Como configurar o TLS entre um roteador e um processador de mensagens

Por padrão, o TLS entre o roteador e o processador de mensagens está desativado.

Para ativar a criptografia TLS entre um roteador e um processador de mensagens:

  1. Verifique se a porta 8082 no processador de mensagens pode ser acessada pelo roteador.
  2. Gere o arquivo JKS do keystore que contém sua certificação TLS e chave privada. Para mais informações, consulte Como configurar o TLS/SSL para o Edge On-Premises.
  3. Copie o arquivo JKS do keystore para um diretório no servidor do Processador de mensagens, como /opt/apigee/customer/application.
  4. Altere as permissões e a propriedade do arquivo JKS: 
    chown apigee:apigee /opt/apigee/customer/application/keystore.jks
chmod 600 /opt/apigee/customer/application/keystore.jks

    Em que keystore.jks é o nome do arquivo do keystore.

  5. Edite o arquivo /opt/apigee/customer/application/message-processor.properties. Se o arquivo não existir, crie-o.
  6. Defina as seguintes propriedades no arquivo message-processor.properties: 
    conf_message-processor-communication_local.http.ssl=true
conf/message-processor-communication.properties+local.http.port=8443
conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keystore.jks
conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
# Enter the obfuscated keystore password below.
conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword

    Em que keystore.jks é o arquivo de keystore e obsPword é a senha ofuscada de keystore e keyalias.

    Observação: o valor de 

    conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
    precisa ser igual ao valor fornecido pela opção -alias para o comando keytool, descrito no final da seção Como criar um arquivo JKS.

    Consulte Como configurar TLS/SSL para o Edge On-Premises (em inglês) para informações sobre como gerar uma senha ofuscada.

  7. Verifique se o arquivo message-processor.properties pertence ao usuário "apigee": 
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  8. Pare os processadores de mensagens e roteadores: 
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
/opt/apigee/apigee-service/bin/apigee-service edge-router stop
  9. No roteador, exclua todos os arquivos no diretório /opt/nginx/conf.d: 
    rm -f /opt/nginx/conf.d/*
  10. Inicie os processadores e roteadores de mensagem: 
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
/opt/apigee/apigee-service/bin/apigee-service edge-router start
  11. Repita esse processo para cada processador de mensagens.

Depois que o TLS for ativado entre o roteador e o processador de mensagens, o arquivo de registro do processador de mensagens conterá esta mensagem INFO:

MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks

Essa instrução INFO confirma que o TLS está funcionando entre o roteador e o processador de mensagens.

A tabela a seguir lista todas as propriedades disponíveis em message-processor.properties:

Propriedades Descrição 
conf_message-processor-communication_local.
  http.host=localhost_or_IP_address
 Opcional. Nome do host para detectar conexões do roteador. Isso substitui o nome do host configurado no registro. 
conf/message-processor-communication.
  properties+local.http.port=8998
 Opcional. Porta para detectar conexões do roteador. O padrão é 8998. 
conf_message-processor-communication_local.
  http.ssl=[ false | true ]
 Defina como true para ativar TLS/SSL. O padrão é false. Quando TLS/SSL estiver ativado, defina local.http.ssl.keystore.path e local.http.ssl.keyalias. 
conf/message-processor-communication.
  properties+local.http.ssl.keystore.path=
 Caminho do sistema de arquivos local para o keystore (JKS ou PKCS12). Obrigatório quando local.http.ssl=true. 
conf/message-processor-communication.
  properties+local.http.ssl.keyalias=
 Alias de chave do keystore a ser usado para conexões TLS/SSL. Obrigatório quando local.http.ssl=true. 
conf/message-processor-communication.
  properties+local.http.ssl.keyalias.password=
 Senha usada para criptografar a chave dentro do keystore. Use uma senha ofuscada no seguinte formato: 
OBF:obsPword
 
conf/message-processor-communication.
  properties+local.http.ssl.keystore.type=jks
 Tipo de keystore. Apenas o JKS e o PKCS12 são compatíveis no momento. O padrão é JKS. 
conf/message-processor-communication.
  properties+local.http.ssl.keystore.password=
 Opcional. Senha ofuscada do keystore. Use uma senha ofuscada no seguinte formato: 
OBF:obsPword
 
conf_message-processor-communication_local.
  http.ssl.ciphers=cipher1,cipher2
 Opcional. Quando configuradas, somente as criptografias listadas são permitidas. Se omitido, use todas as criptografias compatíveis com o JDK.