Auf dieser Seite wird erläutert, wie TLS 1.3 in Apigee-Routern für Traffic in Norden (Traffic zwischen einem Client und dem Router) konfiguriert wird.
Weitere Informationen zu virtuellen Hosts finden Sie unter Virtuelle Hosts.
TLS 1.3 für alle TLS-basierten virtuellen Hosts in einem Router aktivieren
So aktivieren Sie TLS 1.3 für alle TLS-basierten virtuellen Hosts in einem Router:
- Öffnen Sie auf dem Router die folgende Eigenschaftendatei in einem Editor.
/opt/apigee/customer/application/router.properties
Wenn die Datei nicht vorhanden ist, erstellen Sie sie.
- Fügen Sie der Attributdatei die folgende Zeile hinzu:
conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1 TLSv1.1 TLSv1.2 TLSv1.3
Fügen Sie alle TLS-Protokolle hinzu, die Sie unterstützen möchten. Beachten Sie, dass die Protokolle durch Leerzeichen getrennt sind und die Groß- und Kleinschreibung beachtet werden muss.
- Speichere die Datei.
- Achten Sie darauf, dass die Datei dem Apigee-Nutzer gehört:
chown apigee:apigee /opt/apigee/customer/application/router.properties
- Starten Sie den Router neu:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- Wiederholen Sie die obigen Schritte nacheinander auf allen Routerknoten.
TLS 1.3 nur für bestimmte virtuelle Hosts aktivieren
In diesem Abschnitt wird erläutert, wie TLS 1.3 für bestimmte virtuelle Hosts aktiviert wird. Führen Sie die folgenden Schritte auf den Verwaltungsserverknoten aus, um TLS 1.3 zu aktivieren:
- Bearbeiten Sie auf jedem Verwaltungsserverknoten die Datei
/opt/apigee/customer/application/management-server.propertiesund fügen Sie die folgende Zeile hinzu. Falls die Datei nicht vorhanden ist, erstellen Sie sie.conf_virtualhost_virtual.host.allowed.protocol.list=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3
Bei dieser Datei sind die Protokolle durch Kommas getrennt (Groß- und Kleinschreibung wird beachtet).
- Speichere die Datei.
- Achten Sie darauf, dass die Datei dem Apigee-Nutzer gehört:
chown apigee:apigee /opt/apigee/customer/application/management-server.properties
- Starten Sie den Verwaltungsserver neu:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- Wiederholen Sie die oben genannten Schritte nacheinander für alle Verwaltungsserverknoten.
- Erstellen (oder aktualisieren Sie einen vorhandenen) virtuellen Host mit der folgenden Eigenschaft. Beachten Sie, dass die Protokolle durch Leerzeichen getrennt sind und die Groß- und Kleinschreibung beachtet werden.
"properties": { "property": [ { "name": "ssl_protocols", "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3" } ] }Im Folgenden sehen Sie ein Beispiel für einen Vhost mit dieser Eigenschaft:
{ "hostAliases": [ "api.myCompany,com", ], "interfaces": [], "listenOptions": [], "name": "secure", "port": "443", "retryOptions": [], "properties": { "property": [ { "name": "ssl_protocols", "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3" } ] }, "sSLInfo": { "ciphers": [], "clientAuthEnabled": "false", "enabled": "true", "ignoreValidationErrors": false, "keyAlias": "myCompanyKeyAlias", "keyStore": "ref://myCompanyKeystoreref", "protocols": [] }, "useBuiltInFreeTrialCert": false }TLS 1.3 testen
Geben Sie den folgenden Befehl ein, um TLS 1.3 zu testen:
curl -v --tlsv1.3 "https://api.myCompany,com/testproxy"
TLS 1.3 kann nur auf Clients getestet werden, die dieses Protokoll unterstützen. Wenn TLS 1.3 nicht aktiviert ist, wird eine Fehlermeldung wie die folgende angezeigt:
sslv3 alert handshake failure