为北向流量配置 TLS 1.3

本页面介绍了如何在 Apigee 路由器中针对北向流量( 客户端和路由器)。

如需了解详情,请参阅虚拟主机 虚拟主机的一些知识。

为路由器中所有基于 TLS 的虚拟主机启用 TLS 1.3

请按照以下步骤为路由器中所有基于 TLS 的虚拟主机启用 TLS 1.3:

  1. 在路由器上,在编辑器中打开以下属性文件。
    /opt/apigee/customer/application/router.properties

    如果该文件不存在,请创建该文件。

  2. 将下面这行代码添加到属性文件中:
    conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1 TLSv1.1 TLSv1.2 TLSv1.3

    添加您要支持的所有 TLS 协议。请注意,协议用空格分隔 并区分大小写。

  3. 保存文件。
  4. 确保文件归 apigee 用户所有:
    chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. 重启路由器:
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
  6. 在所有路由器节点上逐一重复上述步骤。

仅为特定虚拟主机启用 TLS 1.3

本部分介绍了如何为特定虚拟主机启用 TLS 1.3。 如需启用 TLS 1.3,请在管理服务器节点上执行以下步骤:

  1. 在每个管理服务器节点上,修改文件 /opt/apigee/customer/application/management-server.properties,然后添加以下代码行。 (如果该文件不存在,请创建一个。)
    conf_virtualhost_virtual.host.allowed.protocol.list=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3

    对于此文件,协议用英文逗号分隔(区分大小写)。

  2. 保存文件。
  3. 确保文件归 apigee 用户所有:
    chown apigee:apigee /opt/apigee/customer/application/management-server.properties
  4. 重启管理服务器:
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
  5. 在所有管理服务器节点上逐一重复上述步骤。
  6. 使用以下属性创建(或更新现有的)虚拟主机。请注意, 采用空格分隔且区分大小写。
    "properties": {
        "property": [
          {
            "name": "ssl_protocols",
            "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
          }
        ]
    }

    具有此属性的示例 vhost 如下所示:

    {
      "hostAliases": [
        "api.myCompany,com",
      ],
      "interfaces": [],
      "listenOptions": [],
      "name": "secure",
      "port": "443",
      "retryOptions": [],
      "properties": {
        "property": [
          {
            "name": "ssl_protocols",
            "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
          }
        ]
      },
      "sSLInfo": {
        "ciphers": [],
        "clientAuthEnabled": "false",
        "enabled": "true",
        "ignoreValidationErrors": false,
        "keyAlias": "myCompanyKeyAlias",
        "keyStore": "ref://myCompanyKeystoreref",
        "protocols": []
      },
      "useBuiltInFreeTrialCert": false
    }

    测试 TLS 1.3

    如需测试 TLS 1.3,请输入以下命令:

    curl -v --tlsv1.3 "https://api.myCompany,com/testproxy"

    请注意,TLS 1.3 只能在支持此协议的客户端上进行测试。如果未启用 TLS 1.3 将出现类似如下的错误消息:

    sslv3 alert handshake failure