TLS-Protokoll für Router und Nachrichtenprozessor festlegen

Standardmäßig unterstützen der Router und der Message Processor die TLS-Versionen 1.0, 1.1 und 1.2. Sie haben jedoch die vom Router und Message Processor unterstützten Protokolle einschränken. Dieses Dokument wird beschrieben, wie Sie das Protokoll global auf dem Router und dem Message Processor festlegen.

Beim Router können Sie das Protokoll auch für einzelne virtuelle Hosts festlegen. Siehe TLS-Zugriff auf eine API konfigurieren für die Private Cloud.

Für den Message Processor können Sie das Protokoll für einen einzelnen TargetEndpoint festlegen. Siehe TLS konfigurieren vom Edge zum Back-End (Cloud und Private Cloud).

TLS-Protokoll auf dem Router festlegen

Legen Sie Attribute in der router.properties fest, um das TLS-Protokoll auf dem Router festzulegen. Datei:

  1. Datei router.properties öffnen in einen Redakteur. Wenn die Datei nicht vorhanden ist, erstellen Sie sie: 
    vi /opt/apigee/customer/application/router.properties
  2. Legen Sie die Eigenschaften wie gewünscht fest: 
    # Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2
conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
  3. Speichern Sie die Änderungen.
  4. Achten Sie darauf, dass die Eigenschaftendatei dem „Apigee“ gehört Nutzer: 
     chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. Starten Sie den Router neu: 
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
  6. Überprüfen Sie die NGINX-Datei, um sicherzustellen, dass das Protokoll korrekt aktualisiert wurde. /opt/nginx/conf.d/0-default.conf: 
    cat /opt/nginx/conf.d/0-default.conf

    Achten Sie darauf, dass der Wert für ssl_protocols TLSv1.2 lautet.

  7. Wenn Sie Zwei-Wege-TLS mit einem virtuellen Host verwenden, müssen Sie auch das TLS-Protokoll in der wie unter TLS-Zugriff auf einen virtuellen Host konfigurieren API für die Private Cloud

TLS-Protokoll für die Nachricht festlegen Prozessor

Um das TLS-Protokoll für den Message Processor festzulegen, legen Sie Attribute in der message-processor.properties-Datei:

  1. Öffnen Sie die Datei message-processor.properties in einem Editor. Wenn die Datei nicht vorhanden ist, erstellen Sie sie: 
    vi /opt/apigee/customer/application/message-processor.properties
  2. Konfigurieren Sie die Attribute mit der folgenden Syntax: 
    # Possible values are a comma-delimited list of TLSv1, TLSv1.1, and TLSv1.2
conf/system.properties+https.protocols=[TLSv1][,TLSv1.1][,TLSv1.2]
# Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2
# SSLv3 is required
conf_jvmsecurity_jdk.tls.disabledAlgorithms=SSLv3[,TLSv1][,TLSv1.1][,TLSv1.2]

# Specify the ciphers that the Message Processor supports. (You must separate ciphers with a comma.):
conf_message-processor-communication_local.http.ssl.ciphers=cipher[,...]

    Mögliche Werte für conf_message-processor-communication_local.http.ssl.ciphers sind:

    • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
    • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Beispiel:

    conf/system.properties+https.protocols=TLSv1.2
conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1
conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Eine vollständige Liste der zugehörigen Properties finden Sie unter Konfigurieren von TLS zwischen einem Router und einen Message Processor.

  3. Speichern Sie die Änderungen.
  4. Achten Sie darauf, dass die Eigenschaftendatei dem „Apigee“ gehört Nutzer: 
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  5. Starten Sie den Message Processor neu: 
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
  6. Wenn Sie mit dem Back-End bidirektionales TLS verwenden, legen Sie das TLS-Protokoll im virtuellen Host als wie unter TLS konfigurieren vom Edge zum Back-End (Cloud und Private Cloud).