8082 w procesorze wiadomości jest dostępny dla routera.
- Wygeneruj plik JKS magazynu kluczy zawierający certyfikat TLS i klucz prywatny. Więcej informacji znajdziesz w artykule Konfigurowanie TLS/SSL dla serwerów brzegowych.
- Skopiuj plik JKS magazynu kluczy do katalogu na serwerze procesora wiadomości, np.
/opt/apigee/customer/application
. - Zmień uprawnienia i własność pliku JKS:
chown apigee:apigee /opt/apigee/customer/application/keystore.jks
chmod 600 /opt/apigee/customer/application/keystore.jks
Gdzie
keystore.jks
to nazwa Twojego pliku magazynu kluczy. - Edytuj plik
/opt/apigee/customer/application/message-processor.properties
. Jeśli plik nie istnieje, utwórz go. - W pliku
message-processor.properties
ustaw te właściwości:conf_message-processor-communication_local.http.ssl=true conf/message-processor-communication.properties+local.http.port=8443 conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keystore.jks conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest # Enter the obfuscated keystore password below. conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword
Gdzie
keystore.jks
to Twój plik magazynu kluczy, a obsPword to zaciemniony klucz magazynu i hasło. Informacje o generowaniu zaciemnionego hasła znajdziesz w artykule Konfigurowanie TLS/SSL dla obiektów lokalnie dostępnych na serwerach brzegowych. - Sprawdź, czy plik
message-processor.properties
należy do użytkownika „apigee”:chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
- Zatrzymaj osoby obsługujące wiadomości i routery:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
/opt/apigee/apigee-service/bin/apigee-service edge-router stop
- Na routerze usuń wszystkie pliki z katalogu
/opt/nginx/conf.d
:rm -f /opt/nginx/conf.d/*
- Uruchom procesory i routery wiadomości:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
/opt/apigee/apigee-service/bin/apigee-service edge-router start
- Powtórz ten proces dla każdego podmiotu przetwarzającego wiadomości.
Gdy protokół TLS jest włączony między routerem a procesorem wiadomości, plik dziennika tego procesora zawiera ten komunikat INFO
:
MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks
Ta instrukcja INFO
potwierdza, że protokół TLS działa między routerem a procesorem wiadomości.
W tej tabeli znajdziesz wszystkie właściwości dostępne w message-processor.properties
:
Właściwości | Opis |
---|---|
conf_message-processor-communication_local. http.host=localhost_or_IP_address |
Opcjonalnie. Nazwa hosta, na której nasłuchuje połączenia routera. To zastępuje nazwę hosta skonfigurowaną podczas rejestracji. |
conf/message-processor-communication. properties+local.http.port=8998 |
Opcjonalnie. Port, na którym nasłuchuje połączeń routera. Wartość domyślna to 8998. |
conf_message-processor-communication_local. http.ssl=[ false | true ] |
Ustaw tę wartość na true , aby włączyć TLS/SSL. Wartość domyślna to false . Gdy protokół TLS/SSL jest włączony, musisz ustawić local.http.ssl.keystore.path i local.http.ssl.keyalias .
|
conf/message-processor-communication. properties+local.http.ssl.keystore.path= |
Lokalna ścieżka systemu plików do magazynu kluczy (JKS lub PKCS12). Obowiązkowy w przypadku local.http.ssl=true . |
conf/message-processor-communication. properties+local.http.ssl.keyalias= |
Alias klucza z magazynu kluczy, który ma być używany na potrzeby połączeń TLS/SSL. Obowiązkowy w przypadku local.http.ssl=true . |
conf/message-processor-communication. properties+local.http.ssl.keyalias.password= |
Hasło używane do szyfrowania klucza w magazynie kluczy. Użyj zaciemnionego hasła w tym formacie: OBF:obsPword |
conf/message-processor-communication. properties+local.http.ssl.keystore.type=jks |
Typ magazynu kluczy. Obecnie obsługiwane są tylko pliki JKS i PKCS12. Wartość domyślna to JKS. |
conf/message-processor-communication. properties+local.http.ssl.keystore.password= |
Opcjonalnie. Zamaskowane hasło do magazynu kluczy. Użyj zaciemnionego hasła w tym formacie: OBF:obsPword |
conf_message-processor-communication_local. http.ssl.ciphers=cipher1,cipher2 |
Opcjonalnie. Po skonfigurowaniu tej zasady dozwolone są tylko mechanizmy szyfrowania wymienione na liście. W przypadku pominięcia użyj wszystkich mechanizmów szyfrowania obsługiwanych przez JDK. |