Por padrão, o TLS entre o roteador e o processador de mensagens está desativado.
Para ativar a criptografia TLS entre um roteador e um processador de mensagens:
- Verifique se a porta 8082 no processador de mensagens pode ser acessada pelo roteador.
- Gere o arquivo JKS do keystore que contém sua certificação TLS e chave privada. Para mais informações, consulte Como configurar o TLS/SSL para o Edge On-Premises.
- Copie o arquivo JKS do keystore para um diretório no servidor do Processador de mensagens, como
/opt/apigee/customer/application
. - Altere as permissões e a propriedade do arquivo JKS:
chown apigee:apigee /opt/apigee/customer/application/keystore.jks
chmod 600 /opt/apigee/customer/application/keystore.jks
Em que
keystore.jks
é o nome do arquivo do keystore. - Edite o arquivo
/opt/apigee/customer/application/message-processor.properties
. Se o arquivo não existir, crie-o. - Defina as seguintes propriedades no arquivo
message-processor.properties
:conf_message-processor-communication_local.http.ssl=true conf/message-processor-communication.properties+local.http.port=8443 conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keystore.jks conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest # Enter the obfuscated keystore password below. conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword
Em que
keystore.jks
é o arquivo de keystore e obsPword é a senha ofuscada de keystore e keyalias.Observação: o valor de
conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
precisa ser igual ao valor fornecido pela opção-alias
para o comandokeytool
, descrito no final da seção Como criar um arquivo JKS.Consulte Como configurar TLS/SSL para o Edge On-Premises (em inglês) para informações sobre como gerar uma senha ofuscada.
- Verifique se o arquivo
message-processor.properties
pertence ao usuário "apigee":chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
- Pare os processadores de mensagens e roteadores:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
/opt/apigee/apigee-service/bin/apigee-service edge-router stop
- No roteador, exclua todos os arquivos no diretório
/opt/nginx/conf.d
:rm -f /opt/nginx/conf.d/*
- Inicie os processadores e roteadores de mensagem:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
/opt/apigee/apigee-service/bin/apigee-service edge-router start
- Repita esse processo para cada processador de mensagens.
Depois que o TLS for ativado entre o roteador e o processador de mensagens, o arquivo de registro do processador de mensagens conterá esta mensagem INFO
:
MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks
Essa instrução INFO
confirma que o TLS está funcionando entre o roteador e o processador de mensagens.
A tabela a seguir lista todas as propriedades disponíveis em message-processor.properties
:
Propriedades | Descrição |
---|---|
conf_message-processor-communication_local. http.host=localhost_or_IP_address |
Opcional. Nome do host para detectar conexões do roteador. Isso substitui o nome do host configurado no registro. |
conf/message-processor-communication. properties+local.http.port=8998 |
Opcional. Porta para detectar conexões do roteador. O padrão é 8998. |
conf_message-processor-communication_local. http.ssl=[ false | true ] |
Defina como true para ativar TLS/SSL. O padrão é false . Quando
TLS/SSL estiver ativado, defina local.http.ssl.keystore.path e
local.http.ssl.keyalias .
|
conf/message-processor-communication. properties+local.http.ssl.keystore.path= |
Caminho do sistema de arquivos local para o keystore (JKS ou PKCS12). Obrigatório quando local.http.ssl=true . |
conf/message-processor-communication. properties+local.http.ssl.keyalias= |
Alias de chave do keystore a ser usado para conexões TLS/SSL. Obrigatório quando local.http.ssl=true . |
conf/message-processor-communication. properties+local.http.ssl.keyalias.password= |
Senha usada para criptografar a chave dentro do keystore. Use uma senha ofuscada no seguinte formato: OBF:obsPword |
conf/message-processor-communication. properties+local.http.ssl.keystore.type=jks |
Tipo de keystore. Apenas o JKS e o PKCS12 são compatíveis no momento. O padrão é JKS. |
conf/message-processor-communication. properties+local.http.ssl.keystore.password= |
Opcional. Senha ofuscada do keystore. Use uma senha ofuscada no seguinte formato: OBF:obsPword |
conf_message-processor-communication_local. http.ssl.ciphers=cipher1,cipher2 |
Opcional. Quando configuradas, somente as criptografias listadas são permitidas. Se omitido, use todas as criptografias compatíveis com o JDK. |