به طور پیشفرض، روتر و پردازشگر پیام از نسخههای 1.0، 1.1، 1.2 TLS پشتیبانی میکنند، اما ممکن است بخواهید پروتکلهای پشتیبانی شده توسط روتر و پردازشگر پیام را محدود کنید. این سند نحوه تنظیم پروتکل به صورت سراسری بر روی روتر و پردازشگر پیام را توضیح می دهد.
برای روتر، شما همچنین می توانید پروتکل را برای میزبان های مجازی جداگانه تنظیم کنید. برای اطلاعات بیشتر به پیکربندی دسترسی TLS به یک API برای Private Cloud مراجعه کنید.
برای پردازشگر پیام، می توانید پروتکل را برای یک TargetEndpoint جداگانه تنظیم کنید. برای اطلاعات بیشتر به پیکربندی TLS از Edge به باطن (Cloud و Private Cloud) مراجعه کنید.
پروتکل TLS را روی روتر تنظیم کنید
برای تنظیم پروتکل TLS روی روتر، ویژگی ها را در فایل router.properties
تنظیم کنید:
- فایل
router.properties
را در یک ویرایشگر باز کنید. اگر فایل وجود ندارد، آن را ایجاد کنید:vi /opt/apigee/customer/application/router.properties
- خواص را به صورت دلخواه تنظیم کنید:
# Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2 conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
- تغییرات خود را ذخیره کنید.
- مطمئن شوید که فایل خواص متعلق به کاربر "apigee" است:
chown apigee:apigee /opt/apigee/customer/application/router.properties
- راه اندازی مجدد روتر:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- با بررسی فایل Nginx
/opt/nginx/conf.d/0-default.conf
، اطمینان حاصل کنید که پروتکل به درستی به روز شده است:cat /opt/nginx/conf.d/0-default.conf
مطمئن شوید که مقدار
ssl_protocols
TLSv1.2 است. - اگر از TLS دو طرفه با میزبان مجازی استفاده میکنید، باید پروتکل TLS را نیز همانطور که در پیکربندی دسترسی TLS به یک API برای Private Cloud توضیح داده شده است، در میزبان مجازی تنظیم کنید.
پروتکل TLS را روی پردازشگر پیام تنظیم کنید
برای تنظیم پروتکل TLS در پردازشگر پیام، خصوصیات را در فایل message-processor.properties
تنظیم کنید:
- فایل
message-processor.properties
را در یک ویرایشگر باز کنید. اگر فایل وجود ندارد، آن را ایجاد کنید:vi /opt/apigee/customer/application/message-processor.properties
- ویژگی ها را با استفاده از نحو زیر پیکربندی کنید:
# Possible values are a comma-delimited list of TLSv1, TLSv1.1, and TLSv1.2 conf/system.properties+https.protocols=[TLSv1][,TLSv1.1][,TLSv1.2] # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2 # SSLv3 is required conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3[,TLSv1][,TLSv1.1][,TLSv1.2] # Specify the ciphers that the Message Processor supports. (You must separate ciphers with a comma.): conf_message-processor-communication_local.http.ssl.ciphers=cipher[,...]
مقادیر ممکن برای
conf_message-processor-communication_local.http.ssl.ciphers
عبارتند از:-
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
-
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
-
TLS_RSA_WITH_AES_256_GCM_SHA384
-
TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
-
TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
-
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
-
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
به عنوان مثال:
conf/system.properties+https.protocols=TLSv1.2 conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1 conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
برای فهرست کامل ویژگیهای مرتبط، به پیکربندی TLS بین روتر و پردازشگر پیام مراجعه کنید.
-
- تغییرات خود را ذخیره کنید.
- مطمئن شوید که فایل خواص متعلق به کاربر "apigee" است:
chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
- پردازشگر پیام را مجددا راه اندازی کنید:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- اگر از TLS دو طرفه با باطن استفاده می کنید، پروتکل TLS را در میزبان مجازی همانطور که در پیکربندی TLS از Edge به باطن (Cloud و Private Cloud) توضیح داده شده است، تنظیم کنید.