โดยค่าเริ่มต้น TLS ระหว่างเราเตอร์และโปรแกรมประมวลผลข้อความจะปิดใช้งาน
วิธีเปิดใช้การเข้ารหัส TLS ระหว่างเราเตอร์และโปรแกรมประมวลผลข้อความ
- ตรวจสอบว่าเราเตอร์เข้าถึงพอร์ต 8082 บน Message Processor ได้
- สร้างไฟล์ JKS คีย์สโตร์ที่มีใบรับรอง TLS และคีย์ส่วนตัว สำหรับข้อมูลเพิ่มเติม โปรดดูการกำหนดค่า TLS/SSL สำหรับ Edge On สถานที่
- คัดลอกไฟล์ JKS ที่เป็นคีย์สโตร์ไปยังไดเรกทอรีบนเซิร์ฟเวอร์ Message Processor เช่น
ในชื่อ
/opt/apigee/customer/application
- เปลี่ยนสิทธิ์และการเป็นเจ้าของไฟล์ JKS
chown apigee:apigee /opt/apigee/customer/application/keystore.jks
chmod 600 /opt/apigee/customer/application/keystore.jks
โดยที่
keystore.jks
คือชื่อไฟล์คีย์สโตร์ - แก้ไขไฟล์
/opt/apigee/customer/application/message-processor.properties
หากไม่มีไฟล์ ให้สร้างขึ้นมา - ตั้งค่าพร็อพเพอร์ตี้ต่อไปนี้ในไฟล์
message-processor.properties
conf_message-processor-communication_local.http.ssl=true conf/message-processor-communication.properties+local.http.port=8443 conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keystore.jks conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest # Enter the obfuscated keystore password below. conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword
โดยที่
keystore.jks
คือไฟล์คีย์สโตร์ และ obsPword คือไฟล์ สร้างความสับสนให้กับคีย์สโตร์และรหัสผ่าน Keyalias โปรดดู การกำหนดค่า TLS/SSL สำหรับ Edge On Premises สำหรับ ในการสร้างรหัสผ่านที่ปรับให้ยากต่อการอ่าน (Obfuscate) - ตรวจสอบว่า "apigee" เป็นเจ้าของไฟล์
message-processor.properties
ผู้ใช้:chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
- หยุดโปรแกรมประมวลผลข้อความและเราเตอร์
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
/opt/apigee/apigee-service/bin/apigee-service edge-router stop
- ลบไฟล์ในไดเรกทอรี
/opt/nginx/conf.d
บนเราเตอร์rm -f /opt/nginx/conf.d/*
- เริ่มต้น Message Processor และ Router:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
/opt/apigee/apigee-service/bin/apigee-service edge-router start
- ทำขั้นตอนนี้ซ้ำสำหรับโปรแกรมประมวลผลข้อความแต่ละตัว
หลังจากเปิดใช้ TLS ระหว่างเราเตอร์และตัวประมวลผลข้อความแล้ว ไฟล์บันทึกของตัวประมวลผลข้อความ
มีข้อความ INFO
นี้:
MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks
คำสั่ง INFO
นี้จะยืนยันว่า TLS ทำงานระหว่างเราเตอร์และข้อความ
ผู้ประมวลผลข้อมูล
ตารางต่อไปนี้แสดงที่พักทั้งหมดใน
message-processor.properties
:
พร็อพเพอร์ตี้ | คำอธิบาย |
---|---|
conf_message-processor-communication_local. http.host=localhost_or_IP_address |
ไม่บังคับ ชื่อโฮสต์ที่จะรับการเชื่อมต่อเราเตอร์ การดำเนินการนี้จะลบล้างโฮสต์ ชื่อที่กำหนดค่าไว้ตอนจดทะเบียน |
conf/message-processor-communication. properties+local.http.port=8998 |
ไม่บังคับ พอร์ตที่จะใช้ฟังการเชื่อมต่อเราเตอร์ ค่าเริ่มต้นคือ 8998 |
conf_message-processor-communication_local. http.ssl=[ false | true ] |
ตั้งค่าเป็น true เพื่อเปิดใช้ TLS/SSL ค่าเริ่มต้นคือ false วันและเวลา
TLS/SSL เปิดใช้งานอยู่ คุณต้องตั้งค่าlocal.http.ssl.keystore.path และ
local.http.ssl.keyalias
|
conf/message-processor-communication. properties+local.http.ssl.keystore.path= |
เส้นทางระบบไฟล์ในเครื่องไปยังคีย์สโตร์ (JKS หรือ PKCS12) บังคับเมื่อ
local.http.ssl=true |
conf/message-processor-communication. properties+local.http.ssl.keyalias= |
ชื่อแทนคีย์จากคีย์สโตร์ที่ใช้สำหรับการเชื่อมต่อ TLS/SSL บังคับเมื่อ
local.http.ssl=true |
conf/message-processor-communication. properties+local.http.ssl.keyalias.password= |
รหัสผ่านที่ใช้สำหรับเข้ารหัสคีย์ในคีย์สโตร์ ใช้รหัสผ่านที่ปรับให้ยากต่อการอ่าน (Obfuscate)
ในรูปแบบต่อไปนี้
OBF:obsPword |
conf/message-processor-communication. properties+local.http.ssl.keystore.type=jks |
ประเภทคีย์สโตร์ ขณะนี้รองรับเฉพาะ JKS และ PKCS12 เท่านั้น ค่าเริ่มต้นคือ JKS |
conf/message-processor-communication. properties+local.http.ssl.keystore.password= |
ไม่บังคับ รหัสผ่านที่ปรับให้ยากต่อการอ่าน (Obfuscate) สำหรับคีย์สโตร์ ใช้รหัสผ่านที่ปรับให้ยากต่อการอ่าน (Obfuscate) ใน
รูปแบบต่อไปนี้:
OBF:obsPword |
conf_message-processor-communication_local. http.ssl.ciphers=cipher1,cipher2 |
ไม่บังคับ เมื่อกำหนดค่าแล้ว ระบบจะอนุญาตเฉพาะการเข้ารหัสที่แสดงในรายการเท่านั้น หากละไว้ ให้ใช้ทั้งหมด การเข้ารหัสที่ JDK รองรับ |