북쪽 방향 트래픽에 TLS 1.3 구성

이 페이지에서는 Apigee 라우터에서 북쪽 수신 트래픽 (클라이언트와 라우터 간의 트래픽)에 대해 TLS 1.3을 구성하는 방법을 설명합니다.

가상 호스트에 대한 자세한 내용은 가상 호스트를 참조하세요.

라우터의 모든 TLS 기반 가상 호스트에 TLS 1.3 사용 설정

라우터의 모든 TLS 기반 가상 호스트에 TLS 1.3을 사용 설정하려면 다음 절차를 따르세요.

  1. 라우터의 편집기에서 다음 속성 파일을 엽니다. 
    /opt/apigee/customer/application/router.properties

    파일이 없으면 새로 만듭니다.

  2. 속성 파일에 다음 줄을 추가합니다. 
    conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1 TLSv1.1 TLSv1.2 TLSv1.3

    지원하려는 모든 TLS 프로토콜을 추가합니다. 프로토콜은 공백으로 구분되고 대소문자를 구분합니다.

  3. 파일을 저장합니다.
  4. Apigee 사용자가 파일을 소유하고 있는지 확인합니다. 
    chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. 라우터를 다시 시작합니다. 
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
  6. 모든 라우터 노드에서 위의 단계를 하나씩 반복합니다.

특정 가상 호스트에만 TLS 1.3 사용 설정

이 섹션에서는 특정 가상 호스트에 TLS 1.3을 사용 설정하는 방법을 설명합니다. TLS 1.3을 사용 설정하려면 관리 서버 노드에서 다음 단계를 수행합니다.

  1. 각 관리 서버 노드에서 /opt/apigee/customer/application/management-server.properties 파일을 수정하고 다음 줄을 추가합니다. 파일이 없으면 새로 만듭니다. 
    conf_virtualhost_virtual.host.allowed.protocol.list=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3

    이 파일에서 프로토콜은 쉼표로 구분되며 대소문자를 구분합니다.

  2. 파일을 저장합니다.
  3. Apigee 사용자가 파일을 소유하고 있는지 확인합니다. 
    chown apigee:apigee /opt/apigee/customer/application/management-server.properties
  4. 관리 서버를 다시 시작합니다. 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
  5. 모든 관리 서버 노드에서 위의 단계를 하나씩 반복합니다.
  6. 다음 속성을 사용하여 가상 호스트를 만들거나 기존 가상 호스트를 업데이트합니다. 프로토콜은 공백으로 구분되고 대소문자를 구분합니다. 
    "properties": {
    "property": [
      {
        "name": "ssl_protocols",
        "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
      }
    ]
}

    다음은 이 속성이 포함된 샘플 vhost입니다.

    {
  "hostAliases": [
    "api.myCompany,com",
  ],
  "interfaces": [],
  "listenOptions": [],
  "name": "secure",
  "port": "443",
  "retryOptions": [],
  "properties": {
    "property": [
      {
        "name": "ssl_protocols",
        "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
      }
    ]
  },
  "sSLInfo": {
    "ciphers": [],
    "clientAuthEnabled": "false",
    "enabled": "true",
    "ignoreValidationErrors": false,
    "keyAlias": "myCompanyKeyAlias",
    "keyStore": "ref://myCompanyKeystoreref",
    "protocols": []
  },
  "useBuiltInFreeTrialCert": false
}

    TLS 1.3 테스트

    TLS 1.3을 테스트하려면 다음 명령어를 입력하세요.

    curl -v --tlsv1.3 "https://api.myCompany,com/testproxy"

    TLS 1.3은 이 프로토콜을 지원하는 클라이언트에서만 테스트할 수 있습니다. TLS 1.3이 사용 설정되지 않은 경우 다음과 같은 오류 메시지가 표시됩니다. 

    sslv3 alert handshake failure