Configura TLS 1.3 para el tráfico norte

En esta página, se explica cómo configurar TLS 1.3 en los routers de Apigee para el tráfico norte (tráfico entre un cliente y el router).

Consulta la sección Hosts virtuales para obtener más información sobre los hosts virtuales.

Habilitar TLS 1.3 para todos los hosts virtuales basados en TLS de un router

Usa el siguiente procedimiento a fin de habilitar TLS 1.3 para todos los hosts virtuales basados en TLS en un router:

  1. En el router, abre el siguiente archivo de propiedades en un editor.
    /opt/apigee/customer/application/router.properties

    Si el archivo no existe, créalo.

  2. Agrega la siguiente línea al archivo de propiedades:
    conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1 TLSv1.1 TLSv1.2 TLSv1.3

    Agrega todos los protocolos TLS que desees admitir. Ten en cuenta que los protocolos están separados por espacios y distinguen mayúsculas de minúsculas.

  3. Guarda el archivo.
  4. Asegúrate de que el archivo sea propiedad del usuario de Apigee:
    chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. Reinicia el router:
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
  6. Repite los pasos anteriores en todos los nodos del router.

Habilitar TLS 1.3 solo para hosts virtuales específicos

En esta sección, se explica cómo habilitar TLS 1.3 para hosts virtuales específicos. Para habilitar TLS 1.3, realiza los siguientes pasos en los nodos del servidor de administración:

  1. En cada nodo del servidor de administración, edita el archivo /opt/apigee/customer/application/management-server.properties y agrega la siguiente línea. (Si el archivo no existe, créalo).
    conf_virtualhost_virtual.host.allowed.protocol.list=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3

    En este archivo, los protocolos están separados por comas (y distinguen mayúsculas de minúsculas).

  2. Guarda el archivo.
  3. Asegúrate de que el archivo sea propiedad del usuario de Apigee:
    chown apigee:apigee /opt/apigee/customer/application/management-server.properties
  4. Reinicia el servidor de administración:
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
  5. Repita los pasos anteriores en todos los nodos del servidor de administración.
  6. Crea (o actualiza) un host virtual con la siguiente propiedad. Ten en cuenta que los protocolos están separados por espacios y distinguen mayúsculas de minúsculas.
    "properties": {
        "property": [
          {
            "name": "ssl_protocols",
            "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
          }
        ]
    }

    A continuación, se muestra un ejemplo de vhost con esta propiedad:

    {
      "hostAliases": [
        "api.myCompany,com",
      ],
      "interfaces": [],
      "listenOptions": [],
      "name": "secure",
      "port": "443",
      "retryOptions": [],
      "properties": {
        "property": [
          {
            "name": "ssl_protocols",
            "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
          }
        ]
      },
      "sSLInfo": {
        "ciphers": [],
        "clientAuthEnabled": "false",
        "enabled": "true",
        "ignoreValidationErrors": false,
        "keyAlias": "myCompanyKeyAlias",
        "keyStore": "ref://myCompanyKeystoreref",
        "protocols": []
      },
      "useBuiltInFreeTrialCert": false
    }

    Prueba TLS 1.3

    Para probar TLS 1.3, ingrese el siguiente comando:

    curl -v --tlsv1.3 "https://api.myCompany,com/testproxy"

    Ten en cuenta que TLS 1.3 solo se puede probar en clientes que admitan este protocolo. Si TLS 1.3 no está habilitado, verás un mensaje de error como el siguiente:

    sslv3 alert handshake failure