Mengonfigurasi TLS 1.3 untuk traffic ke utara

Halaman ini menjelaskan cara mengonfigurasi TLS 1.3 di Router Apigee untuk traffic menuju utara (traffic antara klien dan {i>Router<i}).

Lihat Host virtual untuk informasi selengkapnya tentang {i>host<i} virtual.

Aktifkan TLS 1.3 untuk semua host virtual berbasis TLS di Router

Gunakan prosedur berikut untuk mengaktifkan TLS 1.3 untuk semua host virtual berbasis TLS di Router:

  1. Di Router, buka file properti berikut di editor.
    /opt/apigee/customer/application/router.properties

    Jika file tidak ada, buat file tersebut.

  2. Tambahkan baris berikut ke file properti:
    conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1 TLSv1.1 TLSv1.2 TLSv1.3

    Tambahkan semua protokol TLS yang ingin Anda dukung. Perhatikan bahwa protokol dipisahkan oleh spasi dan peka huruf besar/kecil.

  3. Simpan file.
  4. Pastikan file dimiliki oleh pengguna apigee:
    chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. Mulai ulang Router:
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
  6. Ulangi langkah-langkah di atas pada semua node Router satu per satu.

Mengaktifkan TLS 1.3 hanya untuk host virtual tertentu

Bagian ini menjelaskan cara mengaktifkan TLS 1.3 untuk host virtual tertentu. Untuk mengaktifkan TLS 1.3, lakukan langkah-langkah berikut pada node server Pengelolaan:

  1. Di setiap node server Pengelolaan, edit file /opt/apigee/customer/application/management-server.properties dan tambahkan baris berikut. (Jika file tidak ada, buat file tersebut.)
    conf_virtualhost_virtual.host.allowed.protocol.list=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3

    Untuk file ini, protokol dipisahkan dengan koma (dan peka huruf besar/kecil).

  2. Simpan file.
  3. Pastikan file dimiliki oleh pengguna apigee:
    chown apigee:apigee /opt/apigee/customer/application/management-server.properties
  4. Mulai ulang server Pengelolaan:
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
  5. Ulangi langkah-langkah di atas pada semua node server Pengelolaan satu per satu.
  6. Buat (atau perbarui host virtual yang sudah ada) dengan properti berikut. Perhatikan bahwa protokol yang dipisahkan spasi dan peka huruf besar/kecil.
    "properties": {
        "property": [
          {
            "name": "ssl_protocols",
            "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
          }
        ]
    }

    Contoh vhost dengan properti ini ditampilkan di bawah:

    {
      "hostAliases": [
        "api.myCompany,com",
      ],
      "interfaces": [],
      "listenOptions": [],
      "name": "secure",
      "port": "443",
      "retryOptions": [],
      "properties": {
        "property": [
          {
            "name": "ssl_protocols",
            "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
          }
        ]
      },
      "sSLInfo": {
        "ciphers": [],
        "clientAuthEnabled": "false",
        "enabled": "true",
        "ignoreValidationErrors": false,
        "keyAlias": "myCompanyKeyAlias",
        "keyStore": "ref://myCompanyKeystoreref",
        "protocols": []
      },
      "useBuiltInFreeTrialCert": false
    }

    Menguji TLS 1.3

    Untuk menguji TLS 1.3, masukkan perintah berikut:

    curl -v --tlsv1.3 "https://api.myCompany,com/testproxy"

    Perhatikan bahwa TLS 1.3 hanya dapat diuji pada klien yang mendukung protokol ini. Jika TLS 1.3 tidak aktif, Anda akan melihat pesan {i>error<i} seperti berikut:

    sslv3 alert handshake failure