डिफ़ॉल्ट रूप से, राऊटर और मैसेज प्रोसेसर, TLS के वर्शन 1.0, 1.1, 1.2 के साथ काम करते हैं. हालांकि, शायद राऊटर और मैसेज प्रोसेसर के साथ काम करने वाले प्रोटोकॉल को सीमित करना चाहे. यह दस्तावेज़ यह बताती है कि राऊटर और मैसेज प्रोसेसर पर प्रोटोकॉल को दुनिया भर में कैसे सेट किया जाता है.
राऊटर के लिए, अलग-अलग वर्चुअल होस्ट के लिए भी प्रोटोकॉल सेट किया जा सकता है. एपीआई के लिए TLS का ऐक्सेस कॉन्फ़िगर करना प्राइवेट क्लाउड के लिए.
मैसेज प्रोसेसर के लिए, किसी एक TargetEndpoint के लिए प्रोटोकॉल सेट किया जा सकता है. TLS कॉन्फ़िगर करना ज़्यादा जानकारी के लिए, एज से लेकर बैकएंड (क्लाउड और प्राइवेट क्लाउड) तक की सभी सेटिंग देखें.
राऊटर पर TLS प्रोटोकॉल सेट करना
राऊटर पर TLS प्रोटोकॉल सेट करने के लिए, router.properties में प्रॉपर्टी सेट करें
फ़ाइल:
router.propertiesफ़ाइल को इसमें खोलें एक संपादक. अगर फ़ाइल मौजूद नहीं है, तो इसे बनाएं:vi /opt/apigee/customer/application/router.properties
- प्रॉपर्टी को ज़रूरत के हिसाब से सेट करें:
# Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2 conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
- बदलावों को सेव करें.
- पक्का करें कि प्रॉपर्टी फ़ाइल का मालिकाना हक "apigee" के पास हो उपयोगकर्ता:
chown apigee:apigee /opt/apigee/customer/application/router.properties
- राऊटर को रीस्टार्ट करें:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- Nginx फ़ाइल की जांच करके पुष्टि करें कि प्रोटोकॉल सही तरीके से अपडेट किया गया है
/opt/nginx/conf.d/0-default.conf:cat /opt/nginx/conf.d/0-default.conf
पक्का करें कि
ssl_protocolsकी वैल्यू TLSv1.2 है. - अगर किसी वर्चुअल होस्ट के साथ दोतरफ़ा TLS का इस्तेमाल किया जा रहा है, तो आपको जैसा कि किसी प्राइवेट क्लाउड के लिए एपीआई.
मैसेज पर TLS प्रोटोकॉल सेट करें प्रोसेसर
संदेश प्रोसेसर पर TLS प्रोटोकॉल सेट करने के लिए,
message-processor.properties फ़ाइल:
message-processor.propertiesफ़ाइल को इसमें खोलें Editor. अगर फ़ाइल मौजूद नहीं है, तो इसे बनाएं:vi /opt/apigee/customer/application/message-processor.properties
- नीचे दिए गए सिंटैक्स का इस्तेमाल करके प्रॉपर्टी कॉन्फ़िगर करें:
# Possible values are a comma-delimited list of TLSv1, TLSv1.1, and TLSv1.2 conf/system.properties+https.protocols=[TLSv1][,TLSv1.1][,TLSv1.2] # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2 # SSLv3 is required conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3[,TLSv1][,TLSv1.1][,TLSv1.2] # Specify the ciphers that the Message Processor supports. (You must separate ciphers with a comma.): conf_message-processor-communication_local.http.ssl.ciphers=cipher[,...]
यह वैल्यू हो सकती है
conf_message-processor-communication_local.http.ssl.ciphersहैं:TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384TLS_RSA_WITH_AES_256_GCM_SHA384TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384TLS_DHE_RSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
उदाहरण के लिए:
conf/system.properties+https.protocols=TLSv1.2 conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1 conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
मिलती-जुलती प्रॉपर्टी की पूरी सूची देखने के लिए, यह देखें टीएलएस कॉन्फ़िगर करना, राऊटर और मैसेज प्रोसेसर.
- बदलावों को सेव करें.
- पक्का करें कि प्रॉपर्टी फ़ाइल का मालिकाना हक "apigee" के पास हो उपयोगकर्ता:
chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
- मैसेज प्रोसेसर को रीस्टार्ट करें:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- अगर बैकएंड के साथ दोतरफ़ा TLS का इस्तेमाल किया जा रहा है, तो वर्चुअल होस्ट में TLS प्रोटोकॉल को इस तरह सेट करें TLS को कॉन्फ़िगर करने से जुड़ी जानकारी में दी गई है एज से लेकर बैकएंड (क्लाउड और प्राइवेट क्लाउड) तक.