การกําหนดค่า TLS 1.3 สําหรับการรับส่งข้อมูลทางเหนือ

หน้านี้อธิบายวิธีกำหนดค่า TLS 1.3 ในเราเตอร์ Apigee สำหรับการรับส่งข้อมูลทางเหนือ (การรับส่งข้อมูลระหว่างไคลเอ็นต์และเราเตอร์)

โปรดดูข้อมูลเพิ่มเติมเกี่ยวกับโฮสต์เสมือนที่โฮสต์เสมือน

เปิดใช้ TLS 1.3 สำหรับโฮสต์เสมือนที่ใช้ TLS ทั้งหมดในเราเตอร์

ใช้ขั้นตอนต่อไปนี้เพื่อเปิดใช้ TLS 1.3 สำหรับโฮสต์เสมือนที่ใช้ TLS ทั้งหมดในเราเตอร์

1. บนเราเตอร์ ให้เปิดไฟล์คุณสมบัติต่อไปนี้ในตัวแก้ไข

   /opt/apigee/customer/application/router.properties

   หากไม่มีไฟล์ ให้สร้างขึ้นมา

2. เพิ่มบรรทัดต่อไปนี้ลงในไฟล์พร็อพเพอร์ตี้

   conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1 TLSv1.1 TLSv1.2 TLSv1.3

   เพิ่มโปรโตคอล TLS ทั้งหมดที่ต้องการรองรับ โปรดทราบว่าโปรโตคอลต่างๆ จะคั่นด้วยการเว้นวรรคและคำนึงถึงตัวพิมพ์เล็กและตัวพิมพ์ใหญ่

3. บันทึกไฟล์
4. ตรวจสอบว่าไฟล์เป็นของผู้ใช้ Apigee:

   chown apigee:apigee /opt/apigee/customer/application/router.properties

5. รีสตาร์ทเราเตอร์โดยทำดังนี้

   /opt/apigee/apigee-service/bin/apigee-service edge-router restart

6. ทำซ้ำขั้นตอนด้านบนกับโหนดเราเตอร์ทั้งหมดทีละรายการ

เปิดใช้ TLS 1.3 สำหรับโฮสต์เสมือนบางรายการเท่านั้น

หัวข้อนี้จะอธิบายวิธีเปิดใช้ TLS 1.3 สำหรับโฮสต์เสมือน (Virtual Host) หากต้องการเปิดใช้ TLS 1.3 ให้ทำตามขั้นตอนต่อไปนี้ในโหนดเซิร์ฟเวอร์การจัดการ

1. ในโหนดเซิร์ฟเวอร์การจัดการแต่ละโหนด ให้แก้ไขไฟล์ /opt/apigee/customer/application/management-server.properties และเพิ่มบรรทัดต่อไปนี้ (หากไม่มีไฟล์ ให้สร้างขึ้นมา)

   conf_virtualhost_virtual.host.allowed.protocol.list=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3

   โปรโตคอลจะคั่นด้วยคอมมา (และคำนึงถึงตัวพิมพ์เล็กและตัวพิมพ์ใหญ่) สำหรับไฟล์นี้

2. บันทึกไฟล์
3. ตรวจสอบว่าไฟล์เป็นของผู้ใช้ Apigee:

   chown apigee:apigee /opt/apigee/customer/application/management-server.properties

4. รีสตาร์ทเซิร์ฟเวอร์การจัดการโดยทำดังนี้

   /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

5. ทำขั้นตอนด้านบนซ้ำในโหนดเซิร์ฟเวอร์การจัดการทั้งหมดทีละรายการ
6. สร้าง (หรืออัปเดตโฮสต์เสมือนที่มีอยู่) ด้วยพร็อพเพอร์ตี้ต่อไปนี้ โปรดทราบว่าโปรโตคอลต่างๆ จะคั่นด้วยการเว้นวรรคและคำนึงถึงตัวพิมพ์เล็กและตัวพิมพ์ใหญ่

   "properties": {
       "property": [
         {
           "name": "ssl_protocols",
           "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
         }
       ]
   }

   ตัวอย่าง vhost ที่มีพร็อพเพอร์ตี้นี้แสดงอยู่ด้านล่าง

   {
     "hostAliases": [
       "api.myCompany,com",
     ],
     "interfaces": [],
     "listenOptions": [],
     "name": "secure",
     "port": "443",
     "retryOptions": [],
     "properties": {
       "property": [
         {
           "name": "ssl_protocols",
           "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
         }
       ]
     },
     "sSLInfo": {
       "ciphers": [],
       "clientAuthEnabled": "false",
       "enabled": "true",
       "ignoreValidationErrors": false,
       "keyAlias": "myCompanyKeyAlias",
       "keyStore": "ref://myCompanyKeystoreref",
       "protocols": []
     },
     "useBuiltInFreeTrialCert": false
   }

   การทดสอบ TLS 1.3

   หากต้องการทดสอบ TLS 1.3 ให้ป้อนคำสั่งต่อไปนี้

   curl -v --tlsv1.3 "https://api.myCompany,com/testproxy"

   โปรดทราบว่า TLS 1.3 สามารถทดสอบได้บนไคลเอ็นต์ที่รองรับโปรโตคอลนี้เท่านั้น หากไม่ได้เปิดใช้ TLS 1.3 คุณจะเห็นข้อความแสดงข้อผิดพลาดดังนี้

   sslv3 alert handshake failure