TLS 1.3 für Traffic in Richtung Norden konfigurieren

Auf dieser Seite wird erläutert, wie Sie TLS 1.3 in Apigee-Routern für Traffic nach Norden (Traffic zwischen einen Client und den Router).

Weitere Informationen finden Sie unter Virtuelle Hosts. über virtuelle Hosts.

TLS 1.3 für alle TLS-basierten virtuellen Hosts in einem Router aktivieren

Gehen Sie wie folgt vor, um TLS 1.3 für alle TLS-basierten virtuellen Hosts in einem Router zu aktivieren:

  1. Öffnen Sie auf dem Router die folgende Eigenschaftendatei in einem Editor.
    /opt/apigee/customer/application/router.properties

    Wenn die Datei nicht vorhanden ist, erstellen Sie sie.

  2. Fügen Sie der Eigenschaftendatei die folgende Zeile hinzu:
    conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1 TLSv1.1 TLSv1.2 TLSv1.3

    Fügen Sie alle TLS-Protokolle hinzu, die unterstützt werden sollen. Beachten Sie, dass die Protokolle durch Leerzeichen getrennt sind. und zwischen Groß- und Kleinschreibung.

  3. Speichern Sie die Datei.
  4. Achten Sie darauf, dass die Datei dem Apigee-Benutzer gehört:
    chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. Starten Sie den Router neu:
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
  6. Wiederholen Sie die oben genannten Schritte einzeln auf allen Routerknoten.

TLS 1.3 nur für bestimmte virtuelle Hosts aktivieren

In diesem Abschnitt wird erläutert, wie Sie TLS 1.3 für bestimmte virtuelle Hosts aktivieren. Führen Sie die folgenden Schritte für die Knoten des Verwaltungsservers aus, um TLS 1.3 zu aktivieren:

  1. Bearbeiten Sie die Datei auf jedem Verwaltungsserverknoten /opt/apigee/customer/application/management-server.properties und fügen Sie die folgende Zeile hinzu. Falls die Datei noch nicht vorhanden ist, erstellen Sie sie.
    conf_virtualhost_virtual.host.allowed.protocol.list=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3

    Für diese Datei sind die Protokolle durch Kommas getrennt. Die Groß- und Kleinschreibung muss beachtet werden.

  2. Speichern Sie die Datei.
  3. Achten Sie darauf, dass die Datei dem Apigee-Benutzer gehört:
    chown apigee:apigee /opt/apigee/customer/application/management-server.properties
  4. Starten Sie den Verwaltungsserver neu:
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
  5. Wiederholen Sie die oben genannten Schritte einzeln auf allen Verwaltungsserverknoten.
  6. Erstellen oder aktualisieren Sie einen virtuellen Host mit dem folgenden Attribut. Das Feld -Protokolle sind durch Leerzeichen getrennt.
    "properties": {
        "property": [
          {
            "name": "ssl_protocols",
            "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
          }
        ]
    }

    Im Folgenden sehen Sie ein Beispiel für einen vhost mit dieser Eigenschaft:

    {
      "hostAliases": [
        "api.myCompany,com",
      ],
      "interfaces": [],
      "listenOptions": [],
      "name": "secure",
      "port": "443",
      "retryOptions": [],
      "properties": {
        "property": [
          {
            "name": "ssl_protocols",
            "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
          }
        ]
      },
      "sSLInfo": {
        "ciphers": [],
        "clientAuthEnabled": "false",
        "enabled": "true",
        "ignoreValidationErrors": false,
        "keyAlias": "myCompanyKeyAlias",
        "keyStore": "ref://myCompanyKeystoreref",
        "protocols": []
      },
      "useBuiltInFreeTrialCert": false
    }

    TLS 1.3 testen

    Geben Sie den folgenden Befehl ein, um TLS 1.3 zu testen:

    curl -v --tlsv1.3 "https://api.myCompany,com/testproxy"

    TLS 1.3 kann nur auf Clients getestet werden, die dieses Protokoll unterstützen. Wenn TLS 1.3 nicht aktiviert haben, erhalten Sie eine Fehlermeldung wie diese:

    sslv3 alert handshake failure