Настройка TLS 1.3 для северного трафика

На этой странице объясняется, как настроить TLS 1.3 в маршрутизаторах Apigee для северного трафика (трафик между клиентом и маршрутизатором).

Дополнительные сведения о виртуальных хостах см. в разделе Виртуальные хосты.

Включите TLS 1.3 для всех виртуальных хостов на основе TLS в маршрутизаторе.

Используйте следующую процедуру, чтобы включить TLS 1.3 для всех виртуальных хостов на основе TLS в маршрутизаторе:

1. На маршрутизаторе откройте в редакторе следующий файл свойств.

   /opt/apigee/customer/application/router.properties

   Если файл не существует, создайте его.

2. Добавьте в файл свойств следующую строку:

   conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1 TLSv1.1 TLSv1.2 TLSv1.3

   Добавьте все протоколы TLS, которые вы хотите поддерживать. Обратите внимание, что протоколы разделены пробелами и чувствительны к регистру.

3. Сохраните файл.
4. Убедитесь, что файл принадлежит пользователю apigee:

   chown apigee:apigee /opt/apigee/customer/application/router.properties

5. Перезагрузите маршрутизатор:

   /opt/apigee/apigee-service/bin/apigee-service edge-router restart

6. Повторите описанные выше шаги на всех узлах маршрутизатора один за другим.

Включите TLS 1.3 только для определенных виртуальных хостов.

В этом разделе объясняется, как включить TLS 1.3 для определенных виртуальных хостов. Чтобы включить TLS 1.3, выполните следующие действия на узлах Сервера управления:

1. На каждом узле сервера управления отредактируйте файл /opt/apigee/customer/application/management-server.properties и добавьте следующую строку. (Если файл не существует, создайте его.)

   conf_virtualhost_virtual.host.allowed.protocol.list=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3

   В этом файле протоколы разделены запятыми (с учетом регистра).

2. Сохраните файл.
3. Убедитесь, что файл принадлежит пользователю apigee:

   chown apigee:apigee /opt/apigee/customer/application/management-server.properties

4. Перезапустите сервер управления:

   /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

5. Повторите описанные выше шаги на всех узлах Сервера управления один за другим.
6. Создайте (или обновите существующий) виртуальный хост со следующим свойством. Обратите внимание, что протоколы разделены пробелами и чувствительны к регистру.

   "properties": {
       "property": [
         {
           "name": "ssl_protocols",
           "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
         }
       ]
   }

   Пример виртуального хоста с этим свойством показан ниже:

   {
     "hostAliases": [
       "api.myCompany,com",
     ],
     "interfaces": [],
     "listenOptions": [],
     "name": "secure",
     "port": "443",
     "retryOptions": [],
     "properties": {
       "property": [
         {
           "name": "ssl_protocols",
           "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
         }
       ]
     },
     "sSLInfo": {
       "ciphers": [],
       "clientAuthEnabled": "false",
       "enabled": "true",
       "ignoreValidationErrors": false,
       "keyAlias": "myCompanyKeyAlias",
       "keyStore": "ref://myCompanyKeystoreref",
       "protocols": []
     },
     "useBuiltInFreeTrialCert": false
   }

   Тестирование TLS 1.3

   Чтобы протестировать TLS 1.3, введите следующую команду:

   curl -v --tlsv1.3 "https://api.myCompany,com/testproxy"

   Обратите внимание, что TLS 1.3 можно тестировать только на клиентах, поддерживающих этот протокол. Если TLS 1.3 не включен, вы увидите сообщение об ошибке, подобное следующему:

   sslv3 alert handshake failure