Trang này được dịch bởi Cloud Translation API.

Định cấu hình TLS giữa Bộ định tuyến và Bộ xử lý thông báo

Theo mặc định, TLS (Bộ định tuyến) giữa Bộ định tuyến và Bộ xử lý thư sẽ bị tắt.

Để bật tính năng mã hoá TLS giữa Bộ định tuyến và Trình xử lý thông báo:

Đảm bảo rằng Bộ định tuyến có thể truy cập cổng 8082 trên Bộ xử lý thông báo.
Tạo tệp kho khóa JKS chứa chứng chỉ TLS và khóa riêng tư của bạn. Để biết thêm thông tin, hãy xem phần Định cấu hình TLS/SSL cho cơ sở ở Edge.
Sao chép tệp kho khóa JKS vào một thư mục trên máy chủ Bộ xử lý thông báo, chẳng hạn như /opt/apigee/customer/application.

Thay đổi quyền và quyền sở hữu tệp JKS:

chown apigee:apigee /opt/apigee/customer/application/keystore.jks
chmod 600 /opt/apigee/customer/application/keystore.jks

Trong đó keystore.jks là tên tệp kho khoá của bạn.

Chỉnh sửa tệp /opt/apigee/customer/application/message-processor.properties. Hãy tạo tệp nếu chưa có.

Đặt các thuộc tính sau trong tệp message-processor.properties:

conf_message-processor-communication_local.http.ssl=true
conf/message-processor-communication.properties+local.http.port=8443
conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keystore.jks
conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
# Enter the obfuscated keystore password below.
conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword

Trong đó keystore.jks là tệp kho khoá của bạn và obsPword là kho khoá và mật khẩu khoá bí danh bị xáo trộn. Hãy xem phần Định cấu hình TLS/SSL cho Edge On Premises để biết thông tin về cách tạo mật khẩu bị làm rối mã nguồn.

Đảm bảo rằng tệp message-processor.properties thuộc sở hữu của người dùng "apigee":
```
chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
```

Dừng bộ xử lý và bộ định tuyến thư:

/opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
/opt/apigee/apigee-service/bin/apigee-service edge-router stop

Trên Bộ định tuyến, hãy xoá mọi tệp trong thư mục /opt/nginx/conf.d:
```
rm -f /opt/nginx/conf.d/*
```

Khởi động trình xử lý và bộ định tuyến thông báo:

/opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
/opt/apigee/apigee-service/bin/apigee-service edge-router start

Lặp lại quy trình này cho từng Trình xử lý thông báo.

Sau khi bật TLS giữa Trình định tuyến và Bộ xử lý thông báo, tệp nhật ký của Trình xử lý thông báo sẽ chứa thông báo INFO sau:

MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks

Câu lệnh INFO này xác nhận rằng TLS đang hoạt động giữa Bộ định tuyến và Bộ xử lý tin nhắn.

Bảng sau đây liệt kê tất cả các thuộc tính hiện có trong message-processor.properties:

Thuộc tính	Mô tả
conf_message-processor-communication_local. http.host=`localhost_or_IP_address`	Không bắt buộc. Tên máy chủ lưu trữ để nghe các kết nối của bộ định tuyến. Thao tác này sẽ ghi đè tên máy chủ lưu trữ được định cấu hình khi đăng ký.
conf/message-processor-communication. properties+local.http.port=8998	Không bắt buộc. Cổng để nghe kết nối của bộ định tuyến. Mặc định là 8998.
conf_message-processor-communication_local. http.ssl=[ false \| true ]	Đặt thành `true` để bật TLS/SSL. Mặc định là `false`. Khi bật TLS/SSL, bạn phải đặt `local.http.ssl.keystore.path` và `local.http.ssl.keyalias`.
conf/message-processor-communication. properties+local.http.ssl.keystore.path=	Đường dẫn hệ thống tệp cục bộ đến kho khoá (JKS hoặc PKCS12). Bắt buộc khi `local.http.ssl=true`.
conf/message-processor-communication. properties+local.http.ssl.keyalias=	Bí danh khóa từ kho khóa dùng để kết nối TLS/SSL. Bắt buộc khi `local.http.ssl=true`.
conf/message-processor-communication. properties+local.http.ssl.keyalias.password=	Mật khẩu dùng để mã hoá khoá bên trong kho khoá. Sử dụng mật khẩu bị làm rối mã nguồn theo định dạng sau: OBF:`obsPword`
conf/message-processor-communication. properties+local.http.ssl.keystore.type=jks	Loại kho khoá. Hiện chỉ hỗ trợ JKS và PKCS12. Mặc định là JKS.
conf/message-processor-communication. properties+local.http.ssl.keystore.password=	Không bắt buộc. Mật khẩu bị làm rối mã nguồn cho kho khoá. Sử dụng mật khẩu bị làm rối mã nguồn ở định dạng sau: OBF:`obsPword`
conf_message-processor-communication_local. http.ssl.ciphers=`cipher1,cipher2`	Không bắt buộc. Khi được định cấu hình, chỉ những mật mã được liệt kê mới được phép. Nếu bạn bỏ qua thuộc tính này, hãy sử dụng tất cả thuật toán mật mã mà JDK hỗ trợ.