Standardmäßig unterstützen Router und Message Processor die TLS-Versionen 1.0, 1.1 und 1.2. Sie können jedoch die vom Router und Message Processor unterstützten Protokolle einschränken. Dieses Dokument wird beschrieben, wie Sie das Protokoll global auf dem Router und dem Message Processor festlegen.
Beim Router können Sie das Protokoll auch für einzelne virtuelle Hosts festlegen. Siehe TLS-Zugriff auf eine API konfigurieren für die Private Cloud.
Für den Message Processor können Sie das Protokoll für einen einzelnen TargetEndpoint festlegen. Siehe TLS konfigurieren vom Edge zum Back-End (Cloud und Private Cloud).
TLS-Protokoll auf dem Router festlegen
Legen Sie Attribute in der router.properties
fest, um das TLS-Protokoll auf dem Router festzulegen.
Datei:
- Datei
router.properties
öffnen in einen Redakteur. Wenn die Datei nicht vorhanden ist, erstellen Sie sie:vi /opt/apigee/customer/application/router.properties
- Legen Sie die Eigenschaften wie gewünscht fest:
# Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2 conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
- Speichern Sie die Änderungen.
- Achten Sie darauf, dass die Eigenschaftendatei dem „Apigee“ gehört Nutzer:
chown apigee:apigee /opt/apigee/customer/application/router.properties
- Starten Sie den Router neu:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- Überprüfen Sie die Nginx-Datei, um sicherzustellen, dass das Protokoll korrekt aktualisiert wurde.
/opt/nginx/conf.d/0-default.conf
:cat /opt/nginx/conf.d/0-default.conf
Achten Sie darauf, dass der Wert für
ssl_protocols
TLSv1.2 lautet. - Wenn Sie Zwei-Wege-TLS mit einem virtuellen Host verwenden, müssen Sie auch das TLS-Protokoll in der wie unter TLS-Zugriff auf einen virtuellen Host konfigurieren API für die Private Cloud
TLS-Protokoll für die Nachricht festlegen Prozessor
Um das TLS-Protokoll für den Message Processor festzulegen, legen Sie Attribute in der
message-processor.properties
-Datei:
- Öffnen Sie die Datei
message-processor.properties
in einem Editor. Wenn die Datei nicht vorhanden ist, erstellen Sie sie:vi /opt/apigee/customer/application/message-processor.properties
- Konfigurieren Sie die Attribute mit der folgenden Syntax:
# Possible values are a comma-delimited list of TLSv1, TLSv1.1, and TLSv1.2 conf/system.properties+https.protocols=[TLSv1][,TLSv1.1][,TLSv1.2] # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2 # SSLv3 is required conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3[,TLSv1][,TLSv1.1][,TLSv1.2] # Specify the ciphers that the Message Processor supports. (You must separate ciphers with a comma.): conf_message-processor-communication_local.http.ssl.ciphers=cipher[,...]
Mögliche Werte für
conf_message-processor-communication_local.http.ssl.ciphers
sind:TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
Beispiel:
conf/system.properties+https.protocols=TLSv1.2 conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1 conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
Eine vollständige Liste der zugehörigen Properties finden Sie unter Konfigurieren von TLS zwischen einem Router und einen Message Processor.
- Speichern Sie die Änderungen.
- Achten Sie darauf, dass die Eigenschaftendatei dem „Apigee“ gehört Nutzer:
chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
- Starten Sie den Message Processor neu:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- Wenn Sie mit dem Back-End bidirektionales TLS verwenden, legen Sie das TLS-Protokoll im virtuellen Host als wie unter TLS konfigurieren vom Edge zum Back-End (Cloud und Private Cloud).