โดยค่าเริ่มต้น เราเตอร์และตัวประมวลผลข้อความจะสนับสนุน TLS เวอร์ชัน 1.0, 1.1, 1.2 อย่างไรก็ตาม อาจต้องการจำกัดโปรโตคอลที่เราเตอร์และตัวประมวลผลข้อความสนับสนุน เอกสารนี้ อธิบายวิธีตั้งค่าโปรโตคอลทั่วโลกบนเราเตอร์และตัวประมวลผลข้อความ
สำหรับเราเตอร์ คุณยังสามารถตั้งค่าโปรโตคอลสำหรับโฮสต์เสมือนแต่ละรายการได้ด้วย โปรดดูการกำหนดค่าการเข้าถึง TLS สำหรับ API Private Cloud เพิ่มเติม
สำหรับโปรแกรมประมวลผลข้อความ คุณจะตั้งค่าโปรโตคอลสำหรับ TargetEndpoint แต่ละรายการได้ โปรดดูการกำหนดค่า TLS จาก Edge ไปยังแบ็กเอนด์ (Cloud และ Private Cloud) เพื่อให้ข้อมูลเพิ่มเติม
ตั้งค่าโปรโตคอล TLS บนเราเตอร์
หากต้องการตั้งค่าโปรโตคอล TLS บนเราเตอร์ ให้ตั้งค่าพร็อพเพอร์ตี้ใน router.properties
ไฟล์:
- เปิดไฟล์
router.properties
ใน เอดิเตอร์ หากไม่มีไฟล์ ให้สร้างตามขั้นตอนต่อไปนี้vi /opt/apigee/customer/application/router.properties
- ตั้งค่าพร็อพเพอร์ตี้ตามต้องการดังนี้
# Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2 conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
- บันทึกการเปลี่ยนแปลง
- ตรวจสอบว่าไฟล์พร็อพเพอร์ตี้เป็นของ "apigee" ผู้ใช้:
chown apigee:apigee /opt/apigee/customer/application/router.properties
- รีสตาร์ทเราเตอร์ดังนี้
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- ตรวจสอบว่าโปรโตคอลมีการอัปเดตอย่างถูกต้องโดยตรวจสอบไฟล์ Nginx
/opt/nginx/conf.d/0-default.conf
:cat /opt/nginx/conf.d/0-default.conf
ตรวจสอบว่าค่าของ
ssl_protocols
เป็น TLSv1.2 - หากคุณกำลังใช้ TLS แบบ 2 ทางกับโฮสต์เสมือน คุณต้องตั้งค่าโปรโตคอล TLS ใน โฮสต์เสมือนตามที่อธิบายไว้ในการกำหนดค่าการเข้าถึง TLS สำหรับ API สำหรับ Private Cloud
ตั้งค่าโปรโตคอล TLS ในข้อความ ผู้ประมวลผลข้อมูล
หากต้องการตั้งค่าโปรโตคอล TLS ใน Message Processor ให้ตั้งค่าคุณสมบัติใน
message-processor.properties
ไฟล์:
- เปิดไฟล์
message-processor.properties
ใน Editor หากไม่มีไฟล์ ให้สร้างตามขั้นตอนต่อไปนี้vi /opt/apigee/customer/application/message-processor.properties
- กําหนดค่าพร็อพเพอร์ตี้โดยใช้ไวยากรณ์ต่อไปนี้
# Possible values are a comma-delimited list of TLSv1, TLSv1.1, and TLSv1.2 conf/system.properties+https.protocols=[TLSv1][,TLSv1.1][,TLSv1.2] # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2 # SSLv3 is required conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3[,TLSv1][,TLSv1.1][,TLSv1.2] # Specify the ciphers that the Message Processor supports. (You must separate ciphers with a comma.): conf_message-processor-communication_local.http.ssl.ciphers=cipher[,...]
ค่าที่เป็นไปได้สำหรับ
conf_message-processor-communication_local.http.ssl.ciphers
ได้แก่TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
เช่น
conf/system.properties+https.protocols=TLSv1.2 conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1 conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
ดูรายการที่พักที่เกี่ยวข้องทั้งหมดได้ที่ การกำหนดค่า TLS ระหว่าง เราเตอร์และ Message Processor
- บันทึกการเปลี่ยนแปลง
- ตรวจสอบว่าไฟล์พร็อพเพอร์ตี้เป็นของ "apigee" ผู้ใช้:
chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
- รีสตาร์ทโปรแกรมประมวลผลข้อความ
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- ถ้าคุณใช้ TLS แบบ 2 ทางกับแบ็กเอนด์ ให้ตั้งค่าโปรโตคอล TLS ในโฮสต์เสมือนเป็น ตามที่อธิบายไว้ในการกำหนดค่า TLS จาก Edge ไปยังแบ็กเอนด์ (ระบบคลาวด์และ Private Cloud)