Nesta página, explicamos como configurar o TLS 1.3 nos roteadores Apigee para o tráfego norte (tráfego entre um cliente e o roteador).
Consulte Hosts virtuais para mais informações sobre hosts virtuais.
Ativar o TLS 1.3 para todos os hosts virtuais baseados em TLS em um roteador
Use o procedimento a seguir para ativar o TLS 1.3 para todos os hosts virtuais baseados em TLS em um roteador:
- No roteador, abra o arquivo de propriedades a seguir em um editor.
/opt/apigee/customer/application/router.properties
Se o arquivo não existir, crie-o.
- Adicione a linha abaixo ao arquivo de propriedades:
conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1 TLSv1.1 TLSv1.2 TLSv1.3
Adicione todos os protocolos TLS a serem aceitos. Observe que os protocolos são separados por espaços e diferenciam maiúsculas de minúsculas.
- Salve o arquivo.
- Verifique se o arquivo é de propriedade do usuário da Apigee:
chown apigee:apigee /opt/apigee/customer/application/router.properties
- Reinicie o roteador:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- Repita as etapas acima para todos os nós do roteador, um por um.
Ativar o TLS 1.3 somente para hosts virtuais específicos
Esta seção explica como ativar o TLS 1.3 para hosts virtuais específicos. Para ativar o TLS 1.3, siga estas etapas nos nós do servidor de gerenciamento:
- Em cada nó do servidor de gerenciamento, edite o arquivo
/opt/apigee/customer/application/management-server.properties
e adicione a linha a seguir. Se o arquivo não existir, crie-o.conf_virtualhost_virtual.host.allowed.protocol.list=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3
Para esse arquivo, os protocolos são separados por vírgula (e diferenciam maiúsculas de minúsculas).
- Salve o arquivo.
- Verifique se o arquivo é de propriedade do usuário da Apigee:
chown apigee:apigee /opt/apigee/customer/application/management-server.properties
- Reinicie o servidor de gerenciamento:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- Repita as etapas acima em todos os nós do servidor de gerenciamento.
- Crie ou atualize um host virtual com a propriedade a seguir. Observe que os
protocolos são separados por espaços e diferenciam maiúsculas de minúsculas.
"properties": { "property": [ { "name": "ssl_protocols", "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3" } ] }
Veja abaixo um exemplo de vhost com essa propriedade:
{ "hostAliases": [ "api.myCompany,com", ], "interfaces": [], "listenOptions": [], "name": "secure", "port": "443", "retryOptions": [], "properties": { "property": [ { "name": "ssl_protocols", "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3" } ] }, "sSLInfo": { "ciphers": [], "clientAuthEnabled": "false", "enabled": "true", "ignoreValidationErrors": false, "keyAlias": "myCompanyKeyAlias", "keyStore": "ref://myCompanyKeystoreref", "protocols": [] }, "useBuiltInFreeTrialCert": false }
Como testar o TLS 1.3
Para testar o TLS 1.3, digite este comando:
curl -v --tlsv1.3 "https://api.myCompany,com/testproxy"
O TLS 1.3 só pode ser testado em clientes com suporte a esse protocolo. Se o TLS 1.3 não estiver ativado, você verá uma mensagem de erro como esta:
sslv3 alert handshake failure