Configurazione di TLS tra un router e un processore di messaggi

Per impostazione predefinita, il protocollo TLS tra il router e il processore di messaggi è disattivato.

Per attivare la crittografia TLS tra un router e un processore di messaggi:

  1. Accertati che la porta 8082 sul processore di messaggi sia accessibile dal router.
  2. Genera il file JKS dell'archivio chiavi contenente la certificazione TLS e la chiave privata. Per ulteriori informazioni, consulta Configurazione di TLS/SSL per Edge On Locali.
  3. Copia il file JKS dell'archivio chiavi in una directory sul server del processore di messaggi, ad esempio come /opt/apigee/customer/application.
  4. Modifica le autorizzazioni e la proprietà del file JKS: 
    chown apigee:apigee /opt/apigee/customer/application/keystore.jks
chmod 600 /opt/apigee/customer/application/keystore.jks

    Dove keystore.jks è il nome del file dell'archivio chiavi.

  5. Modifica il file /opt/apigee/customer/application/message-processor.properties. Se il file non esiste, crealo.
  6. Imposta le seguenti proprietà nel file message-processor.properties: 
    conf_message-processor-communication_local.http.ssl=true
conf/message-processor-communication.properties+local.http.port=8443
conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keystore.jks
conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
# Enter the obfuscated keystore password below.
conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword

    Dove keystore.jks è il file dell'archivio chiavi e obsPword è il tuo archivio chiavi e password keyalias offuscati.

    Nota: Il valore di 

    conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
     deve essere uguale al valore fornito dall'opzione -alias alla keytool, descritto alla fine della sezione Creazione di un file JKS.

    Consulta Configurazione di TLS/SSL per Edge on-premise per le informazioni sulla generazione di una password offuscata.

  7. Assicurati che il file message-processor.properties appartenga all'app 'apigee' utente: 
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  8. Arresta i processori e router di messaggi: 
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
/opt/apigee/apigee-service/bin/apigee-service edge-router stop
  9. Sul router, elimina tutti i file nella directory /opt/nginx/conf.d: 
    rm -f /opt/nginx/conf.d/*
  10. Avvia i processori e i router di messaggi: 
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
/opt/apigee/apigee-service/bin/apigee-service edge-router start
  11. Ripeti questa procedura per ogni processore di messaggi.

Dopo aver abilitato TLS tra il router e il processore di messaggi, il file di log del processore di messaggi contiene questo messaggio INFO:

MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks

Questa istruzione INFO conferma che il protocollo TLS funziona tra il router e il messaggio Processore.

La tabella seguente elenca tutte le proprietà disponibili in message-processor.properties:

Proprietà Descrizione 
conf_message-processor-communication_local.
  http.host=localhost_or_IP_address
 (Facoltativo) Nome host per l'ascolto delle connessioni del router. Questo sostituisce l'host nome configurato al momento della registrazione. 
conf/message-processor-communication.
  properties+local.http.port=8998
 (Facoltativo) Porta per ascoltare le connessioni del router. Il valore predefinito è 8998. 
conf_message-processor-communication_local.
  http.ssl=[ false | true ]
 Imposta l'opzione su true per attivare TLS/SSL. Il valore predefinito è false. Quando TLS/SSL è attivato, devi impostare local.http.ssl.keystore.path e local.http.ssl.keyalias. 
conf/message-processor-communication.
  properties+local.http.ssl.keystore.path=
 Percorso del file system locale dell'archivio chiavi (JKS o PKCS12). Obbligatorio quando local.http.ssl=true. 
conf/message-processor-communication.
  properties+local.http.ssl.keyalias=
 Alias chiave dell'archivio chiavi da utilizzare per le connessioni TLS/SSL. Obbligatorio quando local.http.ssl=true. 
conf/message-processor-communication.
  properties+local.http.ssl.keyalias.password=
 Password utilizzata per criptare la chiave all'interno dell'archivio chiavi. Utilizza una password offuscata nel seguente formato: 
OBF:obsPword
 
conf/message-processor-communication.
  properties+local.http.ssl.keystore.type=jks
 Tipo di archivio chiavi. Al momento sono supportati solo JKS e PKCS12. Il valore predefinito è JKS. 
conf/message-processor-communication.
  properties+local.http.ssl.keystore.password=
 (Facoltativo) password offuscata per l'archivio chiavi. Utilizza una password offuscata nel seguente formato: 
OBF:obsPword
 
conf_message-processor-communication_local.
  http.ssl.ciphers=cipher1,cipher2
 (Facoltativo) Quando sono configurate, sono consentite solo le crittografie elencate. Se omesso, utilizza tutti crittografie supportate dal JDK.