Menyetel protokol TLS untuk Router dan Pemroses Pesan

Secara {i>default<i}, {i>Router<i} dan Pemroses Pesan mendukung TLS versi 1.0, 1.1, 1.2. Namun, Anda membatasi protokol yang didukung oleh {i>Router<i} dan Pemroses Pesan. Dokumen ini menjelaskan cara menetapkan protokol secara global pada {i>Router<i} dan {i>Message Processor<i}.

Untuk Router, Anda juga dapat menetapkan protokol untuk host virtual individual. Lihat Mengonfigurasi akses TLS ke API untuk Private Cloud guna mengetahui informasi selengkapnya.

Untuk Pemroses Pesan, Anda dapat menetapkan protokol untuk setiap TargetEndpoint. Lihat Mengonfigurasi TLS dari Edge ke backend (Cloud dan Private Cloud) untuk mengetahui informasi selengkapnya.

Menetapkan protokol TLS di Router

Untuk menetapkan protokol TLS di Router, tetapkan properti di router.properties file:

  1. Buka file router.properties di editor. Jika file tidak ada, buat file tersebut:
    vi /opt/apigee/customer/application/router.properties
  2. Tetapkan properti sesuai keinginan:
    # Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2
    conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
  3. Simpan perubahan.
  4. Pastikan file properti dimiliki oleh "apigee" pengguna:
     chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. Mulai ulang Router:
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
  6. Verifikasi bahwa protokol diperbarui dengan benar dengan memeriksa file Nginx /opt/nginx/conf.d/0-default.conf:
    cat /opt/nginx/conf.d/0-default.conf

    Pastikan nilai untuk ssl_protocols adalah TLSv1.2.

  7. Jika Anda menggunakan TLS dua arah dengan {i> host<i} virtual, Anda juga harus mengatur protokol TLS di host virtual seperti yang dijelaskan dalam Mengonfigurasi akses TLS ke API untuk Private Cloud.

Menetapkan protokol TLS pada Message Pemroses

Untuk menetapkan protokol TLS pada Message Processor, tetapkan properti di bagian File message-processor.properties:

  1. Buka file message-processor.properties di . Jika file tidak ada, buat file tersebut:
    vi /opt/apigee/customer/application/message-processor.properties
  2. Konfigurasikan properti menggunakan sintaksis berikut:
    # Possible values are a comma-delimited list of TLSv1, TLSv1.1, and TLSv1.2
    conf/system.properties+https.protocols=[TLSv1][,TLSv1.1][,TLSv1.2]
    # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2
    # SSLv3 is required
    conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3[,TLSv1][,TLSv1.1][,TLSv1.2]
    
    # Specify the ciphers that the Message Processor supports. (You must separate ciphers with a comma.):
    conf_message-processor-communication_local.http.ssl.ciphers=cipher[,...]

    Nilai yang mungkin untuk conf_message-processor-communication_local.http.ssl.ciphers adalah:

    • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
    • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Contoh:

    conf/system.properties+https.protocols=TLSv1.2
    conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1
    conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Untuk mengetahui daftar lengkap properti terkait, lihat Mengonfigurasi TLS antara Router dan Pemroses Pesan.

  3. Simpan perubahan.
  4. Pastikan file properti dimiliki oleh "apigee" pengguna:
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  5. Mulai ulang Pemroses Pesan:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
  6. Jika Anda menggunakan TLS dua arah dengan backend, setel protokol TLS di {i>virtual host<i} sebagai yang dijelaskan dalam Mengonfigurasi TLS dari Edge ke backend (Cloud dan Private Cloud).