Cette page explique comment configurer TLS 1.3 dans les routeurs Apigee pour le trafic nord (trafic entre un client et le routeur).
Pour en savoir plus, consultez l'article Hôtes virtuels. sur les hôtes virtuels.
Activer TLS 1.3 pour tous les hôtes virtuels basés sur TLS dans un routeur
Procédez comme suit pour activer TLS 1.3 pour tous les hôtes virtuels basés sur TLS dans un routeur:
- Sur le routeur, ouvrez le fichier de propriétés suivant dans un éditeur.
/opt/apigee/customer/application/router.properties
Si le fichier n'existe pas, créez-le.
- Ajoutez la ligne suivante au fichier de propriétés:
conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1 TLSv1.1 TLSv1.2 TLSv1.3
Ajoutez tous les protocoles TLS que vous souhaitez prendre en charge. Notez que les protocoles sont séparés par un espace et sensible à la casse.
- Enregistrez le fichier.
- Assurez-vous que le fichier appartient à l'utilisateur Apigee:
chown apigee:apigee /opt/apigee/customer/application/router.properties
- Redémarrez le routeur:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- Répétez les étapes ci-dessus sur tous les nœuds de routeur un par un.
Activer TLS 1.3 uniquement pour des hôtes virtuels spécifiques
Cette section explique comment activer TLS 1.3 pour des hôtes virtuels spécifiques. Pour activer TLS 1.3, procédez comme suit sur les nœuds du serveur de gestion:
- Sur chaque nœud du serveur de gestion, modifiez le fichier
/opt/apigee/customer/application/management-server.properties
et ajoutez la ligne suivante. (Si le fichier n'existe pas, créez-le.)conf_virtualhost_virtual.host.allowed.protocol.list=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3
Pour ce fichier, les protocoles sont séparés par une virgule (et sont sensibles à la casse).
- Enregistrez le fichier.
- Assurez-vous que le fichier appartient à l'utilisateur Apigee:
chown apigee:apigee /opt/apigee/customer/application/management-server.properties
- Redémarrez le serveur de gestion:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- Répétez les étapes ci-dessus sur tous les nœuds du serveur de gestion un par un.
- Créez (ou mettez à jour un hôte virtuel existant) avec la propriété suivante. Notez que
sont séparés par des espaces et sensibles à la casse.
"properties": { "property": [ { "name": "ssl_protocols", "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3" } ] }
Voici un exemple de vhost avec cette propriété:
{ "hostAliases": [ "api.myCompany,com", ], "interfaces": [], "listenOptions": [], "name": "secure", "port": "443", "retryOptions": [], "properties": { "property": [ { "name": "ssl_protocols", "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3" } ] }, "sSLInfo": { "ciphers": [], "clientAuthEnabled": "false", "enabled": "true", "ignoreValidationErrors": false, "keyAlias": "myCompanyKeyAlias", "keyStore": "ref://myCompanyKeystoreref", "protocols": [] }, "useBuiltInFreeTrialCert": false }
Tester TLS 1.3
Pour tester TLS 1.3, saisissez la commande suivante:
curl -v --tlsv1.3 "https://api.myCompany,com/testproxy"
Notez que TLS 1.3 ne peut être testé que sur des clients compatibles avec ce protocole. Si TLS 1.3 n'est pas un message d'erreur semblable au suivant s'affiche:
sslv3 alert handshake failure