このページは Cloud Translation API によって翻訳されました。

上りトラフィック用に TLS 1.3 を構成する

このページでは、Apigee Router でノースバウンドトラフィック（クライアントと Router 間のトラフィック）用に TLS 1.3 を構成する方法について説明します。

TLS 1.3 を使用するには、Router をホストするノードに、openssl 1.1 ライブラリをサポートする Red Hat Enterprise Linux（RHEL）8.0 オペレーティングシステム（またはそれ以降）がインストールされている必要があります。

仮想ホストの詳細については、仮想ホストをご覧ください。

Router 内のすべての TLS ベースの仮想ホストに対して TLS 1.3 を有効にする

Router 内のすべての TLS ベースの仮想ホストに対して TLS 1.3 を有効にするには、次の操作を行います。

Router で、次のプロパティファイルをエディタで開きます。
```
/opt/apigee/customer/application/router.properties
```
ファイルが存在しない場合は作成します。
プロパティファイルに次の行を追加します。
```
conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1 TLSv1.1 TLSv1.2 TLSv1.3
```
サポートするすべての TLS プロトコルを追加します。プロトコルはスペース区切りで、大文字と小文字が区別されます。
ファイルを保存します。

ファイルの所有者を Apigee ユーザー（

chown apigee:apigee /opt/apigee/customer/application/router.properties

）にします。

Router を再起動します。

/opt/apigee/apigee-service/bin/apigee-service edge-router restart

すべての Router ノードで、上記の手順を 1 つずつ繰り返します。

特定の仮想ホストに対してのみ TLS 1.3 を有効にする

このセクションでは、特定の仮想ホストに対して TLS 1.3 を有効にする方法について説明します。TLS 1.3 を有効にするには、Management Server ノードで次の操作を行います。

各 Management Server ノードで /opt/apigee/customer/application/management-server.properties ファイルを編集して、次の行を追加します。（ファイルが存在しない場合は作成します）。
```
conf_virtualhost_virtual.host.allowed.protocol.list=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3
```
このファイルでは、プロトコルはカンマ区切り（大文字と小文字を区別）です。
ファイルを保存します。

ファイルの所有者を Apigee ユーザー（

chown apigee:apigee /opt/apigee/customer/application/management-server.properties

）にします。

Management Server を再起動します。

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

すべての Management Server ノードで、上記の手順を 1 つずつ繰り返します。

次のプロパティで仮想ホストを作成（または既存の更新）します。プロトコルはスペース区切りで、大文字と小文字が区別されます。

"properties": {
    "property": [
      {
        "name": "ssl_protocols",
        "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
      }
    ]
}

このプロパティを持つ仮想ホストの例を以下に示します。

{
  "hostAliases": [
    "api.myCompany,com",
  ],
  "interfaces": [],
  "listenOptions": [],
  "name": "secure",
  "port": "443",
  "retryOptions": [],
  "properties": {
    "property": [
      {
        "name": "ssl_protocols",
        "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
      }
    ]
  },
  "sSLInfo": {
    "ciphers": [],
    "clientAuthEnabled": "false",
    "enabled": "true",
    "ignoreValidationErrors": false,
    "keyAlias": "myCompanyKeyAlias",
    "keyStore": "ref://myCompanyKeystoreref",
    "protocols": []
  },
  "useBuiltInFreeTrialCert": false
}

TLS 1.3 のテスト

TLS 1.3 をテストするには、次のコマンドを入力します。

curl -v --tlsv1.3 "https://api.myCompany,com/testproxy"

TLS 1.3 は、このプロトコルをサポートするクライアントでのみテストできます。TLS 1.3 が有効になっていない場合は、次のようなエラーメッセージが表示されます。

sslv3 alert handshake failure