ضبط TLS 1.3 للزيارات الشمالية

تشرح هذه الصفحة كيفية ضبط الإصدار 1.3 من بروتوكول أمان طبقة النقل (TLS) في أجهزة توجيه Apigee لحركة المرور باتجاه الشمال (حركة البيانات بين العميل وجهاز التوجيه).

راجع الأجهزة المضيفة الافتراضية للحصول على مزيد من المعلومات حول المضيفين الافتراضيين.

تفعيل الإصدار 1.3 من بروتوكول أمان طبقة النقل (TLS) لجميع المضيفين الافتراضيين المستنِدين إلى بروتوكول أمان طبقة النقل (TLS) في جهاز التوجيه

اتّبِع الإجراء التالي لتفعيل الإصدار 1.3 من بروتوكول أمان طبقة النقل (TLS) لجميع المضيفين الافتراضيين المستنِدين إلى بروتوكول أمان طبقة النقل (TLS) في جهاز التوجيه:

  1. في جهاز التوجيه، افتح ملف الخصائص التالية في أحد المحرِّرين.
    /opt/apigee/customer/application/router.properties

    إذا لم يكن الملف موجودًا، فأنشئه.

  2. أضِف السطر التالي إلى ملف السمات:
    conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1 TLSv1.1 TLSv1.2 TLSv1.3

    أضِف جميع بروتوكولات بروتوكول أمان طبقة النقل (TLS) التي تريد إتاحة الوصول إليها. يُرجى العلم أنّ البروتوكولات مفصولة بمسافات وحساسة لحالة الأحرف.

  3. احفظ الملف.
  4. تأكَّد من أنّ الملف يملكه مستخدم apigee:
    chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. عليك إعادة تشغيل جهاز التوجيه:
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
  6. كرِّر الخطوات المذكورة أعلاه على جميع عُقد جهاز التوجيه واحدة تلو الأخرى.

تفعيل الإصدار 1.3 من بروتوكول أمان طبقة النقل (TLS) لمضيفات افتراضية محدَّدة فقط

يوضِّح هذا القسم كيفية تفعيل الإصدار 1.3 من بروتوكول أمان طبقة النقل (TLS) لمضيفات افتراضية محدَّدة. لتفعيل الإصدار 1.3 من بروتوكول أمان طبقة النقل (TLS)، يمكنك تنفيذ الخطوات التالية على عُقد خادم الإدارة:

  1. في كل عقدة خادم الإدارة، عدِّل الملف /opt/apigee/customer/application/management-server.properties وأضِف السطر التالي. (إذا لم يكن الملف موجودًا، أنشئه).
    conf_virtualhost_virtual.host.allowed.protocol.list=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3

    بالنسبة إلى هذا الملف، تكون البروتوكولات مفصولة بفواصل (وحساسة لحالة الأحرف).

  2. احفظ الملف.
  3. تأكَّد من أنّ الملف يملكه مستخدم apigee:
    chown apigee:apigee /opt/apigee/customer/application/management-server.properties
  4. أعِد تشغيل خادم الإدارة:
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
  5. كرِّر الخطوات المذكورة أعلاه على جميع عُقد خادم الإدارة واحدة تلو الأخرى.
  6. يمكنك إنشاء (أو تعديل مضيف افتراضي) باستخدام الموقع التالي. يُرجى العِلم أنّ البروتوكولات مفصولة بمسافة وحساسة لحالة الأحرف.
    "properties": {
        "property": [
          {
            "name": "ssl_protocols",
            "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
          }
        ]
    }

    في ما يلي نموذج لمضيف مرئي يتضمّن هذه السمة:

    {
      "hostAliases": [
        "api.myCompany,com",
      ],
      "interfaces": [],
      "listenOptions": [],
      "name": "secure",
      "port": "443",
      "retryOptions": [],
      "properties": {
        "property": [
          {
            "name": "ssl_protocols",
            "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
          }
        ]
      },
      "sSLInfo": {
        "ciphers": [],
        "clientAuthEnabled": "false",
        "enabled": "true",
        "ignoreValidationErrors": false,
        "keyAlias": "myCompanyKeyAlias",
        "keyStore": "ref://myCompanyKeystoreref",
        "protocols": []
      },
      "useBuiltInFreeTrialCert": false
    }

    اختبار الإصدار 1.3 من بروتوكول أمان طبقة النقل (TLS)

    لاختبار الإصدار 1.3 من بروتوكول أمان طبقة النقل (TLS)، أدخِل الأمر التالي:

    curl -v --tlsv1.3 "https://api.myCompany,com/testproxy"

    يُرجى ملاحظة أنّه لا يمكن اختبار الإصدار 1.3 من بروتوكول أمان طبقة النقل (TLS) إلا على البرامج التي تتوافق مع هذا البروتوكول. في حال عدم تفعيل الإصدار 1.3 من بروتوكول أمان طبقة النقل (TLS)، ستظهر لك رسالة خطأ كما يلي:

    sslv3 alert handshake failure