このページでは、Apigee Router でノースバウンド トラフィック(クライアントと Router 間のトラフィック)用に TLS 1.3 を構成する方法について説明します。
仮想ホストの詳細については、仮想ホストをご覧ください。
Router 内のすべての TLS ベースの仮想ホストに対して TLS 1.3 を有効にする
Router 内のすべての TLS ベースの仮想ホストに対して TLS 1.3 を有効にするには、次の操作を行います。
- Router で、次のプロパティ ファイルをエディタで開きます。
/opt/apigee/customer/application/router.properties
ファイルが存在しない場合は作成します。
- プロパティ ファイルに次の行を追加します。
conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1 TLSv1.1 TLSv1.2 TLSv1.3
サポートするすべての TLS プロトコルを追加します。プロトコルはスペース区切りで、大文字と小文字が区別されます。
- ファイルを保存します。
- ファイルの所有者を Apigee ユーザー(
chown apigee:apigee /opt/apigee/customer/application/router.properties
)にします。 - Router を再起動します。
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- すべての Router ノードで、上記の手順を 1 つずつ繰り返します。
特定の仮想ホストに対してのみ TLS 1.3 を有効にする
このセクションでは、特定の仮想ホストに対して TLS 1.3 を有効にする方法について説明します。TLS 1.3 を有効にするには、Management Server ノードで次の操作を行います。
- 各 Management Server ノードで
/opt/apigee/customer/application/management-server.properties
ファイルを編集して、次の行を追加します。(ファイルが存在しない場合は作成します)。conf_virtualhost_virtual.host.allowed.protocol.list=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3
このファイルでは、プロトコルはカンマ区切り(大文字と小文字を区別)です。
- ファイルを保存します。
- ファイルの所有者を Apigee ユーザー(
chown apigee:apigee /opt/apigee/customer/application/management-server.properties
)にします。 - Management Server を再起動します。
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- すべての Management Server ノードで、上記の手順を 1 つずつ繰り返します。
- 次のプロパティで仮想ホストを作成(または既存の更新)します。プロトコルはスペース区切りで、大文字と小文字が区別されます。
"properties": { "property": [ { "name": "ssl_protocols", "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3" } ] }
このプロパティを持つ仮想ホストの例を以下に示します。
{ "hostAliases": [ "api.myCompany,com", ], "interfaces": [], "listenOptions": [], "name": "secure", "port": "443", "retryOptions": [], "properties": { "property": [ { "name": "ssl_protocols", "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3" } ] }, "sSLInfo": { "ciphers": [], "clientAuthEnabled": "false", "enabled": "true", "ignoreValidationErrors": false, "keyAlias": "myCompanyKeyAlias", "keyStore": "ref://myCompanyKeystoreref", "protocols": [] }, "useBuiltInFreeTrialCert": false }
TLS 1.3 のテスト
TLS 1.3 をテストするには、次のコマンドを入力します。
curl -v --tlsv1.3 "https://api.myCompany,com/testproxy"
TLS 1.3 は、このプロトコルをサポートするクライアントでのみテストできます。TLS 1.3 が有効になっていない場合は、次のようなエラー メッセージが表示されます。
sslv3 alert handshake failure