Como configurar o TLS 1.3 para o tráfego norte

Nesta página, explicamos como configurar o TLS 1.3 nos roteadores Apigee para o tráfego norte (tráfego entre um cliente e o roteador).

Consulte Hosts virtuais para mais informações sobre hosts virtuais.

Ativar o TLS 1.3 para todos os hosts virtuais baseados em TLS em um roteador

Use o procedimento a seguir para ativar o TLS 1.3 para todos os hosts virtuais baseados em TLS em um roteador:

  1. No roteador, abra o arquivo de propriedades a seguir em um editor.
    /opt/apigee/customer/application/router.properties

    Se o arquivo não existir, crie-o.

  2. Adicione a linha abaixo ao arquivo de propriedades:
    conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1 TLSv1.1 TLSv1.2 TLSv1.3

    Adicione todos os protocolos TLS a serem aceitos. Observe que os protocolos são separados por espaços e diferenciam maiúsculas de minúsculas.

  3. Salve o arquivo.
  4. Verifique se o arquivo é de propriedade do usuário da Apigee:
    chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. Reinicie o roteador:
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
  6. Repita as etapas acima para todos os nós do roteador, um por um.

Ativar o TLS 1.3 somente para hosts virtuais específicos

Esta seção explica como ativar o TLS 1.3 para hosts virtuais específicos. Para ativar o TLS 1.3, siga estas etapas nos nós do servidor de gerenciamento:

  1. Em cada nó do servidor de gerenciamento, edite o arquivo /opt/apigee/customer/application/management-server.properties e adicione a linha a seguir. Se o arquivo não existir, crie-o.
    conf_virtualhost_virtual.host.allowed.protocol.list=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3

    Para esse arquivo, os protocolos são separados por vírgula (e diferenciam maiúsculas de minúsculas).

  2. Salve o arquivo.
  3. Verifique se o arquivo é de propriedade do usuário da Apigee:
    chown apigee:apigee /opt/apigee/customer/application/management-server.properties
  4. Reinicie o servidor de gerenciamento:
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
  5. Repita as etapas acima em todos os nós do servidor de gerenciamento.
  6. Crie ou atualize um host virtual com a propriedade a seguir. Observe que os protocolos são separados por espaços e diferenciam maiúsculas de minúsculas.
    "properties": {
        "property": [
          {
            "name": "ssl_protocols",
            "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
          }
        ]
    }

    Veja abaixo um exemplo de vhost com essa propriedade:

    {
      "hostAliases": [
        "api.myCompany,com",
      ],
      "interfaces": [],
      "listenOptions": [],
      "name": "secure",
      "port": "443",
      "retryOptions": [],
      "properties": {
        "property": [
          {
            "name": "ssl_protocols",
            "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
          }
        ]
      },
      "sSLInfo": {
        "ciphers": [],
        "clientAuthEnabled": "false",
        "enabled": "true",
        "ignoreValidationErrors": false,
        "keyAlias": "myCompanyKeyAlias",
        "keyStore": "ref://myCompanyKeystoreref",
        "protocols": []
      },
      "useBuiltInFreeTrialCert": false
    }

    Como testar o TLS 1.3

    Para testar o TLS 1.3, digite este comando:

    curl -v --tlsv1.3 "https://api.myCompany,com/testproxy"

    O TLS 1.3 só pode ser testado em clientes com suporte a esse protocolo. Se o TLS 1.3 não estiver ativado, você verá uma mensagem de erro como esta:

    sslv3 alert handshake failure