بشكل افتراضي، يدعم جهاز التوجيه ومعالج الرسائل الإصدارات 1.0 و1.1 و1.2 من بروتوكول أمان طبقة النقل (TLS)، ومع ذلك، الحد من البروتوكولات التي يعتمدها جهاز التوجيه ومعالج الرسائل. هذا المستند كيفية ضبط البروتوكول بشكل عام على جهاز التوجيه ومعالج الرسائل.
بالنسبة إلى جهاز التوجيه، يمكنك أيضًا تعيين البروتوكول للمضيفات الافتراضية الفردية. اطلع على تهيئة الدخول إلى بروتوكول أمان طبقة النقل (TLS) إلى واجهة برمجة تطبيقات للسحابة الإلكترونية الخاصة لمعرفة المزيد
بالنسبة إلى معالج الرسائل، يمكنك ضبط البروتوكول لنقطة نهاية هدف فردية. راجع تهيئة TLS من Edge إلى الخلفية (Cloud and Private Cloud) لمزيد من المعلومات.
ضبط بروتوكول أمان طبقة النقل (TLS) على جهاز التوجيه
لضبط بروتوكول أمان طبقة النقل (TLS) على جهاز التوجيه، عليك ضبط الخصائص في router.properties
الملف:
- فتح ملف
router.properties
في كمحرر. إذا لم يكن الملف متوفّرًا، أنشئه:vi /opt/apigee/customer/application/router.properties
- اضبط السمات على النحو المطلوب:
# Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2 conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
- احفظ التغييرات.
- تأكّد من أنّ ملف الخصائص يملكه "apigee". المستخدم:
chown apigee:apigee /opt/apigee/customer/application/router.properties
- أعِد تشغيل جهاز التوجيه:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- التحقق من تحديث البروتوكول بشكل صحيح من خلال فحص ملف Nginx
/opt/nginx/conf.d/0-default.conf
:cat /opt/nginx/conf.d/0-default.conf
تأكَّد من أنّ قيمة
ssl_protocols
هي TLSv1.2. - إذا كنت تستخدم بروتوكول أمان طبقة النقل (TLS) ثنائي الاتجاه مع مضيف افتراضي، فيجب عليك أيضًا تعيين بروتوكول TLS في كما هو موضح في تهيئة الدخول إلى بروتوكول أمان طبقة النقل (TLS) إلى واجهة برمجة التطبيقات الخاصة بالسحابة الإلكترونية الخاصة
إعداد بروتوكول أمان طبقة النقل (TLS) في الرسالة معالِج البيانات
لضبط بروتوكول أمان طبقة النقل (TLS) على معالج الرسائل، عيِّن الخصائص في
ملف message-processor.properties
:
- افتح ملف
message-processor.properties
في المحرِّر. إذا لم يكن الملف متوفّرًا، أنشئه:vi /opt/apigee/customer/application/message-processor.properties
- اضبط السمات باستخدام البنية التالية:
# Possible values are a comma-delimited list of TLSv1, TLSv1.1, and TLSv1.2 conf/system.properties+https.protocols=[TLSv1][,TLSv1.1][,TLSv1.2] # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2 # SSLv3 is required conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3[,TLSv1][,TLSv1.1][,TLSv1.2] # Specify the ciphers that the Message Processor supports. (You must separate ciphers with a comma.): conf_message-processor-communication_local.http.ssl.ciphers=cipher[,...]
القيم المحتملة لـ
conf_message-processor-communication_local.http.ssl.ciphers
هي:TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
على سبيل المثال:
conf/system.properties+https.protocols=TLSv1.2 conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1 conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
للحصول على قائمة كاملة بالمواقع ذات الصلة، راجِع تهيئة بروتوكول أمان طبقة النقل (TLS) بين جهاز التوجيه ومعالج الرسائل.
- احفظ التغييرات.
- تأكّد من أنّ ملف الخصائص يملكه "apigee". المستخدم:
chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
- إعادة تشغيل معالج الرسائل:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- إذا كنت تستخدم بروتوكول أمان طبقة النقل (TLS) ثنائي الاتجاه مع الخلفية، اضبط بروتوكول أمان طبقة النقل (TLS) في المضيف الظاهري على كما هو موضح في تهيئة بروتوكول أمان طبقة النقل (TLS) من Edge إلى الخلفية (السحابة الإلكترونية والسحابة الإلكترونية الخاصة).