このページは Cloud Translation API によって翻訳されました。

上りトラフィック用に TLS 1.3 を構成する

このページでは、Apigee Router でノースバウンドトラフィック（ネットワーク間のトラフィック）用に TLS 1.3 を構成する方法について説明します。確立する必要があります。

TLS 1.3 を使用するには、Router をホストするノードに Red Hat Enterprise Linux（RHEL）8.0 openssl 1.1 ライブラリをサポートしているオペレーティングシステム（またはそれ以降）がインストールされている必要があります。

詳細については、仮想ホストをご覧ください。詳しく見てみましょう。

Router 内のすべての TLS ベースの仮想ホストに対して TLS 1.3 を有効にする

Router 内のすべての TLS ベースの仮想ホストに対して TLS 1.3 を有効にするには、次の手順を使用します。

ルーターのエディタで次のプロパティファイルを開きます。
```
/opt/apigee/customer/application/router.properties
```
ファイルが存在しない場合は作成します。
プロパティファイルに次の行を追加します。
```
conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1 TLSv1.1 TLSv1.2 TLSv1.3
```
サポートする TLS プロトコルをすべて追加します。プロトコルはスペースで区切られています。大文字と小文字を区別します
ファイルを保存します。
ファイルの所有者が Apigee ユーザーであることを確認します。
```
chown apigee:apigee /opt/apigee/customer/application/router.properties
```

Router を再起動します。

/opt/apigee/apigee-service/bin/apigee-service edge-router restart

すべての Router ノードで上記の手順を 1 つずつ繰り返します。

特定の仮想ホストに対してのみ TLS 1.3 を有効にする

このセクションでは、特定の仮想ホストに対して TLS 1.3 を有効にする方法について説明します。 TLS 1.3 を有効にするには、管理サーバーノードで次の手順を行います。

各 Management Server ノードで、このファイルを編集します。 /opt/apigee/customer/application/management-server.properties] をクリックし、次の行を追加します。（ファイルが存在しない場合は作成します）。
```
conf_virtualhost_virtual.host.allowed.protocol.list=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3
```
このファイルでは、複数のプロトコルがカンマで区切られています（大文字と小文字は区別されます）。
ファイルを保存します。
ファイルの所有者が Apigee ユーザーであることを確認します。
```
chown apigee:apigee /opt/apigee/customer/application/management-server.properties
```

Management Server を再起動します。

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

すべての Management Server ノードで、上記の手順を 1 つずつ繰り返します。

次のプロパティを使用して、仮想ホストを作成または更新します。なお、スペースで区切られ、大文字と小文字が区別されます。

"properties": {
    "property": [
      {
        "name": "ssl_protocols",
        "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
      }
    ]
}

このプロパティを含む仮想ホストの例を以下に示します。

{
  "hostAliases": [
    "api.myCompany,com",
  ],
  "interfaces": [],
  "listenOptions": [],
  "name": "secure",
  "port": "443",
  "retryOptions": [],
  "properties": {
    "property": [
      {
        "name": "ssl_protocols",
        "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
      }
    ]
  },
  "sSLInfo": {
    "ciphers": [],
    "clientAuthEnabled": "false",
    "enabled": "true",
    "ignoreValidationErrors": false,
    "keyAlias": "myCompanyKeyAlias",
    "keyStore": "ref://myCompanyKeystoreref",
    "protocols": []
  },
  "useBuiltInFreeTrialCert": false
}

TLS 1.3 のテスト

TLS 1.3 をテストするには、次のコマンドを入力します。

curl -v --tlsv1.3 "https://api.myCompany,com/testproxy"

TLS 1.3 は、このプロトコルをサポートするクライアントでのみテストできます。TLS 1.3 が次のようなエラーメッセージが表示されます。

sslv3 alert handshake failure