上りトラフィック用に TLS 1.3 を構成する

このページでは、Apigee Router で上りトラフィック(クライアントと Router 間のトラフィック)用に TLS 1.3 を構成する方法を説明します。

仮想ホストの詳細については、仮想ホストをご覧ください。

Router ですべての TLS ベースの仮想ホストに対して TLS 1.3 を有効にする

Router ですべての TLS ベースの仮想ホストに対して TLS 1.3 を有効にする手順は、次のとおりです。

  1. Router で、次のプロパティ ファイルをエディタで開きます。
    /opt/apigee/customer/application/router.properties

    ファイルが存在しない場合は作成します。

  2. プロパティ ファイルに次の行を追加します。
    conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1 TLSv1.1 TLSv1.2 TLSv1.3

    サポートするすべての TLS プロトコルを追加します。各プロトコルをスペースで区切ります。プロトコルの大文字と小文字は区別されることにご注意ください。

  3. ファイルを保存します。
  4. ファイルの所有者が Apigee ユーザーであることを確認します。
    chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. Router を再起動します。
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
  6. すべての Router ノードのそれぞれで、上記の手順を繰り返します。

特定の仮想ホストに対してのみ TLS 1.3 を有効にする

このセクションでは、特定の仮想ホストに対して TLS 1.3 を有効にする方法を説明します。TLS 1.3 を有効にするための、Management Server ノードでの手順は、次のとおりです。

  1. 各 Management Server ノードで、/opt/apigee/customer/application/management-server.properties ファイルを編集して次の行を追加します。ファイルが存在しない場合は作成します。
    conf_virtualhost_virtual.host.allowed.protocol.list=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3

    このファイルでは、各プロトコルをカンマで区切ります(大文字と小文字が区別されます)。

  2. ファイルを保存します。
  3. ファイルの所有者が Apigee ユーザーであることを確認します。
    chown apigee:apigee /opt/apigee/customer/application/management-server.properties
  4. Management Server を再起動します。
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
  5. すべての Management Server ノードのそれぞれで、この手順を繰り返します。
  6. 次のプロパティを使用して、仮想ホストを作成します(または既存のホストを更新します)。各プロトコルをスペースで区切ります。プロトコルの大文字と小文字は区別されることにご注意ください。
    "properties": {
        "property": [
          {
            "name": "ssl_protocols",
            "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
          }
        ]
    }

    このプロパティを使用した仮想ホストの例を以下に示します。

    {
      "hostAliases": [
        "api.myCompany,com",
      ],
      "interfaces": [],
      "listenOptions": [],
      "name": "secure",
      "port": "443",
      "retryOptions": [],
      "properties": {
        "property": [
          {
            "name": "ssl_protocols",
            "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
          }
        ]
      },
      "sSLInfo": {
        "ciphers": [],
        "clientAuthEnabled": "false",
        "enabled": "true",
        "ignoreValidationErrors": false,
        "keyAlias": "myCompanyKeyAlias",
        "keyStore": "ref://myCompanyKeystoreref",
        "protocols": []
      },
      "useBuiltInFreeTrialCert": false
    }

    TLS 1.3 のテスト

    TLS 1.3 をテストするには、次のコマンドを入力します。

    curl -v --tlsv1.3 "https://api.myCompany,com/testproxy"

    TLS 1.3 のテストは、このプロトコルをサポートしているクライアントでのみ実施できます。TLS 1.3 が有効にされていない場合は、次のようなエラー メッセージが表示されます。

    sslv3 alert handshake failure