Na tej stronie objaśniamy, jak skonfigurować protokół TLS 1.3 w routerach Apigee dla ruchu kierowanego na północ (ruch między klientem a routerem).
Więcej informacji o hostach wirtualnych znajdziesz w artykule Hosty wirtualne.
Włącz TLS 1.3 dla wszystkich hostów wirtualnych opartych na TLS w routerze
Wykonaj poniższe czynności, aby włączyć TLS 1.3 dla wszystkich hostów wirtualnych opartych na TLS w routerze:
- Na routerze otwórz w edytorze ten plik właściwości.
/opt/apigee/customer/application/router.properties
Jeśli plik nie istnieje, utwórz go.
- Dodaj do pliku właściwości ten wiersz:
conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1 TLSv1.1 TLSv1.2 TLSv1.3
Dodaj wszystkie protokoły TLS, które mają być obsługiwane. Zwróć uwagę, że w protokołach jest rozróżniana wielkość liter i rozdzielone spacjami.
- Zapisz plik.
- Sprawdź, czy plik należy do użytkownika Apigee:
chown apigee:apigee /opt/apigee/customer/application/router.properties
- Ponownie uruchom router:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- Powtórz powyższe kroki na wszystkich węzłach routera jeden po drugim.
Włącz TLS 1.3 tylko dla określonych hostów wirtualnych
W tej sekcji wyjaśniono, jak włączyć TLS 1.3 dla konkretnych hostów wirtualnych. Aby włączyć TLS 1.3, wykonaj te czynności w węzłach serwera zarządzania:
- W każdym węźle serwera zarządzania edytuj plik
/opt/apigee/customer/application/management-server.properties
i dodaj następujący wiersz. Jeśli plik nie istnieje, utwórz go.conf_virtualhost_virtual.host.allowed.protocol.list=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3
W tym pliku protokoły są rozdzielone przecinkami (wielkość liter ma znaczenie).
- Zapisz plik.
- Sprawdź, czy plik należy do użytkownika Apigee:
chown apigee:apigee /opt/apigee/customer/application/management-server.properties
- Ponownie uruchom serwer zarządzania:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- Powtórz powyższe kroki jeden po drugim na wszystkich węzłach serwera zarządzania.
- Utwórz (lub zaktualizuj istniejącego) hosta wirtualnego za pomocą tej właściwości. Zwróć uwagę, że w protokołach jest rozróżniana wielkość liter i rozdzielone spacjami.
"properties": { "property": [ { "name": "ssl_protocols", "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3" } ] }
Poniżej znajdziesz przykładowy vhost z tą właściwością:
{ "hostAliases": [ "api.myCompany,com", ], "interfaces": [], "listenOptions": [], "name": "secure", "port": "443", "retryOptions": [], "properties": { "property": [ { "name": "ssl_protocols", "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3" } ] }, "sSLInfo": { "ciphers": [], "clientAuthEnabled": "false", "enabled": "true", "ignoreValidationErrors": false, "keyAlias": "myCompanyKeyAlias", "keyStore": "ref://myCompanyKeystoreref", "protocols": [] }, "useBuiltInFreeTrialCert": false }
Testowanie TLS 1.3
Aby przetestować TLS 1.3, wpisz to polecenie:
curl -v --tlsv1.3 "https://api.myCompany,com/testproxy"
Pamiętaj, że TLS 1.3 można testować tylko na klientach, które obsługują ten protokół. Jeśli protokół TLS 1.3 nie jest włączony, zobaczysz komunikat o błędzie podobny do tego:
sslv3 alert handshake failure