Questa pagina è stata tradotta dall'API Cloud Translation.

Configurazione di TLS 1.3 per il traffico in direzione nord

Questa pagina spiega come configurare TLS 1.3 nei router Apigee per il traffico diretto a nord (traffico tra un client e il router).

Per utilizzare TLS 1.3, i nodi che ospitano il router devono avere Red Hat Enterprise Linux (RHEL) 8.0 Sistema operativo installato (o versioni successive), che supporta la libreria openssl 1.1.

Per ulteriori informazioni, vedi Host virtuali sugli host virtuali.

Abilita TLS 1.3 per tutti gli host virtuali basati su TLS in un router

Utilizza la seguente procedura per abilitare TLS 1.3 per tutti gli host virtuali basati su TLS in un router:

Sul router, apri il seguente file delle proprietà in un editor.
```
/opt/apigee/customer/application/router.properties
```
Se il file non esiste, crealo.
Aggiungi la seguente riga al file delle proprietà:
```
conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1 TLSv1.1 TLSv1.2 TLSv1.3
```
Aggiungi tutti i protocolli TLS che vuoi supportare. Tieni presente che i protocolli sono separati da spazi e sensibile alle maiuscole.
Salva il file.

Assicurati che il file sia di proprietà dell'utente apigee:

chown apigee:apigee /opt/apigee/customer/application/router.properties

Riavvia il router:

/opt/apigee/apigee-service/bin/apigee-service edge-router restart

Ripeti i passaggi precedenti su tutti i nodi del router uno alla volta.

Abilita TLS 1.3 solo per host virtuali specifici

Questa sezione spiega come abilitare TLS 1.3 per host virtuali specifici. Per abilitare TLS 1.3, segui questi passaggi sui nodi del server di gestione:

Modifica il file su ogni nodo del server di gestione /opt/apigee/customer/application/management-server.properties e aggiungi la riga seguente. Se il file non esiste, crealo.
```
conf_virtualhost_virtual.host.allowed.protocol.list=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3
```
Per questo file, i protocolli sono separati da virgole (e sensibili alle maiuscole).
Salva il file.

Assicurati che il file sia di proprietà dell'utente apigee:

chown apigee:apigee /opt/apigee/customer/application/management-server.properties

Riavvia il server di gestione:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Ripeti i passaggi precedenti su tutti i nodi del server di gestione uno alla volta.

Crea (o aggiorna un host virtuale esistente) con la seguente proprietà. Tieni presente che sono separati da spazi e fanno distinzione tra maiuscole e minuscole.

"properties": {
    "property": [
      {
        "name": "ssl_protocols",
        "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
      }
    ]
}

Di seguito è riportato un esempio di vhost con questa proprietà:

{
  "hostAliases": [
    "api.myCompany,com",
  ],
  "interfaces": [],
  "listenOptions": [],
  "name": "secure",
  "port": "443",
  "retryOptions": [],
  "properties": {
    "property": [
      {
        "name": "ssl_protocols",
        "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
      }
    ]
  },
  "sSLInfo": {
    "ciphers": [],
    "clientAuthEnabled": "false",
    "enabled": "true",
    "ignoreValidationErrors": false,
    "keyAlias": "myCompanyKeyAlias",
    "keyStore": "ref://myCompanyKeystoreref",
    "protocols": []
  },
  "useBuiltInFreeTrialCert": false
}

Test di TLS 1.3

Per testare TLS 1.3, inserisci il seguente comando:

curl -v --tlsv1.3 "https://api.myCompany,com/testproxy"

Tieni presente che TLS 1.3 può essere testato solo su client che supportano questo protocollo. Se TLS 1.3 non viene è attiva, viene visualizzato un messaggio di errore simile al seguente:

sslv3 alert handshake failure