Theo mặc định, TLS (Bộ định tuyến) giữa Bộ định tuyến và Bộ xử lý thư sẽ bị tắt.
Để bật tính năng mã hoá TLS giữa Bộ định tuyến và Trình xử lý thông báo:
- Đảm bảo rằng Bộ định tuyến có thể truy cập cổng 8082 trên Bộ xử lý thông báo.
- Tạo tệp kho khóa JKS chứa chứng chỉ TLS và khóa riêng tư của bạn. Để biết thêm thông tin, hãy xem phần Định cấu hình TLS/SSL cho cơ sở ở Edge.
- Sao chép tệp kho khóa JKS vào một thư mục trên máy chủ Bộ xử lý thông báo, chẳng hạn như
/opt/apigee/customer/application
. - Thay đổi quyền và quyền sở hữu tệp JKS:
chown apigee:apigee /opt/apigee/customer/application/keystore.jks
chmod 600 /opt/apigee/customer/application/keystore.jks
Trong đó
keystore.jks
là tên tệp kho khoá của bạn. - Chỉnh sửa tệp
/opt/apigee/customer/application/message-processor.properties
. Hãy tạo tệp nếu chưa có. - Đặt các thuộc tính sau trong tệp
message-processor.properties
:conf_message-processor-communication_local.http.ssl=true conf/message-processor-communication.properties+local.http.port=8443 conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keystore.jks conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest # Enter the obfuscated keystore password below. conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword
Trong đó
keystore.jks
là tệp kho khoá của bạn và obsPword là kho khoá và mật khẩu khoá bí danh bị xáo trộn. Hãy xem phần Định cấu hình TLS/SSL cho Edge On Premises để biết thông tin về cách tạo mật khẩu bị làm rối mã nguồn. - Đảm bảo rằng tệp
message-processor.properties
thuộc sở hữu của người dùng "apigee":chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
- Dừng bộ xử lý và bộ định tuyến thư:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
/opt/apigee/apigee-service/bin/apigee-service edge-router stop
- Trên Bộ định tuyến, hãy xoá mọi tệp trong thư mục
/opt/nginx/conf.d
:rm -f /opt/nginx/conf.d/*
- Khởi động trình xử lý và bộ định tuyến thông báo:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
/opt/apigee/apigee-service/bin/apigee-service edge-router start
- Lặp lại quy trình này cho từng Trình xử lý thông báo.
Sau khi bật TLS giữa Trình định tuyến và Bộ xử lý thông báo, tệp nhật ký của Trình xử lý thông báo sẽ chứa thông báo INFO
sau:
MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks
Câu lệnh INFO
này xác nhận rằng TLS đang hoạt động giữa Bộ định tuyến và Bộ xử lý tin nhắn.
Bảng sau đây liệt kê tất cả các thuộc tính hiện có trong message-processor.properties
:
Thuộc tính | Mô tả |
---|---|
conf_message-processor-communication_local. http.host=localhost_or_IP_address |
Không bắt buộc. Tên máy chủ lưu trữ để nghe các kết nối của bộ định tuyến. Thao tác này sẽ ghi đè tên máy chủ lưu trữ được định cấu hình khi đăng ký. |
conf/message-processor-communication. properties+local.http.port=8998 |
Không bắt buộc. Cổng để nghe kết nối của bộ định tuyến. Mặc định là 8998. |
conf_message-processor-communication_local. http.ssl=[ false | true ] |
Đặt thành true để bật TLS/SSL. Mặc định là false . Khi bật TLS/SSL, bạn phải đặt local.http.ssl.keystore.path và local.http.ssl.keyalias .
|
conf/message-processor-communication. properties+local.http.ssl.keystore.path= |
Đường dẫn hệ thống tệp cục bộ đến kho khoá (JKS hoặc PKCS12). Bắt buộc khi
local.http.ssl=true . |
conf/message-processor-communication. properties+local.http.ssl.keyalias= |
Bí danh khóa từ kho khóa dùng để kết nối TLS/SSL. Bắt buộc khi
local.http.ssl=true . |
conf/message-processor-communication. properties+local.http.ssl.keyalias.password= |
Mật khẩu dùng để mã hoá khoá bên trong kho khoá. Sử dụng mật khẩu bị làm rối mã nguồn
theo định dạng sau:
OBF:obsPword |
conf/message-processor-communication. properties+local.http.ssl.keystore.type=jks |
Loại kho khoá. Hiện chỉ hỗ trợ JKS và PKCS12. Mặc định là JKS. |
conf/message-processor-communication. properties+local.http.ssl.keystore.password= |
Không bắt buộc. Mật khẩu bị làm rối mã nguồn cho kho khoá. Sử dụng mật khẩu bị làm rối mã nguồn ở định dạng sau: OBF:obsPword |
conf_message-processor-communication_local. http.ssl.ciphers=cipher1,cipher2 |
Không bắt buộc. Khi được định cấu hình, chỉ những mật mã được liệt kê mới được phép. Nếu bạn bỏ qua thuộc tính này, hãy sử dụng tất cả thuật toán mật mã mà JDK hỗ trợ. |