Trang này được dịch bởi Cloud Translation API.

Định cấu hình TLS 1.3 cho lưu lượng truy cập theo hướng bắc

Trang này giải thích cách định cấu hình TLS 1.3 trong Bộ định tuyến Apigee cho lưu lượng truy cập hướng bắc (lưu lượng truy cập giữa ứng dụng và Bộ định tuyến).

Để sử dụng TLS 1.3, các nút lưu trữ Bộ định tuyến phải cài đặt hệ điều hành Red Hat Enterprise Linux (RHEL) 8.0 (trở lên) có hỗ trợ thư viện openssl 1.1.

Xem phần Máy chủ ảo để biết thêm thông tin về máy chủ ảo.

Bật TLS 1.3 cho tất cả máy chủ ảo dựa trên TLS trong Bộ định tuyến

Sử dụng quy trình sau để bật TLS 1.3 cho tất cả máy chủ ảo dựa trên TLS trong Bộ định tuyến:

Trên Bộ định tuyến, hãy mở tệp thuộc tính sau trong trình chỉnh sửa.
```
/opt/apigee/customer/application/router.properties
```
Nếu tệp không tồn tại, hãy tạo tệp.
Thêm dòng sau vào tệp thuộc tính:
```
conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1 TLSv1.1 TLSv1.2 TLSv1.3
```
Thêm tất cả giao thức TLS mà bạn muốn hỗ trợ. Xin lưu ý rằng các giao thức được phân tách bằng dấu cách và phân biệt chữ hoa chữ thường.
Lưu tệp.

Đảm bảo tệp thuộc sở hữu của người dùng API:

chown apigee:apigee /opt/apigee/customer/application/router.properties

Khởi động lại bộ định tuyến:

/opt/apigee/apigee-service/bin/apigee-service edge-router restart

Lặp lại lần lượt các bước nêu trên cho tất cả các nút Bộ định tuyến.

Chỉ bật TLS 1.3 cho một số máy chủ ảo cụ thể

Phần này giải thích cách bật TLS 1.3 cho các máy chủ ảo cụ thể. Để bật TLS 1.3, hãy thực hiện các bước sau trên nút máy chủ quản lý:

Trên mỗi nút máy chủ quản lý, hãy chỉnh sửa tệp /opt/apigee/customer/application/management-server.properties và thêm dòng sau. (Nếu tệp không tồn tại, hãy tạo tệp.)
```
conf_virtualhost_virtual.host.allowed.protocol.list=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3
```
Đối với tệp này, các giao thức được phân tách bằng dấu phẩy (và phân biệt chữ hoa chữ thường).
Lưu tệp.

Đảm bảo tệp thuộc sở hữu của người dùng API:

chown apigee:apigee /opt/apigee/customer/application/management-server.properties

Khởi động lại máy chủ quản lý:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

Lặp lại lần lượt các bước ở trên cho tất cả các nút Máy chủ quản lý.

Tạo (hoặc cập nhật một máy chủ ảo hiện có) bằng thuộc tính sau. Xin lưu ý rằng các giao thức đều được phân tách bằng dấu cách và phân biệt chữ hoa chữ thường.

"properties": {
    "property": [
      {
        "name": "ssl_protocols",
        "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
      }
    ]
}

Dưới đây là một vhost mẫu với thuộc tính này:

{
  "hostAliases": [
    "api.myCompany,com",
  ],
  "interfaces": [],
  "listenOptions": [],
  "name": "secure",
  "port": "443",
  "retryOptions": [],
  "properties": {
    "property": [
      {
        "name": "ssl_protocols",
        "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
      }
    ]
  },
  "sSLInfo": {
    "ciphers": [],
    "clientAuthEnabled": "false",
    "enabled": "true",
    "ignoreValidationErrors": false,
    "keyAlias": "myCompanyKeyAlias",
    "keyStore": "ref://myCompanyKeystoreref",
    "protocols": []
  },
  "useBuiltInFreeTrialCert": false
}

Kiểm tra TLS 1.3

Để kiểm tra TLS 1.3, hãy nhập lệnh sau:

curl -v --tlsv1.3 "https://api.myCompany,com/testproxy"

Xin lưu ý rằng bạn chỉ có thể kiểm thử TLS 1.3 trên các ứng dụng hỗ trợ giao thức này. Nếu TLS 1.3 không được bật, bạn sẽ thấy thông báo lỗi như sau:

sslv3 alert handshake failure