หน้านี้อธิบายวิธีกำหนดค่า TLS 1.3 ในเราเตอร์ Apigee สำหรับการรับส่งข้อมูลทางเหนือ (การรับส่งข้อมูลระหว่างไคลเอ็นต์และเราเตอร์)
โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับโฮสต์เสมือนที่โฮสต์เสมือน
เปิดใช้ TLS 1.3 สำหรับโฮสต์เสมือนที่ใช้ TLS ทั้งหมดในเราเตอร์
ใช้ขั้นตอนต่อไปนี้เพื่อเปิดใช้ TLS 1.3 สำหรับโฮสต์เสมือนที่ใช้ TLS ทั้งหมดในเราเตอร์
- บนเราเตอร์ ให้เปิดไฟล์คุณสมบัติต่อไปนี้ในตัวแก้ไข
/opt/apigee/customer/application/router.properties
หากไม่มีไฟล์ ให้สร้างขึ้นมา
- เพิ่มบรรทัดต่อไปนี้ลงในไฟล์พร็อพเพอร์ตี้
conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1 TLSv1.1 TLSv1.2 TLSv1.3
เพิ่มโปรโตคอล TLS ทั้งหมดที่ต้องการรองรับ โปรดทราบว่าโปรโตคอลต่างๆ จะคั่นด้วยการเว้นวรรคและคำนึงถึงตัวพิมพ์เล็กและตัวพิมพ์ใหญ่
- บันทึกไฟล์
- ตรวจสอบว่าไฟล์เป็นของผู้ใช้ Apigee:
chown apigee:apigee /opt/apigee/customer/application/router.properties
- รีสตาร์ทเราเตอร์โดยทำดังนี้
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- ทำซ้ำขั้นตอนด้านบนกับโหนดเราเตอร์ทั้งหมดทีละรายการ
เปิดใช้ TLS 1.3 สำหรับโฮสต์เสมือนบางรายการเท่านั้น
หัวข้อนี้จะอธิบายวิธีเปิดใช้ TLS 1.3 สำหรับโฮสต์เสมือน (Virtual Host) หากต้องการเปิดใช้ TLS 1.3 ให้ทำตามขั้นตอนต่อไปนี้ในโหนดเซิร์ฟเวอร์การจัดการ
- ในโหนดเซิร์ฟเวอร์การจัดการแต่ละโหนด ให้แก้ไขไฟล์
/opt/apigee/customer/application/management-server.properties
และเพิ่มบรรทัดต่อไปนี้ (หากไม่มีไฟล์ ให้สร้างขึ้นมา)conf_virtualhost_virtual.host.allowed.protocol.list=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3
โปรโตคอลจะคั่นด้วยคอมมา (และคำนึงถึงตัวพิมพ์เล็กและตัวพิมพ์ใหญ่) สำหรับไฟล์นี้
- บันทึกไฟล์
- ตรวจสอบว่าไฟล์เป็นของผู้ใช้ Apigee:
chown apigee:apigee /opt/apigee/customer/application/management-server.properties
- รีสตาร์ทเซิร์ฟเวอร์การจัดการโดยทำดังนี้
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- ทำขั้นตอนด้านบนซ้ำในโหนดเซิร์ฟเวอร์การจัดการทั้งหมดทีละรายการ
- สร้าง (หรืออัปเดตโฮสต์เสมือนที่มีอยู่) ด้วยพร็อพเพอร์ตี้ต่อไปนี้ โปรดทราบว่าโปรโตคอลต่างๆ จะคั่นด้วยการเว้นวรรคและคำนึงถึงตัวพิมพ์เล็กและตัวพิมพ์ใหญ่
"properties": { "property": [ { "name": "ssl_protocols", "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3" } ] }
ตัวอย่าง vhost ที่มีพร็อพเพอร์ตี้นี้แสดงอยู่ด้านล่าง
{ "hostAliases": [ "api.myCompany,com", ], "interfaces": [], "listenOptions": [], "name": "secure", "port": "443", "retryOptions": [], "properties": { "property": [ { "name": "ssl_protocols", "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3" } ] }, "sSLInfo": { "ciphers": [], "clientAuthEnabled": "false", "enabled": "true", "ignoreValidationErrors": false, "keyAlias": "myCompanyKeyAlias", "keyStore": "ref://myCompanyKeystoreref", "protocols": [] }, "useBuiltInFreeTrialCert": false }
การทดสอบ TLS 1.3
หากต้องการทดสอบ TLS 1.3 ให้ป้อนคำสั่งต่อไปนี้
curl -v --tlsv1.3 "https://api.myCompany,com/testproxy"
โปรดทราบว่า TLS 1.3 สามารถทดสอบได้บนไคลเอ็นต์ที่รองรับโปรโตคอลนี้เท่านั้น หากไม่ได้เปิดใช้ TLS 1.3 คุณจะเห็นข้อความแสดงข้อผิดพลาดดังนี้
sslv3 alert handshake failure