Per impostazione predefinita, il router e il processore di messaggi supportano le versioni TLS 1.0, 1.1 e 1.2. Tuttavia, potresti voler limitare i protocolli supportati dal router e dal processore di messaggi. Questo documento descrive come impostare il protocollo a livello globale sul router e sul processore di messaggi.
Per il router, puoi anche impostare il protocollo per singoli host virtuali. Per saperne di più, consulta Configurazione dell'accesso TLS a un'API per il cloud privato.
Per il processore di messaggi, puoi impostare il protocollo per un singolo TargetEndpoint. Per saperne di più, consulta Configurazione di TLS da Edge al backend (cloud e cloud privato).
Imposta il protocollo TLS sul router
Per impostare il protocollo TLS sul router, imposta le proprietà nel file router.properties
:
- Apri il file
router.properties
in un editor. Se il file non esiste, crealo:vi /opt/apigee/customer/application/router.properties
- Imposta le proprietà come preferisci:
# Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2 conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
- Salva le modifiche.
- Assicurati che il file delle proprietà sia di proprietà dell'utente "apigee":
chown apigee:apigee /opt/apigee/customer/application/router.properties
- Riavvia il router:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- Verifica che il protocollo sia aggiornato correttamente esaminando il file NGINX
/opt/nginx/conf.d/0-default.conf
:cat /opt/nginx/conf.d/0-default.conf
Assicurati che il valore per
ssl_protocols
sia TLSv1.2. - Se utilizzi TLS a due vie con un host virtuale, devi anche impostare il protocollo TLS nell'host virtuale, come descritto in Configurazione dell'accesso TLS per un'API per il cloud privato.
Imposta il protocollo TLS sul processore di messaggi
Per impostare il protocollo TLS sul processore di messaggi, imposta le proprietà nel
file message-processor.properties
:
- Apri il file
message-processor.properties
in un editor. Se il file non esiste, crealo:vi /opt/apigee/customer/application/message-processor.properties
- Configura le proprietà utilizzando la seguente sintassi:
# Possible values are a comma-delimited list of TLSv1, TLSv1.1, and TLSv1.2 conf/system.properties+https.protocols=[TLSv1][,TLSv1.1][,TLSv1.2] # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2 # SSLv3 is required conf_jvmsecurity_jdk.tls.disabledAlgorithms=SSLv3[,TLSv1][,TLSv1.1][,TLSv1.2] # Specify the ciphers that the Message Processor supports. (You must separate ciphers with a comma.): conf_message-processor-communication_local.http.ssl.ciphers=cipher[,...]
I valori possibili per
conf_message-processor-communication_local.http.ssl.ciphers
sono:TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
Ad esempio:
conf/system.properties+https.protocols=TLSv1.2 conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1 conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
Per un elenco completo delle proprietà correlate, vedi Configurare TLS tra un router e un processore di messaggi.
- Salva le modifiche.
- Assicurati che il file delle proprietà sia di proprietà dell'utente "apigee":
chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
- Riavvia il processore di messaggi:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- Se utilizzi TLS a due vie con il backend, imposta il protocollo TLS nell'host virtuale come descritto in Configurare TLS da Edge al backend (cloud e cloud privato).