Définir le protocole TLS pour le routeur et le processeur de messages

Par défaut, le routeur et le processeur de messages sont compatibles avec les versions 1.0, 1.1 et 1.2 de TLS. Toutefois, vous pourrait vouloir limiter les protocoles pris en charge par le routeur et le processeur de messages. Ce document décrit comment définir le protocole globalement sur le routeur et le processeur de messages.

Pour le routeur, vous pouvez également définir le protocole pour des hôtes virtuels individuels. Voir Configuration de l'accès TLS à une API sur le Private Cloud.

Pour le processeur de messages, vous pouvez définir le protocole d'un TargetEndpoint individuel. Voir la section Configuration de TLS d'Edge au backend (cloud et cloud privé).

Définir le protocole TLS sur le routeur

Pour définir le protocole TLS sur le routeur, définissez les propriétés dans router.properties :

  1. Ouvrir le fichier router.properties dans un éditeur. Si le fichier n'existe pas, créez-le:
    vi /opt/apigee/customer/application/router.properties
  2. Définissez les propriétés comme vous le souhaitez:
    # Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2
    conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
  3. Enregistrez les modifications.
  4. Assurez-vous que le fichier de propriétés appartient à "apigee" utilisateur:
     chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. Redémarrez le routeur:
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
  6. Vérifiez que le protocole est correctement mis à jour en examinant le fichier Nginx /opt/nginx/conf.d/0-default.conf:
    cat /opt/nginx/conf.d/0-default.conf

    Assurez-vous que la valeur de ssl_protocols est TLSv1.2.

  7. Si vous utilisez le protocole TLS bidirectionnel avec un hôte virtuel, vous devez également définir le protocole TLS dans le hôte virtuel, comme décrit dans la section Configuration de l'accès TLS à un pour le cloud privé.

Définir le protocole TLS sur le message Processeur

Pour définir le protocole TLS sur le processeur de messages, définissez les propriétés dans la Fichier message-processor.properties:

  1. Ouvrez le fichier message-processor.properties dans un éditeur. Si le fichier n'existe pas, créez-le:
    vi /opt/apigee/customer/application/message-processor.properties
  2. Configurez les propriétés à l'aide de la syntaxe suivante:
    # Possible values are a comma-delimited list of TLSv1, TLSv1.1, and TLSv1.2
    conf/system.properties+https.protocols=[TLSv1][,TLSv1.1][,TLSv1.2]
    # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2
    # SSLv3 is required
    conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3[,TLSv1][,TLSv1.1][,TLSv1.2]
    
    # Specify the ciphers that the Message Processor supports. (You must separate ciphers with a comma.):
    conf_message-processor-communication_local.http.ssl.ciphers=cipher[,...]

    Valeurs possibles pour Les conf_message-processor-communication_local.http.ssl.ciphers sont:

    • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
    • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Exemple :

    conf/system.properties+https.protocols=TLSv1.2
    conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1
    conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Pour obtenir la liste complète des propriétés associées, consultez Configuration du protocole TLS entre et un processeur de messages.

  3. Enregistrez les modifications.
  4. Assurez-vous que le fichier de propriétés appartient à "apigee" utilisateur:
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  5. Redémarrez le processeur de messages:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
  6. Si vous utilisez le protocole TLS bidirectionnel avec le backend, définissez le protocole TLS dans l'hôte virtuel en tant que décrit dans la section Configuration de TLS d'Edge au backend (cloud et cloud privé).