Configurer TLS 1.3 pour le trafic vers le nord

Cette page explique comment configurer le protocole TLS 1.3 dans les routeurs Apigee pour le trafic en direction du nord (trafic entre un client et le routeur).

Pour plus d'informations sur les hôtes virtuels, consultez la section Hôtes virtuels.

Activer TLS 1.3 pour tous les hôtes virtuels basés sur TLS dans un routeur

Procédez comme suit afin d'activer TLS 1.3 pour tous les hôtes virtuels basés sur TLS dans un routeur:

  1. Sur le routeur, ouvrez le fichier de propriétés suivant dans un éditeur.
    /opt/apigee/customer/application/router.properties

    Si le fichier n'existe pas, créez-le.

  2. Ajoutez la ligne suivante au fichier de propriétés :
    conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1 TLSv1.1 TLSv1.2 TLSv1.3

    Ajoutez tous les protocoles TLS que vous souhaitez prendre en charge. Notez que les protocoles sont séparés par des espaces et sont sensibles à la casse.

  3. Enregistrez le fichier.
  4. Assurez-vous que le fichier appartient à l'utilisateur Apigee :
    chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. Redémarrez le routeur :
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
  6. Répétez les étapes ci-dessus sur tous les nœuds du routeur un par un.

Activer TLS 1.3 uniquement pour des hôtes virtuels spécifiques

Cette section explique comment activer TLS 1.3 pour des hôtes virtuels spécifiques. Pour activer TLS 1.3, procédez comme suit sur les nœuds du serveur de gestion:

  1. Sur chaque nœud du serveur de gestion, modifiez le fichier /opt/apigee/customer/application/management-server.properties et ajoutez la ligne suivante. (Si le fichier n'existe pas, créez-le.)
    conf_virtualhost_virtual.host.allowed.protocol.list=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3

    Pour ce fichier, les protocoles sont séparés par une virgule (et sont sensibles à la casse).

  2. Enregistrez le fichier.
  3. Assurez-vous que le fichier appartient à l'utilisateur Apigee :
    chown apigee:apigee /opt/apigee/customer/application/management-server.properties
  4. Redémarrez le serveur de gestion :
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
  5. Répétez les étapes ci-dessus un par un sur tous les nœuds du serveur de gestion.
  6. Créez (ou mettez à jour un hôte virtuel existant) avec la propriété suivante. Notez que les protocoles sont séparés par des espaces et sont sensibles à la casse.
    "properties": {
        "property": [
          {
            "name": "ssl_protocols",
            "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
          }
        ]
    }

    Voici un exemple de vhost avec cette propriété:

    {
      "hostAliases": [
        "api.myCompany,com",
      ],
      "interfaces": [],
      "listenOptions": [],
      "name": "secure",
      "port": "443",
      "retryOptions": [],
      "properties": {
        "property": [
          {
            "name": "ssl_protocols",
            "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
          }
        ]
      },
      "sSLInfo": {
        "ciphers": [],
        "clientAuthEnabled": "false",
        "enabled": "true",
        "ignoreValidationErrors": false,
        "keyAlias": "myCompanyKeyAlias",
        "keyStore": "ref://myCompanyKeystoreref",
        "protocols": []
      },
      "useBuiltInFreeTrialCert": false
    }

    Test de TLS 1.3

    Pour tester TLS 1.3, saisissez la commande suivante:

    curl -v --tlsv1.3 "https://api.myCompany,com/testproxy"

    Notez que TLS 1.3 ne peut être testé que sur des clients compatibles avec ce protocole. Si TLS 1.3 n'est pas activé, un message d'erreur semblable à celui-ci s'affiche :

    sslv3 alert handshake failure