このページでは、Apigee Router で上りトラフィック(クライアントと Router 間のトラフィック)用に TLS 1.3 を構成する方法を説明します。
仮想ホストの詳細については、仮想ホストをご覧ください。
Router ですべての TLS ベースの仮想ホストに対して TLS 1.3 を有効にする
Router ですべての TLS ベースの仮想ホストに対して TLS 1.3 を有効にする手順は、次のとおりです。
- Router で、次のプロパティ ファイルをエディタで開きます。
/opt/apigee/customer/application/router.properties
ファイルが存在しない場合は作成します。
- プロパティ ファイルに次の行を追加します。
conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1 TLSv1.1 TLSv1.2 TLSv1.3
サポートするすべての TLS プロトコルを追加します。各プロトコルをスペースで区切ります。プロトコルの大文字と小文字は区別されることにご注意ください。
- ファイルを保存します。
- ファイルの所有者が Apigee ユーザーであることを確認します。
chown apigee:apigee /opt/apigee/customer/application/router.properties
- Router を再起動します。
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- すべての Router ノードのそれぞれで、上記の手順を繰り返します。
特定の仮想ホストに対してのみ TLS 1.3 を有効にする
このセクションでは、特定の仮想ホストに対して TLS 1.3 を有効にする方法を説明します。TLS 1.3 を有効にするための、Management Server ノードでの手順は、次のとおりです。
- 各 Management Server ノードで、
/opt/apigee/customer/application/management-server.properties
ファイルを編集して次の行を追加します。ファイルが存在しない場合は作成します。conf_virtualhost_virtual.host.allowed.protocol.list=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3
このファイルでは、各プロトコルをカンマで区切ります(大文字と小文字が区別されます)。
- ファイルを保存します。
- ファイルの所有者が Apigee ユーザーであることを確認します。
chown apigee:apigee /opt/apigee/customer/application/management-server.properties
- Management Server を再起動します。
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- すべての Management Server ノードのそれぞれで、この手順を繰り返します。
- 次のプロパティを使用して、仮想ホストを作成します(または既存のホストを更新します)。各プロトコルをスペースで区切ります。プロトコルの大文字と小文字は区別されることにご注意ください。
"properties": { "property": [ { "name": "ssl_protocols", "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3" } ] }
このプロパティを使用した仮想ホストの例を以下に示します。
{ "hostAliases": [ "api.myCompany,com", ], "interfaces": [], "listenOptions": [], "name": "secure", "port": "443", "retryOptions": [], "properties": { "property": [ { "name": "ssl_protocols", "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3" } ] }, "sSLInfo": { "ciphers": [], "clientAuthEnabled": "false", "enabled": "true", "ignoreValidationErrors": false, "keyAlias": "myCompanyKeyAlias", "keyStore": "ref://myCompanyKeystoreref", "protocols": [] }, "useBuiltInFreeTrialCert": false }
TLS 1.3 のテスト
TLS 1.3 をテストするには、次のコマンドを入力します。
curl -v --tlsv1.3 "https://api.myCompany,com/testproxy"
TLS 1.3 のテストは、このプロトコルをサポートしているクライアントでのみ実施できます。TLS 1.3 が有効にされていない場合は、次のようなエラー メッセージが表示されます。
sslv3 alert handshake failure