Como configurar o protocolo TLS para o roteador e o processador de mensagens

Por padrão, o Roteador e o Processador de mensagens oferecem suporte às versões 1.0, 1.1 e 1.2 de TLS. No entanto, pode querer limitar os protocolos suportados pelo roteador e pelo processador de mensagens. Este documento descreve como definir o protocolo globalmente no roteador e no processador de mensagens.

Para o roteador, também é possível definir o protocolo para hosts virtuais individuais. Consulte Como configurar o acesso TLS a uma API para a nuvem privada.

Para o processador de mensagens, você pode definir o protocolo para um TargetEndpoint individual. Consulte Como configurar o TLS da borda para o back-end (nuvem e nuvem privada) para saber mais.

Definir o protocolo TLS no roteador

Para definir o protocolo TLS no roteador, defina as propriedades no router.properties arquivo:

  1. Abra o arquivo router.properties no um editor. Se o arquivo não existir, crie-o:
    vi /opt/apigee/customer/application/router.properties
  2. Defina as propriedades conforme desejado:
    # Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2
    conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
  3. Salve as alterações.
  4. Verifique se o arquivo de propriedades é de propriedade da "apigee" usuário:
     chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. Reinicie o roteador:
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
  6. Verifique se o protocolo está atualizado corretamente examinando o arquivo Nginx /opt/nginx/conf.d/0-default.conf:
    cat /opt/nginx/conf.d/0-default.conf

    Verifique se o valor de ssl_protocols é TLSv1.2.

  7. Se estiver usando TLS bidirecional com um host virtual, você também deverá definir o protocolo TLS no host virtual como descrito em Como configurar o acesso TLS a um para a nuvem privada.

Configurar o protocolo TLS na mensagem Processador

Para definir o protocolo TLS no processador de mensagens, defina as propriedades no Arquivo message-processor.properties:

  1. Abra o arquivo message-processor.properties em uma editor. Se o arquivo não existir, crie-o:
    vi /opt/apigee/customer/application/message-processor.properties
  2. Configure as propriedades usando esta sintaxe:
    # Possible values are a comma-delimited list of TLSv1, TLSv1.1, and TLSv1.2
    conf/system.properties+https.protocols=[TLSv1][,TLSv1.1][,TLSv1.2]
    # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2
    # SSLv3 is required
    conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3[,TLSv1][,TLSv1.1][,TLSv1.2]
    
    # Specify the ciphers that the Message Processor supports. (You must separate ciphers with a comma.):
    conf_message-processor-communication_local.http.ssl.ciphers=cipher[,...]

    Valores possíveis para conf_message-processor-communication_local.http.ssl.ciphers são:

    • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
    • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Exemplo:

    conf/system.properties+https.protocols=TLSv1.2
    conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1
    conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Para uma lista completa de propriedades relacionadas, consulte Configurar o TLS entre uma entre um roteador e um processador de mensagens.

  3. Salve as alterações.
  4. Verifique se o arquivo de propriedades é de propriedade da "apigee" usuário:
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  5. Reinicie o processador de mensagens:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
  6. Se você estiver usando TLS bidirecional com o back-end, defina o protocolo TLS no host virtual como estão descritos em Como configurar TLS da borda para o back-end (nuvem e nuvem privada).