تنظیم پروتکل TLS برای روتر و پردازشگر پیام

به طور پیش‌فرض، روتر و پردازشگر پیام از نسخه‌های 1.0، 1.1، 1.2 TLS پشتیبانی می‌کنند، اما ممکن است بخواهید پروتکل‌های پشتیبانی شده توسط روتر و پردازشگر پیام را محدود کنید. این سند نحوه تنظیم پروتکل به صورت سراسری بر روی روتر و پردازشگر پیام را توضیح می دهد.

برای روتر، شما همچنین می توانید پروتکل را برای میزبان های مجازی جداگانه تنظیم کنید. برای اطلاعات بیشتر به پیکربندی دسترسی TLS به یک API برای Private Cloud مراجعه کنید.

برای پردازشگر پیام، می توانید پروتکل را برای یک TargetEndpoint جداگانه تنظیم کنید. برای اطلاعات بیشتر به پیکربندی TLS از Edge به باطن (Cloud و Private Cloud) مراجعه کنید.

پروتکل TLS را روی روتر تنظیم کنید

برای تنظیم پروتکل TLS روی روتر، ویژگی ها را در فایل router.properties تنظیم کنید:

  1. فایل router.properties را در یک ویرایشگر باز کنید. اگر فایل وجود ندارد، آن را ایجاد کنید:
    vi /opt/apigee/customer/application/router.properties
  2. خواص را به صورت دلخواه تنظیم کنید:
    # Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2
    conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
  3. تغییرات خود را ذخیره کنید.
  4. مطمئن شوید که فایل خواص متعلق به کاربر "apigee" است:
     chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. راه اندازی مجدد روتر:
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
  6. با بررسی فایل Nginx /opt/nginx/conf.d/0-default.conf ، اطمینان حاصل کنید که پروتکل به درستی به روز شده است:
    cat /opt/nginx/conf.d/0-default.conf

    مطمئن شوید که مقدار ssl_protocols TLSv1.2 است.

  7. اگر از TLS دو طرفه با میزبان مجازی استفاده می‌کنید، باید پروتکل TLS را نیز همانطور که در پیکربندی دسترسی TLS به یک API برای Private Cloud توضیح داده شده است، در میزبان مجازی تنظیم کنید.

پروتکل TLS را روی پردازشگر پیام تنظیم کنید

برای تنظیم پروتکل TLS در پردازشگر پیام، خصوصیات را در فایل message-processor.properties تنظیم کنید:

  1. فایل message-processor.properties را در یک ویرایشگر باز کنید. اگر فایل وجود ندارد، آن را ایجاد کنید:
    vi /opt/apigee/customer/application/message-processor.properties
  2. ویژگی ها را با استفاده از نحو زیر پیکربندی کنید:
    # Possible values are a comma-delimited list of TLSv1, TLSv1.1, and TLSv1.2
    conf/system.properties+https.protocols=[TLSv1][,TLSv1.1][,TLSv1.2]
    # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2
    # SSLv3 is required
    conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3[,TLSv1][,TLSv1.1][,TLSv1.2]
    
    # Specify the ciphers that the Message Processor supports. (You must separate ciphers with a comma.):
    conf_message-processor-communication_local.http.ssl.ciphers=cipher[,...]

    مقادیر ممکن برای conf_message-processor-communication_local.http.ssl.ciphers عبارتند از:

    • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
    • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    به عنوان مثال:

    conf/system.properties+https.protocols=TLSv1.2
    conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1
    conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    برای فهرست کامل ویژگی‌های مرتبط، به پیکربندی TLS بین روتر و پردازشگر پیام مراجعه کنید.

  3. تغییرات خود را ذخیره کنید.
  4. مطمئن شوید که فایل خواص متعلق به کاربر "apigee" است:
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  5. پردازشگر پیام را مجددا راه اندازی کنید:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
  6. اگر از TLS دو طرفه با باطن استفاده می کنید، پروتکل TLS را در میزبان مجازی همانطور که در پیکربندی TLS از Edge به باطن (Cloud و Private Cloud) توضیح داده شده است، تنظیم کنید.