Kuzeye giden trafik için TLS 1.3'ü yapılandırma

Bu sayfada, kuzeye giden trafik (istemci ile Yönlendirici arasındaki trafik) için Apigee Yönlendiricilerinde TLS 1.3'ün nasıl yapılandırılacağı açıklanmaktadır.

Sanal ana makineler hakkında daha fazla bilgi için Sanal ana makineler bölümüne bakın.

Bir yönlendiricideki tüm TLS tabanlı sanal ana makineler için TLS 1.3'ü etkinleştir

Bir yönlendiricideki tüm TLS tabanlı sanal ana makinelerde TLS 1.3'ü etkinleştirmek için aşağıdaki prosedürü kullanın:

  1. Yönlendiricide, aşağıdaki özellikler dosyasını bir düzenleyicide açın.
    /opt/apigee/customer/application/router.properties

    Dosya yoksa oluşturun.

  2. Özellikler dosyasına şu satırı ekleyin:
    conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1 TLSv1.1 TLSv1.2 TLSv1.3

    Desteklemek istediğiniz tüm TLS protokollerini ekleyin. Protokollerin boşlukla ayrılmış ve büyük/küçük harfe duyarlı olduğunu unutmayın.

  3. Dosyayı kaydedin.
  4. Dosyanın Apigee kullanıcısına ait olduğundan emin olun:
    chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. Yönlendiriciyi yeniden başlatın:
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
  6. Yukarıdaki adımları tüm Yönlendirici düğümlerinde tek tek tekrarlayın.

TLS 1.3'ü yalnızca belirli sanal ana makineler için etkinleştirme

Bu bölümde, belirli sanal ana makineler için TLS 1.3'ün nasıl etkinleştirileceği açıklanmaktadır. TLS 1.3'ü etkinleştirmek için Yönetim sunucusu düğümlerinde aşağıdaki adımları uygulayın:

  1. Her Yönetim sunucusu düğümünde /opt/apigee/customer/application/management-server.properties dosyasını düzenleyin ve aşağıdaki satırı ekleyin. (Dosya mevcut değilse oluşturun.)
    conf_virtualhost_virtual.host.allowed.protocol.list=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3

    Bu dosya için protokoller virgülle ayrılmış (ve büyük/küçük harfe duyarlıdır).

  2. Dosyayı kaydedin.
  3. Dosyanın Apigee kullanıcısına ait olduğundan emin olun:
    chown apigee:apigee /opt/apigee/customer/application/management-server.properties
  4. Yönetim sunucusunu yeniden başlatın:
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
  5. Yukarıdaki adımları tüm Yönetim sunucusu düğümlerinde tek tek tekrarlayın.
  6. Aşağıdaki özellik ile sanal ana makine oluşturun (veya mevcut bir ana makineyi güncelleyin). Protokollerin boşlukla ayrılmış ve büyük/küçük harfe duyarlı olduğunu unutmayın.
    "properties": {
        "property": [
          {
            "name": "ssl_protocols",
            "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
          }
        ]
    }

    Bu özelliğe sahip örnek bir hayalet aşağıda gösterilmektedir:

    {
      "hostAliases": [
        "api.myCompany,com",
      ],
      "interfaces": [],
      "listenOptions": [],
      "name": "secure",
      "port": "443",
      "retryOptions": [],
      "properties": {
        "property": [
          {
            "name": "ssl_protocols",
            "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
          }
        ]
      },
      "sSLInfo": {
        "ciphers": [],
        "clientAuthEnabled": "false",
        "enabled": "true",
        "ignoreValidationErrors": false,
        "keyAlias": "myCompanyKeyAlias",
        "keyStore": "ref://myCompanyKeystoreref",
        "protocols": []
      },
      "useBuiltInFreeTrialCert": false
    }

    TLS 1.3'ü test etme

    TLS 1.3'ü test etmek için aşağıdaki komutu girin:

    curl -v --tlsv1.3 "https://api.myCompany,com/testproxy"

    TLS 1.3'ün yalnızca bu protokolü destekleyen istemcilerde test edilebileceğini unutmayın. TLS 1.3 etkinleştirilmemişse şuna benzer bir hata mesajı görürsünüz:

    sslv3 alert handshake failure