پیکربندی TLS 1.3 برای ترافیک شمال

این صفحه نحوه پیکربندی TLS 1.3 را در مسیریاب‌های Apigee برای ترافیک شمال (ترافیک بین مشتری و روتر) توضیح می‌دهد.

برای اطلاعات بیشتر در مورد هاست های مجازی به هاست های مجازی مراجعه کنید.

TLS 1.3 را برای همه میزبان های مجازی مبتنی بر TLS در یک روتر فعال کنید

از روش زیر برای فعال کردن TLS 1.3 برای همه میزبان های مجازی مبتنی بر TLS در روتر استفاده کنید:

  1. در روتر، فایل خواص زیر را در یک ویرایشگر باز کنید.
    /opt/apigee/customer/application/router.properties

    اگر فایل وجود ندارد، آن را ایجاد کنید.

  2. خط زیر را به فایل خواص اضافه کنید:
    conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1 TLSv1.1 TLSv1.2 TLSv1.3

    همه پروتکل های TLS را که می خواهید پشتیبانی کنید اضافه کنید. توجه داشته باشید که پروتکل ها با فاصله از هم جدا شده و به حروف کوچک و بزرگ حساس هستند.

  3. فایل را ذخیره کنید.
  4. مطمئن شوید که فایل متعلق به کاربر apigee است:
    chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. روتر را مجددا راه اندازی کنید:
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
  6. مراحل بالا را در تمام گره های روتر یک به یک تکرار کنید.

TLS 1.3 را فقط برای میزبان های مجازی خاص فعال کنید

این بخش نحوه فعال کردن TLS 1.3 را برای میزبان های مجازی خاص توضیح می دهد. برای فعال کردن TLS 1.3، مراحل زیر را در گره‌های سرور مدیریت انجام دهید:

  1. در هر گره سرور مدیریت، فایل /opt/apigee/customer/application/management-server.properties را ویرایش کنید و خط زیر را اضافه کنید. (اگر فایل وجود ندارد، آن را ایجاد کنید.)
    conf_virtualhost_virtual.host.allowed.protocol.list=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3

    برای این فایل، پروتکل ها با کاما از هم جدا شده اند (و حساس به حروف کوچک و بزرگ).

  2. فایل را ذخیره کنید.
  3. مطمئن شوید که فایل متعلق به کاربر apigee است:
    chown apigee:apigee /opt/apigee/customer/application/management-server.properties
  4. سرور مدیریت را راه اندازی مجدد کنید:
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
  5. مراحل بالا را در تمام گره های سرور مدیریت یک به یک تکرار کنید.
  6. یک هاست مجازی موجود را با ویژگی زیر ایجاد کنید (یا به روز کنید). توجه داشته باشید که پروتکل ها با فاصله از هم جدا شده و به حروف کوچک و بزرگ حساس هستند.
    "properties": {
        "property": [
          {
            "name": "ssl_protocols",
            "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
          }
        ]
    }

    نمونه vhost با این ویژگی در زیر نشان داده شده است:

    {
      "hostAliases": [
        "api.myCompany,com",
      ],
      "interfaces": [],
      "listenOptions": [],
      "name": "secure",
      "port": "443",
      "retryOptions": [],
      "properties": {
        "property": [
          {
            "name": "ssl_protocols",
            "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
          }
        ]
      },
      "sSLInfo": {
        "ciphers": [],
        "clientAuthEnabled": "false",
        "enabled": "true",
        "ignoreValidationErrors": false,
        "keyAlias": "myCompanyKeyAlias",
        "keyStore": "ref://myCompanyKeystoreref",
        "protocols": []
      },
      "useBuiltInFreeTrialCert": false
    }

    تست TLS 1.3

    برای تست TLS 1.3 دستور زیر را وارد کنید:

    curl -v --tlsv1.3 "https://api.myCompany,com/testproxy"

    توجه داشته باشید که TLS 1.3 را فقط می توان روی کلاینت هایی آزمایش کرد که از این پروتکل پشتیبانی می کنند. اگر TLS 1.3 فعال نباشد، یک پیغام خطایی مانند زیر مشاهده خواهید کرد:

    sslv3 alert handshake failure