Configura TLS 1.3 para el tráfico norte

En esta página, se explica cómo configurar TLS 1.3 en routers de Apigee para tráfico hacia el norte (tráfico entre un cliente y el router).

Consulta Hosts virtuales para obtener más información. sobre los hosts virtuales.

Habilitar TLS 1.3 para todos los hosts virtuales basados en TLS en un router

Usa el siguiente procedimiento para habilitar TLS 1.3 para todos los hosts virtuales basados en TLS en un router:

  1. En el router, abre el siguiente archivo de propiedades en un editor.
    /opt/apigee/customer/application/router.properties

    Si el archivo no existe, créalo.

  2. Agrega la siguiente línea al archivo de propiedades:
    conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1 TLSv1.1 TLSv1.2 TLSv1.3

    Agrega todos los protocolos TLS que deseas admitir. Ten en cuenta que los protocolos están separados y que distingue mayúsculas de minúsculas.

  3. Guarda el archivo.
  4. Asegúrate de que el archivo sea propiedad del usuario de Apigee:
    chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. Reinicia el router:
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
  6. Repite los pasos anteriores en todos los nodos del router uno por uno.

Habilitar TLS 1.3 solo para hosts virtuales específicos

En esta sección, se explica cómo habilitar TLS 1.3 para hosts virtuales específicos. Para habilitar TLS 1.3, realiza los siguientes pasos en los nodos del servidor de administración:

  1. En cada nodo del servidor de administración, edita el archivo /opt/apigee/customer/application/management-server.properties y agrega la siguiente línea. (Si el archivo no existe, créalo).
    conf_virtualhost_virtual.host.allowed.protocol.list=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3

    Para este archivo, los protocolos están separados por comas (y distinguen mayúsculas de minúsculas).

  2. Guarda el archivo.
  3. Asegúrate de que el archivo sea propiedad del usuario de Apigee:
    chown apigee:apigee /opt/apigee/customer/application/management-server.properties
  4. Reinicia el servidor de administración:
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
  5. Repite los pasos anteriores en todos los nodos del servidor de administración uno por uno.
  6. Crea (o actualiza uno existente) un host virtual con la siguiente propiedad. Ten en cuenta que protocolos están separados por espacios y distinguen mayúsculas de minúsculas.
    "properties": {
        "property": [
          {
            "name": "ssl_protocols",
            "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
          }
        ]
    }

    A continuación, se muestra un ejemplo de vhost con esta propiedad:

    {
      "hostAliases": [
        "api.myCompany,com",
      ],
      "interfaces": [],
      "listenOptions": [],
      "name": "secure",
      "port": "443",
      "retryOptions": [],
      "properties": {
        "property": [
          {
            "name": "ssl_protocols",
            "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
          }
        ]
      },
      "sSLInfo": {
        "ciphers": [],
        "clientAuthEnabled": "false",
        "enabled": "true",
        "ignoreValidationErrors": false,
        "keyAlias": "myCompanyKeyAlias",
        "keyStore": "ref://myCompanyKeystoreref",
        "protocols": []
      },
      "useBuiltInFreeTrialCert": false
    }

    Prueba TLS 1.3

    Para probar TLS 1.3, ingresa el siguiente comando:

    curl -v --tlsv1.3 "https://api.myCompany,com/testproxy"

    Ten en cuenta que TLS 1.3 solo se puede probar en clientes que admitan este protocolo. Si TLS 1.3 no es verás un mensaje de error como el siguiente:

    sslv3 alert handshake failure