Questa pagina è stata tradotta dall'API Cloud Translation.

Configurazione di TLS 1.3 per il traffico in direzione nord

Questa pagina spiega come configurare TLS 1.3 nei router Apigee per il traffico in direzione nord (traffico tra un client e il router).

Per utilizzare TLS 1.3, i nodi che ospitano il router devono avere installato il sistema operativo Red Hat Enterprise Linux (RHEL) 8.0 (o versioni successive), che supporta la libreria openssl 1.1.

Per saperne di più sugli host virtuali, consulta Host virtuali.

Attivare TLS 1.3 per tutti gli host virtuali basati su TLS in un router

Usa la seguente procedura per abilitare TLS 1.3 per tutti gli host virtuali basati su TLS in un router:

Sul router, apri il seguente file delle proprietà in un editor.
```
/opt/apigee/customer/application/router.properties
```
Se il file non esiste, crealo.
Aggiungi la seguente riga al file delle proprietà:
```
conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1 TLSv1.1 TLSv1.2 TLSv1.3
```
Aggiungi tutti i protocolli TLS che vuoi supportare. Tieni presente che i protocolli sono separati da spazi e sensibili alle maiuscole.
Salva il file.

Assicurati che il file sia di proprietà di un utente Apigee:

chown apigee:apigee /opt/apigee/customer/application/router.properties

Riavvia il router:

/opt/apigee/apigee-service/bin/apigee-service edge-router restart

Ripeti i passaggi precedenti su tutti i nodi del router uno alla volta.

Attivare TLS 1.3 solo per host virtuali specifici

Questa sezione spiega come abilitare TLS 1.3 per host virtuali specifici. Per abilitare TLS 1.3, segui questi passaggi sui nodi del server di gestione:

Su ciascun nodo del server di gestione, modifica il file /opt/apigee/customer/application/management-server.properties e aggiungi la riga seguente. Se il file non esiste, crealo.
```
conf_virtualhost_virtual.host.allowed.protocol.list=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3
```
Per questo file, i protocolli sono separati da virgole (e sensibili alle maiuscole).
Salva il file.

Assicurati che il file sia di proprietà di un utente Apigee:

chown apigee:apigee /opt/apigee/customer/application/management-server.properties

Riavvia il server di gestione:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Ripeti i passaggi precedenti su tutti i nodi del server di gestione uno alla volta.

Crea (o aggiorna un host virtuale esistente) con la seguente proprietà. Tieni presente che i protocolli sono separati da spazi e sensibili alle maiuscole.

"properties": {
    "property": [
      {
        "name": "ssl_protocols",
        "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
      }
    ]
}

Di seguito è mostrato un vhost di esempio con questa proprietà:

{
  "hostAliases": [
    "api.myCompany,com",
  ],
  "interfaces": [],
  "listenOptions": [],
  "name": "secure",
  "port": "443",
  "retryOptions": [],
  "properties": {
    "property": [
      {
        "name": "ssl_protocols",
        "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
      }
    ]
  },
  "sSLInfo": {
    "ciphers": [],
    "clientAuthEnabled": "false",
    "enabled": "true",
    "ignoreValidationErrors": false,
    "keyAlias": "myCompanyKeyAlias",
    "keyStore": "ref://myCompanyKeystoreref",
    "protocols": []
  },
  "useBuiltInFreeTrialCert": false
}

Test di TLS 1.3

Per testare TLS 1.3, inserisci il seguente comando:

curl -v --tlsv1.3 "https://api.myCompany,com/testproxy"

Tieni presente che TLS 1.3 può essere testato solo su client che supportano questo protocollo. Se TLS 1.3 non è abilitato, verrà visualizzato un messaggio di errore simile al seguente:

sslv3 alert handshake failure