Router と Message Processor の TLS プロトコルの設定

デフォルトでは、Router と Message Processor は TLS バージョン 1.0、1.1、1.2 をサポートしていますが、 Router と Message Processor でサポートされるプロトコルを制限できます。このドキュメント Router と Message Processor でプロトコルをグローバルに設定する方法について説明します。

Router では、個々の仮想ホストのプロトコルを設定することもできます。API への TLS アクセスを構成する プライベート クラウド向けのサービスをご覧ください。

Message Processor では、個々の TargetEndpoint のプロトコルを設定できます。 詳細については、TLS の構成 (Cloud と Private Cloud)をご覧ください。

Router で TLS プロトコルを設定する

Router で TLS プロトコルを設定するには、router.properties のプロパティを設定します。 ファイル:

  1. router.properties ファイルを次の場所で開きます。 できます。ファイルが存在しない場合は作成します。
    vi /opt/apigee/customer/application/router.properties
  2. 必要に応じてプロパティを設定します。
    # Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2
    conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
  3. 変更を保存します。
  4. プロパティ ファイルの所有者を「apigee」にします。user:
     chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. Router を再起動します。
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
  6. Nginx ファイルを調べて、プロトコルが正しく更新されていることを確認する /opt/nginx/conf.d/0-default.conf:
    cat /opt/nginx/conf.d/0-default.conf

    ssl_protocols の値が TLSv1.2 であることを確認します。

  7. 仮想ホストで双方向 TLS を使用している場合は、 (外部 IP アドレスへの TLS アクセスの構成を参照) プライベート クラウド用の API をご覧ください。

メッセージに TLS プロトコルを設定する プロセッサ

Message Processor で TLS プロトコルを設定するには、 message-processor.properties ファイル:

  1. message-processor.properties ファイルを クリックします。ファイルが存在しない場合は作成します。
    vi /opt/apigee/customer/application/message-processor.properties
  2. 次の構文を使用してプロパティを構成します。
    # Possible values are a comma-delimited list of TLSv1, TLSv1.1, and TLSv1.2
    conf/system.properties+https.protocols=[TLSv1][,TLSv1.1][,TLSv1.2]
    # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2
    # SSLv3 is required
    conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3[,TLSv1][,TLSv1.1][,TLSv1.2]
    
    # Specify the ciphers that the Message Processor supports. (You must separate ciphers with a comma.):
    conf_message-processor-communication_local.http.ssl.ciphers=cipher[,...]

    指定できる値: conf_message-processor-communication_local.http.ssl.ciphers:

    • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
    • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    例:

    conf/system.properties+https.protocols=TLSv1.2
    conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1
    conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    関連するプロパティの一覧については、以下をご覧ください。 オンプレミス ネットワーク間の TLS の構成 Router と Message Processor です

  3. 変更を保存します。
  4. プロパティ ファイルの所有者を「apigee」にします。user:
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  5. Message Processor を再起動します。
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
  6. バックエンドで双方向 TLS を使用している場合は、仮想ホストで TLS プロトコルを TLS の構成 Edge からバックエンド(Cloud と Private Cloud)