Configuration de TLS entre un routeur et un processeur de messages

Par défaut, le protocole TLS entre le routeur et le processeur de messages est désactivé.

Pour activer le chiffrement TLS entre un routeur et un processeur de messages:

  1. Assurez-vous que le routeur de messagerie peut accéder au port 8082 du processeur de messages.
  2. Générez le fichier JKS du keystore contenant votre certification TLS et votre clé privée. Pour en savoir plus, voir Configuration de TLS/SSL pour Edge On Locaux.
  3. Copiez le fichier JKS du keystore dans un répertoire du serveur de traitement des messages, tel que en tant que /opt/apigee/customer/application.
  4. Modifiez les autorisations et la propriété du fichier JKS: 
    chown apigee:apigee /opt/apigee/customer/application/keystore.jks
chmod 600 /opt/apigee/customer/application/keystore.jks

    keystore.jks est le nom de votre fichier keystore.

  5. Modifiez le fichier /opt/apigee/customer/application/message-processor.properties. Si le fichier n'existe pas, créez-le.
  6. Définissez les propriétés suivantes dans le fichier message-processor.properties: 
    conf_message-processor-communication_local.http.ssl=true
conf/message-processor-communication.properties+local.http.port=8443
conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keystore.jks
conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
# Enter the obfuscated keystore password below.
conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword

    keystore.jks est votre fichier keystore et où obsPword est votre keystore et mot de passe keyalias obscurcis.

    Remarque: La valeur 

    conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
    doit être identique à la valeur fournie par l'option -alias pour keytool, décrite à la fin de cette section La création d'un fichier JKS.

    Voir Configuration de TLS/SSL pour Edge On Premises pour sur la génération d'un mot de passe obscurci.

  7. Assurez-vous que le fichier message-processor.properties appartient à "apigee" utilisateur: 
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  8. Arrêtez les processeurs et les routeurs de messages: 
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
/opt/apigee/apigee-service/bin/apigee-service edge-router stop
  9. Sur le routeur, supprimez tous les fichiers du répertoire /opt/nginx/conf.d: 
    rm -f /opt/nginx/conf.d/*
  10. Démarrez les processeurs et routeurs de messages: 
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
/opt/apigee/apigee-service/bin/apigee-service edge-router start
  11. Répétez ce processus pour chaque processeur de messages.

Une fois le protocole TLS activé entre le routeur et le processeur de messages, le fichier journal du processeur de messages contient le message INFO suivant:

MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks

Cette instruction INFO confirme que le protocole TLS fonctionne entre le routeur et le message Processeur.

Le tableau suivant répertorie toutes les propriétés disponibles dans message-processor.properties:

Propriétés Description 
conf_message-processor-communication_local.
  http.host=localhost_or_IP_address
 Facultatif. Nom d'hôte à écouter pour les connexions de routeur. Cette valeur remplace l'hôte configuré lors de l'enregistrement. 
conf/message-processor-communication.
  properties+local.http.port=8998
 Facultatif. Port sur lequel écouter les connexions du routeur. La valeur par défaut est 8998. 
conf_message-processor-communication_local.
  http.ssl=[ false | true ]
 Définissez cette valeur sur true pour activer TLS/SSL. La valeur par défaut est false. Quand ? TLS/SSL est activé, vous devez définir local.http.ssl.keystore.path et local.http.ssl.keyalias 
conf/message-processor-communication.
  properties+local.http.ssl.keystore.path=
 Chemin d'accès au système de fichiers local du keystore (JKS ou PKCS12). Obligatoire lorsque local.http.ssl=true 
conf/message-processor-communication.
  properties+local.http.ssl.keyalias=
 Alias de clé du keystore à utiliser pour les connexions TLS/SSL. Obligatoire lorsque local.http.ssl=true 
conf/message-processor-communication.
  properties+local.http.ssl.keyalias.password=
 Mot de passe utilisé pour chiffrer la clé dans le keystore. Utiliser un mot de passe obscurci au format suivant: 
OBF:obsPword
 
conf/message-processor-communication.
  properties+local.http.ssl.keystore.type=jks
 Type de keystore. Seuls JKS et PKCS12 sont actuellement compatibles. La valeur par défaut est JKS. 
conf/message-processor-communication.
  properties+local.http.ssl.keystore.password=
 Facultatif. Mot de passe brouillé pour le keystore. Utilisez un mot de passe obscurci dans le format suivant: 
OBF:obsPword
 
conf_message-processor-communication_local.
  http.ssl.ciphers=cipher1,cipher2
 Facultatif. Si vous les configurez, seuls les algorithmes de chiffrement répertoriés sont autorisés. En cas d'omission, utilisez tous de chiffrements pris en charge par le JDK.