Konfigurowanie protokołu TLS 1.3 dla ruchu z północy

Na tej stronie objaśniamy, jak skonfigurować protokół TLS 1.3 w routerach Apigee dla ruchu kierowanego na północ (ruch między klientem a routerem).

Więcej informacji o hostach wirtualnych znajdziesz w artykule Hosty wirtualne.

Włącz TLS 1.3 dla wszystkich hostów wirtualnych opartych na TLS w routerze

Wykonaj poniższe czynności, aby włączyć TLS 1.3 dla wszystkich hostów wirtualnych opartych na TLS w routerze:

  1. Na routerze otwórz w edytorze ten plik właściwości. 
    /opt/apigee/customer/application/router.properties

    Jeśli plik nie istnieje, utwórz go.

  2. Dodaj do pliku właściwości ten wiersz: 
    conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1 TLSv1.1 TLSv1.2 TLSv1.3

    Dodaj wszystkie protokoły TLS, które mają być obsługiwane. Zwróć uwagę, że w protokołach jest rozróżniana wielkość liter i rozdzielone spacjami.

  3. Zapisz plik.
  4. Sprawdź, czy plik należy do użytkownika Apigee: 
    chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. Ponownie uruchom router: 
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
  6. Powtórz powyższe kroki na wszystkich węzłach routera jeden po drugim.

Włącz TLS 1.3 tylko dla określonych hostów wirtualnych

W tej sekcji wyjaśniono, jak włączyć TLS 1.3 dla konkretnych hostów wirtualnych. Aby włączyć TLS 1.3, wykonaj te czynności w węzłach serwera zarządzania:

  1. W każdym węźle serwera zarządzania edytuj plik /opt/apigee/customer/application/management-server.properties i dodaj następujący wiersz. Jeśli plik nie istnieje, utwórz go. 
    conf_virtualhost_virtual.host.allowed.protocol.list=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3

    W tym pliku protokoły są rozdzielone przecinkami (wielkość liter ma znaczenie).

  2. Zapisz plik.
  3. Sprawdź, czy plik należy do użytkownika Apigee: 
    chown apigee:apigee /opt/apigee/customer/application/management-server.properties
  4. Ponownie uruchom serwer zarządzania: 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
  5. Powtórz powyższe kroki jeden po drugim na wszystkich węzłach serwera zarządzania.
  6. Utwórz (lub zaktualizuj istniejącego) hosta wirtualnego za pomocą tej właściwości. Zwróć uwagę, że w protokołach jest rozróżniana wielkość liter i rozdzielone spacjami. 
    "properties": {
    "property": [
      {
        "name": "ssl_protocols",
        "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
      }
    ]
}

    Poniżej znajdziesz przykładowy vhost z tą właściwością:

    {
  "hostAliases": [
    "api.myCompany,com",
  ],
  "interfaces": [],
  "listenOptions": [],
  "name": "secure",
  "port": "443",
  "retryOptions": [],
  "properties": {
    "property": [
      {
        "name": "ssl_protocols",
        "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
      }
    ]
  },
  "sSLInfo": {
    "ciphers": [],
    "clientAuthEnabled": "false",
    "enabled": "true",
    "ignoreValidationErrors": false,
    "keyAlias": "myCompanyKeyAlias",
    "keyStore": "ref://myCompanyKeystoreref",
    "protocols": []
  },
  "useBuiltInFreeTrialCert": false
}

    Testowanie TLS 1.3

    Aby przetestować TLS 1.3, wpisz to polecenie:

    curl -v --tlsv1.3 "https://api.myCompany,com/testproxy"

    Pamiętaj, że TLS 1.3 można testować tylko na klientach, które obsługują ten protokół. Jeśli protokół TLS 1.3 nie jest włączony, zobaczysz komunikat o błędzie podobny do tego: 

    sslv3 alert handshake failure