Par défaut, le routeur et le processeur de messages sont compatibles avec les versions 1.0, 1.1 et 1.2 de TLS. Toutefois, vous pourrait vouloir limiter les protocoles pris en charge par le routeur et le processeur de messages. Ce document décrit comment définir le protocole globalement sur le routeur et le processeur de messages.
Pour le routeur, vous pouvez également définir le protocole pour des hôtes virtuels individuels. Voir Configuration de l'accès TLS à une API sur le Private Cloud.
Pour le processeur de messages, vous pouvez définir le protocole d'un TargetEndpoint individuel. Voir la section Configuration de TLS d'Edge au backend (cloud et cloud privé).
Définir le protocole TLS sur le routeur
Pour définir le protocole TLS sur le routeur, définissez les propriétés dans router.properties
:
- Ouvrir le fichier
router.properties
dans un éditeur. Si le fichier n'existe pas, créez-le:vi /opt/apigee/customer/application/router.properties
- Définissez les propriétés comme vous le souhaitez:
# Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2 conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
- Enregistrez les modifications.
- Assurez-vous que le fichier de propriétés appartient à "apigee" utilisateur:
chown apigee:apigee /opt/apigee/customer/application/router.properties
- Redémarrez le routeur:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- Vérifiez que le protocole est correctement mis à jour en examinant le fichier Nginx
/opt/nginx/conf.d/0-default.conf
:cat /opt/nginx/conf.d/0-default.conf
Assurez-vous que la valeur de
ssl_protocols
est TLSv1.2. - Si vous utilisez le protocole TLS bidirectionnel avec un hôte virtuel, vous devez également définir le protocole TLS dans le hôte virtuel, comme décrit dans la section Configuration de l'accès TLS à un pour le cloud privé.
Définir le protocole TLS sur le message Processeur
Pour définir le protocole TLS sur le processeur de messages, définissez les propriétés dans la
Fichier message-processor.properties
:
- Ouvrez le fichier
message-processor.properties
dans un éditeur. Si le fichier n'existe pas, créez-le:vi /opt/apigee/customer/application/message-processor.properties
- Configurez les propriétés à l'aide de la syntaxe suivante:
# Possible values are a comma-delimited list of TLSv1, TLSv1.1, and TLSv1.2 conf/system.properties+https.protocols=[TLSv1][,TLSv1.1][,TLSv1.2] # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2 # SSLv3 is required conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3[,TLSv1][,TLSv1.1][,TLSv1.2] # Specify the ciphers that the Message Processor supports. (You must separate ciphers with a comma.): conf_message-processor-communication_local.http.ssl.ciphers=cipher[,...]
Valeurs possibles pour Les
conf_message-processor-communication_local.http.ssl.ciphers
sont:TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
Exemple :
conf/system.properties+https.protocols=TLSv1.2 conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1 conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
Pour obtenir la liste complète des propriétés associées, consultez Configuration du protocole TLS entre et un processeur de messages.
- Enregistrez les modifications.
- Assurez-vous que le fichier de propriétés appartient à "apigee" utilisateur:
chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
- Redémarrez le processeur de messages:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- Si vous utilisez le protocole TLS bidirectionnel avec le backend, définissez le protocole TLS dans l'hôte virtuel en tant que décrit dans la section Configuration de TLS d'Edge au backend (cloud et cloud privé).