Yönlendirici ile İleti İşleyici arasında TLS'yi yapılandırma

Varsayılan olarak, Yönlendirici ve İleti İşlemci arasındaki TLS devre dışıdır.

Bir Yönlendirici ile İleti İşlemci arasında TLS şifrelemesini etkinleştirmek için:

  1. Mesaj İşleyici üzerindeki 8082 numaralı bağlantı noktasının Yönlendirici tarafından erişilebilir durumda olduğundan emin olun.
  2. TLS sertifikanızı ve özel anahtarınızı içeren anahtar deposu JKS dosyasını oluşturun. Daha fazlası için Uç Açık için TLS/SSL'yi Yapılandırma başlıklı makaleyi inceleyin Tesis.
  3. Anahtar deposu JKS dosyasını, İleti İşlemci sunucusundaki bir dizine kopyalayın. Örneğin, /opt/apigee/customer/application olarak.
  4. JKS dosyasının izinlerini ve sahipliğini değiştirin:
    chown apigee:apigee /opt/apigee/customer/application/keystore.jks
    chmod 600 /opt/apigee/customer/application/keystore.jks

    Burada keystore.jks, anahtar deposu dosyanızın adıdır.

  5. /opt/apigee/customer/application/message-processor.properties dosyasını düzenleyin. Dosya yoksa, oluşturun.
  6. message-processor.properties dosyasında aşağıdaki özellikleri ayarlayın:
    conf_message-processor-communication_local.http.ssl=true
    conf/message-processor-communication.properties+local.http.port=8443
    conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
    conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keystore.jks
    conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
    # Enter the obfuscated keystore password below.
    conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword

    Burada keystore.jks anahtar deposu dosyanız, obsPword ise anahtar deposu dosyanızdır. kodu karartılmış anahtar deposu ve keyalias şifresi. Görüntüleyin karartılmış şifre oluşturma hakkında bilgi edinin.

  7. message-processor.properties dosyasının sahibi olarak 'Apigee' olduğundan emin olun kullanıcı:
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  8. İleti işlemcilerini ve yönlendiricileri durdurun:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
    /opt/apigee/apigee-service/bin/apigee-service edge-router stop
  9. Yönlendiricide, /opt/nginx/conf.d dizinindeki tüm dosyaları silin:
    rm -f /opt/nginx/conf.d/*
  10. Mesaj işlemcilerini ve yönlendiricileri başlatın:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
    /opt/apigee/apigee-service/bin/apigee-service edge-router start
  11. Her İleti İşleyen için bu işlemi tekrarlayın.

Yönlendirici ve İleti İşlemci arasında TLS etkinleştirildikten sonra İleti İşleyen günlük dosyası şu INFO mesajını içeriyor:

MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks

Bu INFO ifadesi, TLS'nin Yönlendirici ve İleti arasında çalıştığını onaylar İşleyen.

Aşağıdaki tabloda, bu bölgedeki kullanılabilir tüm mülkler message-processor.properties:

Özellikler Açıklama
conf_message-processor-communication_local.
  http.host=localhost_or_IP_address
İsteğe bağlı. Yönlendirici bağlantılarını dinlemede kullanılacak ana makine adı. Bu, ana makineyi geçersiz kılar kayıt sırasında yapılandırılan ad.
conf/message-processor-communication.
  properties+local.http.port=8998
İsteğe bağlı. Yönlendirici bağlantılarını dinlemede kullanılacak bağlantı noktası. Varsayılan değer 8998'dir.
conf_message-processor-communication_local.
  http.ssl=[ false | true ]
TLS/SSL'yi etkinleştirmek için bunu true olarak ayarlayın. false varsayılandır. Zaman TLS/SSL etkin. local.http.ssl.keystore.path ve SSL local.http.ssl.keyalias.
conf/message-processor-communication.
  properties+local.http.ssl.keystore.path=
Anahtar deposunun yerel dosya sistemi yolu (JKS veya PKCS12). Şu durumda zorunlu local.http.ssl=true
conf/message-processor-communication.
  properties+local.http.ssl.keyalias=
TLS/SSL bağlantıları için kullanılacak anahtar deposundaki anahtar takma adı. Şu durumda zorunlu local.http.ssl=true
conf/message-processor-communication.
  properties+local.http.ssl.keyalias.password=
Anahtar deposunda anahtarı şifrelemek için kullanılan şifre. Karartılmış bir şifre kullanın şu biçimdedir:
OBF:obsPword
conf/message-processor-communication.
  properties+local.http.ssl.keystore.type=jks
Anahtar deposu türü. Şu anda yalnızca JKS ve PKCS12 desteklenmektedir. Varsayılan JKS'dir.
conf/message-processor-communication.
  properties+local.http.ssl.keystore.password=
İsteğe bağlı. Anahtar deposu için gizlenmiş şifre. Şurada karartılmış bir şifre kullanın: şu biçimdedir:
OBF:obsPword
conf_message-processor-communication_local.
  http.ssl.ciphers=cipher1,cipher2
İsteğe bağlı. Yapılandırıldığında yalnızca listelenen şifrelere izin verilir. Atlanırsa tümünü kullan JDK tarafından desteklenen şifreler.