Définir le protocole TLS pour le routeur et le processeur de messages

Par défaut, le routeur et le processeur de messages sont compatibles avec les versions TLS 1.0, 1.1 et 1.2. Toutefois, vous pouvez limiter les protocoles compatibles avec le routeur et le processeur de messages. Ce document explique comment définir le protocole de manière globale sur le routeur et le processeur de messages.

Pour le routeur, vous pouvez également définir le protocole pour des hôtes virtuels individuels. Pour en savoir plus, consultez Configurer l'accès TLS à une API pour le cloud privé.

Pour le processeur de messages, vous pouvez définir le protocole pour un TargetEndpoint spécifique. Pour en savoir plus, consultez la section Configurer TLS de la périphérie au backend (cloud et cloud privé).

Définir le protocole TLS sur le routeur

Pour définir le protocole TLS sur le routeur, définissez des propriétés dans le fichier router.properties:

  1. Ouvrez le fichier router.properties dans un éditeur. Si le fichier n'existe pas, créez-le :
    vi /opt/apigee/customer/application/router.properties
  2. Définissez les propriétés comme vous le souhaitez :
    # Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2
    conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
  3. Enregistrez les modifications.
  4. Assurez-vous que le fichier de propriétés appartient à l'utilisateur "apigee" :
     chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. Redémarrez le routeur :
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
  6. Vérifiez que le protocole est correctement mis à jour en examinant le fichier NGINX /opt/nginx/conf.d/0-default.conf :
    cat /opt/nginx/conf.d/0-default.conf

    Assurez-vous que la valeur de ssl_protocols est TLSv1.2.

  7. Si vous utilisez TLS bidirectionnel avec un hôte virtuel, vous devez également définir le protocole TLS dans l'hôte virtuel, comme décrit dans la section Configurer l'accès TLS à une API pour le cloud privé.

Définir le protocole TLS sur le processeur de messages

Pour définir le protocole TLS sur le processeur de messages, définissez des propriétés dans le fichier message-processor.properties:

  1. Ouvrez le fichier message-processor.properties dans un éditeur. Si le fichier n'existe pas, créez-le :
    vi /opt/apigee/customer/application/message-processor.properties
  2. Configurez les propriétés à l'aide de la syntaxe suivante :
    # Possible values are a comma-delimited list of TLSv1, TLSv1.1, and TLSv1.2
    conf/system.properties+https.protocols=[TLSv1][,TLSv1.1][,TLSv1.2]
    # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2
    # SSLv3 is required
    conf_jvmsecurity_jdk.tls.disabledAlgorithms=SSLv3[,TLSv1][,TLSv1.1][,TLSv1.2]
    
    # Specify the ciphers that the Message Processor supports. (You must separate ciphers with a comma.):
    conf_message-processor-communication_local.http.ssl.ciphers=cipher[,...]

    Les valeurs possibles pour conf_message-processor-communication_local.http.ssl.ciphers sont les suivantes:

    • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
    • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Exemple :

    conf/system.properties+https.protocols=TLSv1.2
    conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1
    conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Pour obtenir la liste complète des propriétés associées, consultez la section Configuration de TLS entre un routeur et un processeur de messages.

  3. Enregistrez les modifications.
  4. Assurez-vous que le fichier de propriétés appartient à l'utilisateur "apigee" :
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  5. Redémarrez le processeur de messages :
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
  6. Si vous utilisez le protocole TLS bidirectionnel avec le backend, définissez le protocole TLS dans l'hôte virtuel, comme décrit dans la section Configurer TLS de la périphérie au backend (Cloud et Cloud privé).