設定路由器和訊息處理器之間的傳輸層安全標準 (TLS)

根據預設,路由器和訊息處理器之間的 TLS 功能會停用。

如何在路由器和訊息處理器之間啟用 TLS 加密:

  1. 確保訊息處理器上的通訊埠 8082 可供路由器存取。
  2. 產生含有傳輸層安全標準 (TLS) 憑證和私密金鑰的 KeyStore JKS 檔案。如果需要 請參閱為 Edge On 設定 TLS/SSL 場所
  3. 將 KeyStore JKS 檔案複製到訊息處理器伺服器上的目錄,例如 使用 /opt/apigee/customer/application
  4. 變更 JKS 檔案的權限和擁有權:
    chown apigee:apigee /opt/apigee/customer/application/keystore.jks
    chmod 600 /opt/apigee/customer/application/keystore.jks

    其中 keystore.jks 是 KeyStore 檔案的名稱。

  5. 編輯 /opt/apigee/customer/application/message-processor.properties 檔案。 如果檔案不存在,請建立一個。
  6. message-processor.properties 檔案中設定下列屬性:
    conf_message-processor-communication_local.http.ssl=true
    conf/message-processor-communication.properties+local.http.port=8443
    conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
    conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keystore.jks
    conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
    # Enter the obfuscated keystore password below.
    conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword

    其中 keystore.jks 是您的 KeyStore 檔案,而 obsPword 為您的 經過模糊處理的 KeyStore 和 Keyalias 密碼。詳情請見 為 Edge On Premises 設定 TLS/SSL 瞭解如何產生經過模糊處理的密碼。

  7. 確保 message-processor.properties 檔案由「apigee」擁有 使用者:
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  8. 停止訊息處理器和路由器:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
    /opt/apigee/apigee-service/bin/apigee-service edge-router stop
  9. 在路由器上,刪除 /opt/nginx/conf.d 目錄中的任何檔案:
    rm -f /opt/nginx/conf.d/*
  10. 啟動訊息處理器和路由器:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
    /opt/apigee/apigee-service/bin/apigee-service edge-router start
  11. 請為每個訊息處理器重複此流程。

在路由器和訊息處理器之間啟用 TLS 後,訊息處理器記錄檔 包含這段 INFO 訊息:

MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks

這個 INFO 陳述式可確認路由器和訊息之間的 TLS 正常運作 處理器。

下表列出了 message-processor.properties:

屬性 說明
conf_message-processor-communication_local.
  http.host=localhost_or_IP_address
選用設定。用於監聽路由器連線的主機名稱。這會覆寫主機 註冊名稱
conf/message-processor-communication.
  properties+local.http.port=8998
選用設定。要監聽路由器連線的通訊埠。預設值為 8998。
conf_message-processor-communication_local.
  http.ssl=[ false | true ]
如要啟用 TLS/SSL,請設為「true」。預設值為 false。時間 TLS/SSL 已啟用,您必須設定 local.http.ssl.keystore.pathlocal.http.ssl.keyalias
conf/message-processor-communication.
  properties+local.http.ssl.keystore.path=
KeyStore 的本機檔案系統路徑 (JKS 或 PKCS12)。必要時機 local.http.ssl=true
conf/message-processor-communication.
  properties+local.http.ssl.keyalias=
要用於 TLS/SSL 連線的 KeyStore 金鑰別名。必要時機 local.http.ssl=true
conf/message-processor-communication.
  properties+local.http.ssl.keyalias.password=
用來加密 KeyStore 金鑰的密碼。使用經過模糊處理的密碼 格式如下:
OBF:obsPword
conf/message-processor-communication.
  properties+local.http.ssl.keystore.type=jks
KeyStore 類型。目前僅支援 JKS 和 PKCS12。預設值為 JKS。
conf/message-processor-communication.
  properties+local.http.ssl.keystore.password=
選用設定。KeyStore 的密碼經過模糊處理。請在 格式如下:
OBF:obsPword
conf_message-processor-communication_local.
  http.ssl.ciphers=cipher1,cipher2
選用設定。設定完成後,系統只會使用列出的加密機制。如果省略,請使用所有 JDK 支援的加密套件