デフォルトでは、Router と Message Processor は TLS バージョン 1.0、1.1、1.2 をサポートしていますが、Router と Message Processor でサポートされるプロトコルを制限したい場合があります。このドキュメントでは、Router と Message Processor でプロトコルをグローバルに設定する方法について説明します。
Router では、個々の仮想ホストのプロトコルも設定できます。詳細については、Private Cloud 用 API への TLS アクセスの構成をご覧ください。
Message Processor では、個々の TargetEndpoint のプロトコルを設定できます。詳細については、Edge からバックエンドへの TLS の構成(Cloud、Private Cloud)をご覧ください。
Router での TLS プロトコルの設定
Router で TLS プロトコルを設定するには、router.properties
ファイルでプロパティを設定します。
router.properties
ファイルをエディタで開きます。ファイルが存在しない場合は作成します。vi /opt/apigee/customer/application/router.properties
- 必要に応じてプロパティを設定します。
# Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2 conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
- 変更を保存します。
- プロパティ ファイルの所有者を「apigee」ユーザーにします。
chown apigee:apigee /opt/apigee/customer/application/router.properties
- Router を再起動します。
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- Nginx の
/opt/nginx/conf.d/0-default.conf
ファイルを調べて、プロトコルが正しく更新されていることを確認します。cat /opt/nginx/conf.d/0-default.conf
ssl_protocols
の値が TLSv1.2 になっていることを確認します。 - 仮想ホストに対する双方向 TLS を使用する場合は、Private Cloud 用 API への TLS アクセスの構成の説明に従って、仮想ホストでも TLS プロトコルを設定する必要があります。
Message Processor での TLS プロトコルの設定
Message Processor で TLS プロトコルを設定するには、message-processor.properties
ファイルでプロパティを設定します。
message-processor.properties
ファイルをエディタで開きます。ファイルが存在しない場合は作成します。vi /opt/apigee/customer/application/message-processor.properties
- 次の構文を使用してプロパティを構成します。
# Possible values are a comma-delimited list of TLSv1, TLSv1.1, and TLSv1.2 conf/system.properties+https.protocols=[TLSv1][,TLSv1.1][,TLSv1.2] # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2 # SSLv3 is required conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3[,TLSv1][,TLSv1.1][,TLSv1.2] # Specify the ciphers that the Message Processor supports. (You must separate ciphers with a comma.): conf_message-processor-communication_local.http.ssl.ciphers=cipher[,...]
conf_message-processor-communication_local.http.ssl.ciphers
に指定できる値は次のとおりです。TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
例:
conf/system.properties+https.protocols=TLSv1.2 conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1 conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
関連プロパティの完全なリストについては、Router と Message Processor 間の TLS の構成をご覧ください。
- 変更を保存します。
- プロパティ ファイルの所有者を「apigee」ユーザーにします。
chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
- Message Processor を再起動します。
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- バックエンドに対する双方向 TLS を使用する場合は、Edge からバックエンドへの TLS の構成(Cloud、Private Cloud)の説明に従って、仮想ホストで TLS プロトコルを設定します。