북쪽 방향 트래픽에 TLS 1.3 구성

이 페이지에서는 Apigee 라우터에서 노스바운드 트래픽( 클라이언트와 라우터).

자세한 내용은 가상 호스트를 참조하세요. 정보를 제공합니다

라우터의 모든 TLS 기반 가상 호스트에 TLS 1.3 사용 설정

라우터의 모든 TLS 기반 가상 호스트에 TLS 1.3을 사용 설정하려면 다음 절차를 따르세요.

1. 라우터의 편집기에서 다음 속성 파일을 엽니다.

   /opt/apigee/customer/application/router.properties

   파일이 없으면 새로 만듭니다.

2. 속성 파일에 다음 줄을 추가합니다.

   conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1 TLSv1.1 TLSv1.2 TLSv1.3

   지원하려는 모든 TLS 프로토콜을 추가합니다. 프로토콜은 공백으로 구분됩니다. 대소문자를 구분합니다.

3. 파일을 저장합니다.
4. 파일이 Apigee 사용자의 소유인지 확인하세요.

   chown apigee:apigee /opt/apigee/customer/application/router.properties

5. 라우터를 다시 시작합니다.

   /opt/apigee/apigee-service/bin/apigee-service edge-router restart

6. 모든 라우터 노드에서 위 단계를 하나씩 반복합니다.

특정 가상 호스트에만 TLS 1.3 사용 설정

이 섹션에서는 특정 가상 호스트에 TLS 1.3을 사용 설정하는 방법을 설명합니다. TLS 1.3을 사용 설정하려면 관리 서버 노드에서 다음 단계를 수행합니다.

1. 각 관리 서버 노드에서 파일을 수정합니다. /opt/apigee/customer/application/management-server.properties을 클릭하고 다음 줄을 추가합니다. 파일이 없으면 새로 만듭니다.

   conf_virtualhost_virtual.host.allowed.protocol.list=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3

   이 파일에서 프로토콜은 쉼표로 구분되며 대소문자를 구분합니다.

2. 파일을 저장합니다.
3. 파일이 Apigee 사용자의 소유인지 확인하세요.

   chown apigee:apigee /opt/apigee/customer/application/management-server.properties

4. 관리 서버를 다시 시작합니다.

   /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

5. 모든 관리 서버 노드에서 위 단계를 하나씩 반복합니다.
6. 다음 속성을 사용하여 가상 호스트를 만들거나 기존 가상 호스트를 업데이트합니다. Note that the 프로토콜은 공백으로 구분되며 대소문자를 구분합니다.

   "properties": {
       "property": [
         {
           "name": "ssl_protocols",
           "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
         }
       ]
   }

   이 속성이 있는 샘플 vhost는 다음과 같습니다.

   {
     "hostAliases": [
       "api.myCompany,com",
     ],
     "interfaces": [],
     "listenOptions": [],
     "name": "secure",
     "port": "443",
     "retryOptions": [],
     "properties": {
       "property": [
         {
           "name": "ssl_protocols",
           "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
         }
       ]
     },
     "sSLInfo": {
       "ciphers": [],
       "clientAuthEnabled": "false",
       "enabled": "true",
       "ignoreValidationErrors": false,
       "keyAlias": "myCompanyKeyAlias",
       "keyStore": "ref://myCompanyKeystoreref",
       "protocols": []
     },
     "useBuiltInFreeTrialCert": false
   }

   TLS 1.3 테스트

   TLS 1.3을 테스트하려면 다음 명령어를 입력합니다.

   curl -v --tlsv1.3 "https://api.myCompany,com/testproxy"

   TLS 1.3은 이 프로토콜을 지원하는 클라이언트에서만 테스트할 수 있습니다. TLS 1.3이 다음과 같은 오류 메시지가 표시됩니다.

   sslv3 alert handshake failure