Mengonfigurasi TLS 1.3 untuk traffic ke utara

Halaman ini menjelaskan cara mengonfigurasi TLS 1.3 di Router Apigee untuk traffic ke utara (traffic antara klien dan Router).

Lihat Host virtual untuk informasi selengkapnya tentang host virtual.

Mengaktifkan TLS 1.3 untuk semua host virtual berbasis TLS di Router

Gunakan prosedur berikut guna mengaktifkan TLS 1.3 untuk semua host virtual berbasis TLS di Router:

  1. Di Router, buka file properti berikut di editor.
    /opt/apigee/customer/application/router.properties

    Jika file tidak ada, buat file tersebut.

  2. Tambahkan baris berikut ke file properti:
    conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1 TLSv1.1 TLSv1.2 TLSv1.3

    Tambahkan semua protokol TLS yang ingin Anda dukung. Perhatikan bahwa protokol dipisahkan spasi dan peka huruf besar/kecil.

  3. Simpan file.
  4. Pastikan file dimiliki oleh pengguna apigee:
    chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. Mulai ulang Router:
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
  6. Ulangi langkah-langkah di atas pada semua node Router satu per satu.

Aktifkan TLS 1.3 hanya untuk host virtual tertentu

Bagian ini menjelaskan cara mengaktifkan TLS 1.3 untuk host virtual tertentu. Untuk mengaktifkan TLS 1.3, lakukan langkah-langkah berikut pada node server Pengelolaan:

  1. Pada setiap node server Pengelolaan, edit file /opt/apigee/customer/application/management-server.properties dan tambahkan baris berikut. (Jika file tidak ada, buat file tersebut.)
    conf_virtualhost_virtual.host.allowed.protocol.list=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3

    Untuk file ini, protokol dipisahkan koma (dan peka huruf besar/kecil).

  2. Simpan file.
  3. Pastikan file dimiliki oleh pengguna apigee:
    chown apigee:apigee /opt/apigee/customer/application/management-server.properties
  4. Mulai ulang server Pengelolaan:
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
  5. Ulangi langkah-langkah di atas pada semua node server Pengelolaan satu per satu.
  6. Buat (atau perbarui host virtual yang ada) dengan properti berikut. Perhatikan bahwa protokol dipisahkan spasi dan peka huruf besar/kecil.
    "properties": {
        "property": [
          {
            "name": "ssl_protocols",
            "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
          }
        ]
    }

    Contoh vhost dengan properti ini ditunjukkan di bawah ini:

    {
      "hostAliases": [
        "api.myCompany,com",
      ],
      "interfaces": [],
      "listenOptions": [],
      "name": "secure",
      "port": "443",
      "retryOptions": [],
      "properties": {
        "property": [
          {
            "name": "ssl_protocols",
            "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
          }
        ]
      },
      "sSLInfo": {
        "ciphers": [],
        "clientAuthEnabled": "false",
        "enabled": "true",
        "ignoreValidationErrors": false,
        "keyAlias": "myCompanyKeyAlias",
        "keyStore": "ref://myCompanyKeystoreref",
        "protocols": []
      },
      "useBuiltInFreeTrialCert": false
    }

    Menguji TLS 1.3

    Untuk menguji TLS 1.3, masukkan perintah berikut:

    curl -v --tlsv1.3 "https://api.myCompany,com/testproxy"

    Perhatikan bahwa TLS 1.3 hanya dapat diuji pada klien yang mendukung protokol ini. Jika TLS 1.3 tidak diaktifkan, Anda akan melihat pesan error seperti berikut:

    sslv3 alert handshake failure