Domyślnie router i przetwarzacz wiadomości obsługują protokół TLS w wersjach 1.0, 1.1 i 1.2. Możesz jednak ograniczyć listę protokołów obsługiwanych przez router i przetwarzacz wiadomości. Z tego dokumentu dowiesz się, jak skonfigurować protokół globalnie w Routerze i procesorze wiadomości.
W Routerze możesz też ustawić protokół dla poszczególnych hostów wirtualnych. Więcej informacji znajdziesz w artykule Konfigurowanie dostępu TLS do interfejsu API w Private Cloud.
W przypadku procesora wiadomości możesz ustawić protokół dla pojedynczego punktu końcowego docelowego. Więcej informacji znajdziesz w artykule Konfigurowanie TLS od urządzenia Edge do zaplecza (Cloud i Private Cloud).
Konfigurowanie protokołu TLS na routerze
Aby skonfigurować protokół TLS na routerze, ustaw właściwości w pliku router.properties:
- Otwórz plik
router.propertiesw edytorze. Jeśli plik nie istnieje, utwórz go:vi /opt/apigee/customer/application/router.properties
- Ustaw właściwości zgodnie z potrzebami:
# Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2 conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
- Zapisz zmiany.
- Upewnij się, że właścicielem pliku z właściwościami jest użytkownik „apigee”:
chown apigee:apigee /opt/apigee/customer/application/router.properties
- Zrestartuj router:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- Sprawdź, czy protokół został poprawnie zaktualizowany, badając plik Nginx:
/opt/nginx/conf.d/0-default.conf:cat /opt/nginx/conf.d/0-default.conf
Upewnij się, że wartość
ssl_protocolsto TLSv1.2. - Jeśli używasz dwukierunkowego TLS z hostem wirtualnym, musisz też skonfigurować protokół TLS w hostie wirtualnym zgodnie z instrukcjami w artykule Konfigurowanie dostępu TLS do interfejsu API w chmurze prywatnej.
Konfigurowanie protokołu TLS w procesorze wiadomości
Aby skonfigurować protokół TLS w procesorze wiadomości, ustaw właściwości w pliku message-processor.properties:
- Otwórz plik
message-processor.propertiesw edytorze. Jeśli plik nie istnieje, utwórz go:vi /opt/apigee/customer/application/message-processor.properties
- Skonfiguruj właściwości za pomocą tej składni:
# Possible values are a comma-delimited list of TLSv1, TLSv1.1, and TLSv1.2 conf/system.properties+https.protocols=[TLSv1][,TLSv1.1][,TLSv1.2] # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2 # SSLv3 is required conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3[,TLSv1][,TLSv1.1][,TLSv1.2] # Specify the ciphers that the Message Processor supports. (You must separate ciphers with a comma.): conf_message-processor-communication_local.http.ssl.ciphers=cipher[,...]
Możliwe wartości dla
conf_message-processor-communication_local.http.ssl.ciphers:TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384TLS_RSA_WITH_AES_256_GCM_SHA384TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384TLS_DHE_RSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
Na przykład:
conf/system.properties+https.protocols=TLSv1.2 conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1 conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
Pełną listę powiązanych właściwości znajdziesz w artykule Konfigurowanie TLS między routerem a procesorem wiadomości.
- Zapisz zmiany.
- Upewnij się, że właścicielem pliku z właściwościami jest użytkownik „apigee”:
chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
- Ponownie uruchom przetwarzanie wiadomości:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- Jeśli używasz dwukierunkowego TLS z backendem, skonfiguruj protokół TLS w hostie wirtualnym zgodnie z instrukcjami w artykule Konfigurowanie TLS z urządzenia Edge do backendu (chmury publicznej i prywatnej).