โดยค่าเริ่มต้น TLS ระหว่างเราเตอร์และผู้ประมวลผลข้อความจะถูกปิดใช้งาน
วิธีเปิดใช้การเข้ารหัส TLS ระหว่างเราเตอร์และผู้ประมวลผลข้อความ
- ตรวจสอบว่าพอร์ต 8082 บนตัวประมวลผลข้อความสามารถเข้าถึงได้จากเราเตอร์
- สร้างไฟล์ Jstore โดยใช้คีย์สโตร์ที่มีใบรับรอง TLS และคีย์ส่วนตัว ดูข้อมูลเพิ่มเติมได้ที่การกําหนดค่า TLS/SSL สําหรับสถานที่ภายในองค์กรที่ใช้ Edge On
- คัดลอกไฟล์ JKS จากคีย์สโตร์ไปยังไดเรกทอรีในเซิร์ฟเวอร์ตัวประมวลผลข้อความ เช่น
/opt/apigee/customer/application
- เปลี่ยนสิทธิ์และการเป็นเจ้าของไฟล์ JKS:
chown apigee:apigee /opt/apigee/customer/application/keystore.jks
chmod 600 /opt/apigee/customer/application/keystore.jks
โดยที่
keystore.jks
คือชื่อไฟล์คีย์สโตร์ - แก้ไขไฟล์
/opt/apigee/customer/application/message-processor.properties
หากไม่มีไฟล์ ให้สร้างขึ้นมา - กําหนดพร็อพเพอร์ตี้ต่อไปนี้ในไฟล์
message-processor.properties
conf_message-processor-communication_local.http.ssl=true conf/message-processor-communication.properties+local.http.port=8443 conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keystore.jks conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest # Enter the obfuscated keystore password below. conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword
โดยที่
keystore.jks
คือไฟล์คีย์สโตร์ของคุณ และ obsPword คือคีย์สโตร์คีย์และรหัสผ่านที่สร้างความสับสนหมายเหตุ: ค่าของ
conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
ต้องเป็นค่าเดียวกันกับค่าที่ระบุโดยตัวเลือก-alias
ไปยังคําสั่งkeytool
ตามที่อธิบายไว้ในตอนท้ายของส่วนการสร้างไฟล์ JKSดูการกําหนดค่า TLS/SSL สําหรับสถานที่ภายในองค์กร Edge สําหรับข้อมูลเกี่ยวกับการสร้างรหัสผ่านที่มีความสับสน
- โปรดตรวจสอบว่าไฟล์
message-processor.properties
เป็นของผู้ใช้ "apigee"chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
- หยุดตัวประมวลผลข้อความและเราเตอร์:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
/opt/apigee/apigee-service/bin/apigee-service edge-router stop
- ลบไฟล์ใดๆ ในไดเรกทอรี
/opt/nginx/conf.d
ในเราเตอร์ดังนี้rm -f /opt/nginx/conf.d/*
- เริ่มตัวประมวลผลข้อความและเราเตอร์โดยทําดังนี้
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
/opt/apigee/apigee-service/bin/apigee-service edge-router start
- ทําขั้นตอนนี้ซ้ําสําหรับผู้ประมวลผลข้อมูลข้อความแต่ละราย
หลังจากที่เปิดใช้ TLS ระหว่างเราเตอร์และผู้ประมวลผลข้อความแล้ว ไฟล์บันทึกข้อความสําหรับผู้ประมวลผลข้อมูลจะมีข้อความ INFO
ต่อไปนี้
MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks
คําสั่ง INFO
นี้ยืนยันว่า TLS ทํางานระหว่างเราเตอร์และผู้ประมวลผลข้อความได้
ตารางต่อไปนี้แสดงรายการพร็อพเพอร์ตี้ทั้งหมดที่มีใน message-processor.properties
พร็อพเพอร์ตี้ | คำอธิบาย |
---|---|
conf_message-processor-communication_local. http.host=localhost_or_IP_address |
ไม่บังคับ ชื่อโฮสต์ที่จะฟังเมื่อมีการเชื่อมต่อเราเตอร์ การดําเนินการนี้จะแทนที่ชื่อโฮสต์ที่กําหนดค่าไว้เมื่อลงทะเบียน |
conf/message-processor-communication. properties+local.http.port=8998 |
ไม่บังคับ พอร์ตสําหรับฟังการเชื่อมต่อสําหรับเราเตอร์ ค่าเริ่มต้นคือ 8998 |
conf_message-processor-communication_local. http.ssl=[ false | true ] |
ตั้งค่าเป็น true เพื่อเปิดใช้ TLS/SSL ค่าเริ่มต้นคือ false เมื่อเปิดใช้ TLS/SSL คุณต้องตั้งค่า local.http.ssl.keystore.path และ local.http.ssl.keyalias
|
conf/message-processor-communication. properties+local.http.ssl.keystore.path= |
เส้นทางระบบไฟล์ในเครื่องไปยังคีย์สโตร์ (JKS หรือ PKCS12) บังคับเมื่อ local.http.ssl=true |
conf/message-processor-communication. properties+local.http.ssl.keyalias= |
ชื่อแทนคีย์จากคีย์สโตร์ที่จะใช้สําหรับการเชื่อมต่อ TLS/SSL บังคับเมื่อ local.http.ssl=true |
conf/message-processor-communication. properties+local.http.ssl.keyalias.password= |
รหัสผ่านที่ใช้สําหรับการเข้ารหัสคีย์ภายในคีย์สโตร์ ใช้รหัสผ่านที่สร้างความสับสนในรูปแบบต่อไปนี้ OBF:obsPword |
conf/message-processor-communication. properties+local.http.ssl.keystore.type=jks |
ประเภทคีย์สโตร์ ขณะนี้ระบบรองรับเฉพาะ JKS และ PKCS12 เท่านั้น ค่าเริ่มต้นคือ JKS |
conf/message-processor-communication. properties+local.http.ssl.keystore.password= |
ไม่บังคับ รหัสผ่านที่สร้างความสับสนสําหรับคีย์สโตร์ ใช้รหัสผ่านที่สร้างความสับสนในรูปแบบต่อไปนี้ OBF:obsPword |
conf_message-processor-communication_local. http.ssl.ciphers=cipher1,cipher2 |
ไม่บังคับ เมื่อกําหนดค่าแล้ว ระบบจะอนุญาตเฉพาะตัวเข้ารหัสที่แสดงอยู่เท่านั้น หากไม่ระบุ ให้ใช้การเข้ารหัสทั้งหมดที่ JDK รองรับ |