本页面介绍了如何在 Apigee 路由器中针对北向流量( 客户端和路由器)。
如需了解详情,请参阅虚拟主机 虚拟主机的一些知识。
为路由器中所有基于 TLS 的虚拟主机启用 TLS 1.3
请按照以下步骤为路由器中所有基于 TLS 的虚拟主机启用 TLS 1.3:
- 在路由器上,在编辑器中打开以下属性文件。
/opt/apigee/customer/application/router.properties
如果该文件不存在,请创建该文件。
- 将下面这行代码添加到属性文件中:
conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1 TLSv1.1 TLSv1.2 TLSv1.3
添加您要支持的所有 TLS 协议。请注意,协议用空格分隔 并区分大小写。
- 保存文件。
- 确保文件归 apigee 用户所有:
chown apigee:apigee /opt/apigee/customer/application/router.properties
- 重启路由器:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- 在所有路由器节点上逐一重复上述步骤。
仅为特定虚拟主机启用 TLS 1.3
本部分介绍了如何为特定虚拟主机启用 TLS 1.3。 如需启用 TLS 1.3,请在管理服务器节点上执行以下步骤:
- 在每个管理服务器节点上,修改文件
/opt/apigee/customer/application/management-server.properties
,然后添加以下代码行。 (如果该文件不存在,请创建一个。)conf_virtualhost_virtual.host.allowed.protocol.list=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3
对于此文件,协议用英文逗号分隔(区分大小写)。
- 保存文件。
- 确保文件归 apigee 用户所有:
chown apigee:apigee /opt/apigee/customer/application/management-server.properties
- 重启管理服务器:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- 在所有管理服务器节点上逐一重复上述步骤。
- 使用以下属性创建(或更新现有的)虚拟主机。请注意,
采用空格分隔且区分大小写。
"properties": { "property": [ { "name": "ssl_protocols", "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3" } ] }
具有此属性的示例 vhost 如下所示:
{ "hostAliases": [ "api.myCompany,com", ], "interfaces": [], "listenOptions": [], "name": "secure", "port": "443", "retryOptions": [], "properties": { "property": [ { "name": "ssl_protocols", "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3" } ] }, "sSLInfo": { "ciphers": [], "clientAuthEnabled": "false", "enabled": "true", "ignoreValidationErrors": false, "keyAlias": "myCompanyKeyAlias", "keyStore": "ref://myCompanyKeystoreref", "protocols": [] }, "useBuiltInFreeTrialCert": false }
测试 TLS 1.3
如需测试 TLS 1.3,请输入以下命令:
curl -v --tlsv1.3 "https://api.myCompany,com/testproxy"
请注意,TLS 1.3 只能在支持此协议的客户端上进行测试。如果未启用 TLS 1.3 将出现类似如下的错误消息:
sslv3 alert handshake failure