Router と Message Processor 間の TLS 構成

デフォルトでは、Router と Message Processor 間の TLS は無効になっています。

Router と Message Processor 間の TLS 暗号化を有効にするには:

  1. Message Processor のポート 8082 に Router がアクセスできることを確認します。
  2. TLS 証明書と秘密鍵を含むキーストア JKS ファイルを生成します。詳細については、オンプレミスの Edge での TLS / SSL の構成をご覧ください。
  3. キーストア JKS ファイルを Message Processor サーバーのディレクトリ(/opt/apigee/customer/application など)にコピーします。
  4. JKS ファイルの権限と所有者を変更します。
    chown apigee:apigee /opt/apigee/customer/application/keystore.jks
    chmod 600 /opt/apigee/customer/application/keystore.jks

    ここで、keystore.jks はキーストア ファイルの名前です。

  5. /opt/apigee/customer/application/message-processor.properties ファイルを編集します。ファイルが存在しない場合は作成します。
  6. message-processor.properties ファイルで次のプロパティを設定します。
    conf_message-processor-communication_local.http.ssl=true
    conf/message-processor-communication.properties+local.http.port=8443
    conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
    conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keystore.jks
    conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
    # Enter the obfuscated keystore password below.
    conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword

    ここで、keystore.jks は使用するキーストア ファイル、obsPword は難読化されたキーストアとキーエイリアスのパスワードです。

    注:

    conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
    この値は、-alias オプションを介して keytool コマンドに提供される値と同じである必要があります。これについては、JKS ファイルの作成のセクションの最後に説明されています。

    難読化されたパスワードの生成については、オンプレミス Edge での TLS/SSL の構成をご覧ください。

  7. message-processor.properties ファイルの所有者を「apigee」ユーザーにします。
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  8. Message Processor と Router を停止します。
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
    /opt/apigee/apigee-service/bin/apigee-service edge-router stop
  9. Router で、/opt/nginx/conf.d ディレクトリ内のファイルをすべて削除します。
    rm -f /opt/nginx/conf.d/*
  10. Message Processor と Router を起動します。
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
    /opt/apigee/apigee-service/bin/apigee-service edge-router start
  11. Message Processor ごとにこのプロセスを繰り返します。

Router と Message Processor 間の TLS が有効になると、Message Processor のログファイルに次の INFO メッセージが記録されます。

MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks

この INFO メッセージによって、Router と Message Processor 間で TLS が動作していることを確認します。

次の表に、message-processor.properties で使用可能なすべてのプロパティを示します。

プロパティ 説明

conf_message-processor-communication_local.
  http.host=localhost_or_IP_address
省略可。ルーター接続をリッスンするホスト名。このプロパティにより、登録時に構成されたホスト名が上書きされます。

conf/message-processor-communication.
  properties+local.http.port=8998
省略可。ルーター接続をリッスンするポート。デフォルトは 8998 です。

conf_message-processor-communication_local.
  http.ssl=[ false | true ]
このプロパティを true に設定すると、TLS / SSL が有効になります。デフォルトは false です。TLS / SSL を有効にする場合は、local.http.ssl.keystore.pathlocal.http.ssl.keyalias を設定する必要があります。

conf/message-processor-communication.
  properties+local.http.ssl.keystore.path=
キーストア(JKS または PKCS12)へのローカル ファイル システムパス。local.http.ssl=true の場合は必須。

conf/message-processor-communication.
  properties+local.http.ssl.keyalias=
TLS / SSL 接続に使用されるキーストアのキーエイリアス。local.http.ssl=true の場合は必須。

conf/message-processor-communication.
  properties+local.http.ssl.keyalias.password=
キーストア内の鍵を暗号化するために使用されるパスワード。次の形式の難読化されたパスワードを使用します。

OBF:obsPword

conf/message-processor-communication.
  properties+local.http.ssl.keystore.type=jks
キーストアのタイプ。現在は JKS と PKCS12 のみがサポートされています。デフォルトは JKS です。

conf/message-processor-communication.
  properties+local.http.ssl.keystore.password=
省略可。キーストアの難読化されたパスワード。次の形式の難読化されたパスワードを使用します。

OBF:obsPword

conf_message-processor-communication_local.
  http.ssl.ciphers=cipher1,cipher2
省略可。構成すると、リストにある暗号のみが許可されます。省略した場合は、JDK でサポートされているすべての暗号が使用されます。