דף זה תורגם על ידי Cloud Translation API.

הגדרה של TLS 1.3 לתנועה לכיוון צפון

בדף זה מוסבר איך להגדיר TLS 1.3 ב-Apigee Routers לתנועה לכיוון צפון (תנועה בין לקוח לנתב).

כדי להשתמש ב-TLS 1.3, מערכת ההפעלה של Red Hat Enterprise Linux (RHEL) 8.0 ואילך שתומכת בספריית openssl 1.1 צריכה להיות מותקנת בצמתים שמארחים את הנתב.

למידע נוסף על מארחים וירטואליים, קראו את הקטע מארחים וירטואליים.

הפעלת TLS 1.3 לכל המארחים הווירטואליים המבוססים על TLS בנתב

כדי להפעיל את TLS 1.3 עבור כל המארחים הווירטואליים המבוססים על TLS בנתב, משתמשים בתהליך הבא:

בנתב, פותחים בעורך את קובץ המאפיינים הבא.
```
/opt/apigee/customer/application/router.properties
```
אם הקובץ לא קיים, יוצרים אותו.
מוסיפים את השורה הבאה לקובץ המאפיינים:
```
conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1 TLSv1.1 TLSv1.2 TLSv1.3
```
צריך להוסיף את כל פרוטוקולי ה-TLS שבהם רוצים לתמוך. חשוב לשים לב שהפרוטוקולים מופרדים ברווחים ותלויים באותיות רישיות.
שומרים את הקובץ.

מוודאים שהקובץ נמצא בבעלות משתמש API:

chown apigee:apigee /opt/apigee/customer/application/router.properties

מפעילים מחדש את הנתב:

/opt/apigee/apigee-service/bin/apigee-service edge-router restart

חוזרים על השלבים שלמעלה בכל צומתי הנתב, אחד בכל פעם.

הפעלת TLS 1.3 למארחים וירטואליים ספציפיים בלבד

הקטע הזה מסביר איך להפעיל את TLS 1.3 למארחים וירטואליים ספציפיים. כדי להפעיל את TLS 1.3, יש לבצע את השלבים הבאים בצמתים של שרת הניהול:

בכל צומת של שרת ניהול, עורכים את הקובץ /opt/apigee/customer/application/management-server.properties ומוסיפים את השורה הבאה. (אם הקובץ לא קיים, יוצרים אותו).
```
conf_virtualhost_virtual.host.allowed.protocol.list=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3
```
בקובץ זה, הפרוטוקולים מופרדים בפסיקים (ותלויי אותיות רישיות).
שומרים את הקובץ.

מוודאים שהקובץ נמצא בבעלות משתמש API:

chown apigee:apigee /opt/apigee/customer/application/management-server.properties

מפעילים מחדש את שרת הניהול:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

חוזרים על השלבים שלמעלה בכל הצמתים של שרת הניהול, בזה אחר זה.

יוצרים (או מעדכנים מארח וירטואלי קיים) באמצעות הנכס הבא. חשוב לזכור שהפרוטוקולים מופרדים ברווחים ותלויים באותיות רישיות.

"properties": {
    "property": [
      {
        "name": "ssl_protocols",
        "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
      }
    ]
}

למטה מופיעה דוגמה ל-vhost עם הנכס הזה:

{
  "hostAliases": [
    "api.myCompany,com",
  ],
  "interfaces": [],
  "listenOptions": [],
  "name": "secure",
  "port": "443",
  "retryOptions": [],
  "properties": {
    "property": [
      {
        "name": "ssl_protocols",
        "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
      }
    ]
  },
  "sSLInfo": {
    "ciphers": [],
    "clientAuthEnabled": "false",
    "enabled": "true",
    "ignoreValidationErrors": false,
    "keyAlias": "myCompanyKeyAlias",
    "keyStore": "ref://myCompanyKeystoreref",
    "protocols": []
  },
  "useBuiltInFreeTrialCert": false
}

בדיקת TLS 1.3

כדי לבדוק את TLS 1.3, מזינים את הפקודה הבאה:

curl -v --tlsv1.3 "https://api.myCompany,com/testproxy"

חשוב לציין שניתן לבדוק את TLS 1.3 רק בלקוחות שתומכים בפרוטוקול הזה. אם TLS 1.3 לא מופעל, תוצג הודעת שגיאה בנוסח הבא:

sslv3 alert handshake failure