根據預設,路由器和訊息處理器之間的 TLS 功能會停用。
如何在路由器和訊息處理器之間啟用 TLS 加密:
- 確保訊息處理器上的通訊埠 8082 可供路由器存取。
- 產生含有傳輸層安全標準 (TLS) 憑證和私密金鑰的 KeyStore JKS 檔案。如果需要 請參閱為 Edge On 設定 TLS/SSL 場所。
- 將 KeyStore JKS 檔案複製到訊息處理器伺服器上的目錄,例如
使用
/opt/apigee/customer/application
。 - 變更 JKS 檔案的權限和擁有權:
chown apigee:apigee /opt/apigee/customer/application/keystore.jks
chmod 600 /opt/apigee/customer/application/keystore.jks
其中
keystore.jks
是 KeyStore 檔案的名稱。 - 編輯
/opt/apigee/customer/application/message-processor.properties
檔案。 如果檔案不存在,請建立一個。 - 在
message-processor.properties
檔案中設定下列屬性:conf_message-processor-communication_local.http.ssl=true conf/message-processor-communication.properties+local.http.port=8443 conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keystore.jks conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest # Enter the obfuscated keystore password below. conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword
其中
keystore.jks
是您的 KeyStore 檔案,而 obsPword 為您的 經過模糊處理的 KeyStore 和 Keyalias 密碼。詳情請見 為 Edge On Premises 設定 TLS/SSL 瞭解如何產生經過模糊處理的密碼。 - 確保
message-processor.properties
檔案由「apigee」擁有 使用者:chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
- 停止訊息處理器和路由器:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
/opt/apigee/apigee-service/bin/apigee-service edge-router stop
- 在路由器上,刪除
/opt/nginx/conf.d
目錄中的任何檔案:rm -f /opt/nginx/conf.d/*
- 啟動訊息處理器和路由器:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
/opt/apigee/apigee-service/bin/apigee-service edge-router start
- 請為每個訊息處理器重複此流程。
在路由器和訊息處理器之間啟用 TLS 後,訊息處理器記錄檔
包含這段 INFO
訊息:
MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks
這個 INFO
陳述式可確認路由器和訊息之間的 TLS 正常運作
處理器。
下表列出了
message-processor.properties
:
屬性 | 說明 |
---|---|
conf_message-processor-communication_local. http.host=localhost_or_IP_address |
選用設定。用於監聽路由器連線的主機名稱。這會覆寫主機 註冊名稱 |
conf/message-processor-communication. properties+local.http.port=8998 |
選用設定。要監聽路由器連線的通訊埠。預設值為 8998。 |
conf_message-processor-communication_local. http.ssl=[ false | true ] |
如要啟用 TLS/SSL,請設為「true 」。預設值為 false 。時間
TLS/SSL 已啟用,您必須設定 local.http.ssl.keystore.path 並
local.http.ssl.keyalias 。
|
conf/message-processor-communication. properties+local.http.ssl.keystore.path= |
KeyStore 的本機檔案系統路徑 (JKS 或 PKCS12)。必要時機
local.http.ssl=true 。 |
conf/message-processor-communication. properties+local.http.ssl.keyalias= |
要用於 TLS/SSL 連線的 KeyStore 金鑰別名。必要時機
local.http.ssl=true 。 |
conf/message-processor-communication. properties+local.http.ssl.keyalias.password= |
用來加密 KeyStore 金鑰的密碼。使用經過模糊處理的密碼
格式如下:
OBF:obsPword |
conf/message-processor-communication. properties+local.http.ssl.keystore.type=jks |
KeyStore 類型。目前僅支援 JKS 和 PKCS12。預設值為 JKS。 |
conf/message-processor-communication. properties+local.http.ssl.keystore.password= |
選用設定。KeyStore 的密碼經過模糊處理。請在
格式如下:
OBF:obsPword |
conf_message-processor-communication_local. http.ssl.ciphers=cipher1,cipher2 |
選用設定。設定完成後,系統只會使用列出的加密機制。如果省略,請使用所有 JDK 支援的加密套件 |