Konfigurowanie protokołu TLS dla routera i procesora wiadomości

Domyślnie router i procesor wiadomości obsługują protokół TLS w wersjach 1.0, 1.1, 1.2, może chcieć ograniczyć protokoły obsługiwane przez router i procesor wiadomości. Ten dokument zawiera opis sposobu globalnego ustawiania protokołu w routerze i procesorze wiadomości.

W przypadku routera możesz też ustawić protokół dla poszczególnych hostów wirtualnych. Zobacz Konfigurowanie dostępu TLS do interfejsu API dla chmury Private Cloud.

W przypadku procesora wiadomości możesz ustawić protokół dla pojedynczego punktu docelowego. Zobacz Konfigurowanie TLS z Edge do backendu (Cloud i Private Cloud).

Ustawianie protokołu TLS w routerze

Aby ustawić protokół TLS w routerze, ustaw właściwości w: router.properties plik:

  1. Otwórz plik router.properties w redaktorem. Jeśli plik nie istnieje, utwórz go:
    vi /opt/apigee/customer/application/router.properties
  2. Ustaw właściwości:
    # Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2
    conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
  3. Zapisz zmiany.
  4. Sprawdź, czy plik właściwości należy do „apigee” użytkownik:
     chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. Ponownie uruchom router:
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
  6. Sprawdź, czy protokół został prawidłowo zaktualizowany, sprawdzając plik Nginx /opt/nginx/conf.d/0-default.conf:
    cat /opt/nginx/conf.d/0-default.conf

    Upewnij się, że wartość pola ssl_protocols to TLSv1.2.

  7. Jeśli używasz dwukierunkowego protokołu TLS na hoście wirtualnym, musisz też ustawić protokół TLS w hosta wirtualnego zgodnie z opisem w sekcji Konfigurowanie dostępu TLS do API dla Private Cloud.

Ustawianie protokołu TLS w Wiadomościach Procesor

Aby ustawić protokół TLS w procesorze wiadomości, ustaw właściwości w Plik message-processor.properties:

  1. Otwórz plik message-processor.properties w redaktorem. Jeśli plik nie istnieje, utwórz go:
    vi /opt/apigee/customer/application/message-processor.properties
  2. Skonfiguruj właściwości, używając tej składni:
    # Possible values are a comma-delimited list of TLSv1, TLSv1.1, and TLSv1.2
    conf/system.properties+https.protocols=[TLSv1][,TLSv1.1][,TLSv1.2]
    # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2
    # SSLv3 is required
    conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3[,TLSv1][,TLSv1.1][,TLSv1.2]
    
    # Specify the ciphers that the Message Processor supports. (You must separate ciphers with a comma.):
    conf_message-processor-communication_local.http.ssl.ciphers=cipher[,...]

    Możliwe wartości: conf_message-processor-communication_local.http.ssl.ciphers to:

    • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
    • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Na przykład:

    conf/system.properties+https.protocols=TLSv1.2
    conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1
    conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Pełną listę powiązanych właściwości znajdziesz tutaj: Konfigurowanie protokołu TLS między router i procesor wiadomości.

  3. Zapisz zmiany.
  4. Sprawdź, czy plik właściwości należy do „apigee” użytkownik:
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  5. Ponownie uruchom procesor wiadomości:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
  6. Jeśli używasz dwukierunkowego protokołu TLS z backendem, ustaw protokół TLS na hoście wirtualnym jako opisane w artykule Konfigurowanie TLS z Edge do backendu (Cloud i Private Cloud).