Cómo configurar TLS entre un router y un procesador de mensajes

De forma predeterminada, la TLS entre el router y el procesador de mensajes está inhabilitada.

Para habilitar la encriptación TLS entre un router y un Message Processor, haz lo siguiente:

  1. Asegúrate de que el router pueda acceder al puerto 8082 del procesador de mensajes.
  2. Genera el archivo JKS de almacén de claves que contiene tu certificación TLS y tu clave privada. Para obtener más información, consulta Configura TLS/SSL para Edge On Instalaciones.
  3. Copia el archivo JKS del almacén de claves a un directorio en el servidor Message Processor, como como /opt/apigee/customer/application.
  4. Cambia los permisos y la propiedad del archivo JKS: 
    chown apigee:apigee /opt/apigee/customer/application/keystore.jks
chmod 600 /opt/apigee/customer/application/keystore.jks

    En el ejemplo anterior, keystore.jks es el nombre del archivo del almacén de claves.

  5. Edita el archivo /opt/apigee/customer/application/message-processor.properties. Si el archivo no existe, créalo.
  6. Configura las siguientes propiedades en el archivo message-processor.properties: 
    conf_message-processor-communication_local.http.ssl=true
conf/message-processor-communication.properties+local.http.port=8443
conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keystore.jks
conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
# Enter the obfuscated keystore password below.
conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword

    En el ejemplo anterior, keystore.jks es el archivo del almacén de claves, y obsPword es el archivo del almacén de claves. un almacén de claves ofuscado y una contraseña de alias de claves.

    Nota: El valor de 

    conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
    debe ser el mismo que el valor proporcionado por la opción -alias al Comando keytool, descrito al final de la sección Cómo crear un Archivo JKS.

    Consulta Configuración de TLS/SSL para Edge On Local para información para generar contraseñas ofuscadas.

  7. Asegúrate de que el archivo message-processor.properties sea propiedad de “apigee” usuario: 
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  8. Detén los Enrutadores y Procesadores de Mensajes: 
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
/opt/apigee/apigee-service/bin/apigee-service edge-router stop
  9. En el router, borra cualquier archivo del directorio /opt/nginx/conf.d: 
    rm -f /opt/nginx/conf.d/*
  10. Inicia Message Processors and Routers: 
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
/opt/apigee/apigee-service/bin/apigee-service edge-router start
  11. Repite este proceso con cada uno de los procesadores de mensajes.

Después de habilitar TLS entre el router y el procesador de mensajes, el archivo de registro del procesador de mensajes contiene este mensaje INFO:

MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks

Con esta sentencia INFO, se confirma que TLS funciona entre el router y el mensaje Procesador.

La siguiente tabla incluye todas las propiedades disponibles de message-processor.properties:

Propiedades Descripción 
conf_message-processor-communication_local.
  http.host=localhost_or_IP_address
 Opcional. Nombre de host en el que se escucharán las conexiones del router. Esto anula el host configurado en el registro. 
conf/message-processor-communication.
  properties+local.http.port=8998
 Opcional. Puerto en el que se escucharán las conexiones del router. El valor predeterminado es 8,998. 
conf_message-processor-communication_local.
  http.ssl=[ false | true ]
 Configúralo como true para habilitar TLS/SSL. La ruta predeterminada es false. Cuándo TLS/SSL está habilitado, debes configurar local.http.ssl.keystore.path y local.http.ssl.keyalias 
conf/message-processor-communication.
  properties+local.http.ssl.keystore.path=
 Ruta de acceso del sistema de archivos local al almacén de claves (JKS o PKCS12). Obligatorio cuando local.http.ssl=true 
conf/message-processor-communication.
  properties+local.http.ssl.keyalias=
 El alias de clave del almacén de claves que se usará para las conexiones TLS/SSL. Obligatorio cuando local.http.ssl=true 
conf/message-processor-communication.
  properties+local.http.ssl.keyalias.password=
 Contraseña usada para encriptar la clave dentro del almacén de claves. Usa una contraseña ofuscada en el siguiente formato: 
OBF:obsPword
 
conf/message-processor-communication.
  properties+local.http.ssl.keystore.type=jks
 Tipo de almacén de claves. Por el momento, solo se admiten JKS y PKCS12. El valor predeterminado es JKS. 
conf/message-processor-communication.
  properties+local.http.ssl.keystore.password=
 Opcional. Contraseña ofuscada para el almacén de claves. Usa una contraseña ofuscada en la con el siguiente formato: 
OBF:obsPword
 
conf_message-processor-communication_local.
  http.ssl.ciphers=cipher1,cipher2
 Opcional. Cuando se configura, solo se permiten los algoritmos de cifrado enumerados. Si se omiten, se deben usar todas. los cifrados compatibles con el JDK.