Esta página foi traduzida pela API Cloud Translation.

Como configurar o TLS 1.3 para o tráfego norte

Nesta página, explicamos como configurar o TLS 1.3 nos roteadores da Apigee para tráfego no sentido norte (tráfego entre um cliente e o roteador).

Para usar o TLS 1.3, os nós que hospedam o roteador precisam ter o Red Hat Enterprise Linux (RHEL) 8.0 sistema operacional (ou posterior) instalado, que oferece suporte à biblioteca openssl 1.1.

Consulte Hosts virtuais para mais informações sobre hosts virtuais.

Ativar o TLS 1.3 para todos os hosts virtuais baseados em TLS em um roteador

Siga o procedimento abaixo para ativar o TLS 1.3 para todos os hosts virtuais baseados em TLS em um roteador:

No roteador, abra o arquivo de propriedades a seguir em um editor.
```
/opt/apigee/customer/application/router.properties
```
Crie o arquivo se ele não existir.
Adicione a linha abaixo ao arquivo de propriedades:
```
conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1 TLSv1.1 TLSv1.2 TLSv1.3
```
Adicione todos os protocolos TLS aos quais você quer oferecer suporte. Os protocolos são separados por espaços e diferencia maiúsculas de minúsculas.
Salve o arquivo.

Verifique se o arquivo pertence ao usuário da Apigee:

chown apigee:apigee /opt/apigee/customer/application/router.properties

Reinicie o roteador:

/opt/apigee/apigee-service/bin/apigee-service edge-router restart

Repita as etapas acima em todos os nós do Roteador, um por um.

Ativar o TLS 1.3 apenas para hosts virtuais específicos

Esta seção explica como ativar o TLS 1.3 para hosts virtuais específicos. Para ativar o TLS 1.3, siga estas etapas nos nós do servidor de gerenciamento:

Em cada nó do servidor de gerenciamento, edite o arquivo. /opt/apigee/customer/application/management-server.properties e adicione a linha a seguir. Crie o arquivo se ele não existir.
```
conf_virtualhost_virtual.host.allowed.protocol.list=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3
```
Neste arquivo, os protocolos são separados por vírgulas (e diferenciam maiúsculas de minúsculas).
Salve o arquivo.

Verifique se o arquivo pertence ao usuário da Apigee:

chown apigee:apigee /opt/apigee/customer/application/management-server.properties

Reinicie o servidor de gerenciamento:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Repita as etapas acima em todos os nós do servidor de gerenciamento.

Crie ou atualize um host virtual com a propriedade a seguir. Observe que o são separados por espaços e diferenciam maiúsculas de minúsculas.

"properties": {
    "property": [
      {
        "name": "ssl_protocols",
        "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
      }
    ]
}

Um exemplo de vhost com essa propriedade é mostrado abaixo:

{
  "hostAliases": [
    "api.myCompany,com",
  ],
  "interfaces": [],
  "listenOptions": [],
  "name": "secure",
  "port": "443",
  "retryOptions": [],
  "properties": {
    "property": [
      {
        "name": "ssl_protocols",
        "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
      }
    ]
  },
  "sSLInfo": {
    "ciphers": [],
    "clientAuthEnabled": "false",
    "enabled": "true",
    "ignoreValidationErrors": false,
    "keyAlias": "myCompanyKeyAlias",
    "keyStore": "ref://myCompanyKeystoreref",
    "protocols": []
  },
  "useBuiltInFreeTrialCert": false
}

Como testar o TLS 1.3

Para testar o TLS 1.3, digite o seguinte comando:

curl -v --tlsv1.3 "https://api.myCompany,com/testproxy"

Observe que o TLS 1.3 só pode ser testado em clientes que oferecem suporte a esse protocolo. Se o TLS 1.3 não for ativado, será exibida uma mensagem de erro como esta:

sslv3 alert handshake failure