Por padrão, o roteador e o processador de mensagens são compatíveis com as versões 1.0, 1.1 e 1.2 do TLS. No entanto, talvez você queira limitar os protocolos compatíveis com o roteador e o processador de mensagens. Este documento descreve como definir o protocolo globalmente no roteador e no processador de mensagens.
No roteador, você também pode definir o protocolo para hosts virtuais individuais. Para saber mais, consulte Como configurar o acesso TLS a uma API para a nuvem privada.
Para o processador de mensagens, é possível configurar o protocolo para um TargetEndpoint individual. Consulte Como configurar o TLS do Edge para o back-end (nuvem e nuvem privada) para mais informações.
Definir o protocolo TLS no roteador
Para definir o protocolo TLS no roteador, defina as propriedades no arquivo
router.properties
:
- Abra o arquivo
router.properties
em um editor. Se o arquivo não existir, crie-o:vi /opt/apigee/customer/application/router.properties
- Defina as propriedades como quiser:
# Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2 conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
- Salve as mudanças.
- Verifique se o arquivo de propriedades pertence ao usuário "apigee":
chown apigee:apigee /opt/apigee/customer/application/router.properties
- Reinicie o roteador:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- Verifique se o protocolo está atualizado corretamente examinando o arquivo NGINX
/opt/nginx/conf.d/0-default.conf
:cat /opt/nginx/conf.d/0-default.conf
Verifique se o valor de
ssl_protocols
é TLSv1.2. - Se você estiver usando o TLS bidirecional com um host virtual, precisará definir também o protocolo TLS no host virtual, conforme descrito em Como configurar o acesso TLS a uma API para a nuvem privada.
Definir o protocolo TLS no processador de mensagens
Para configurar o protocolo TLS no processador de mensagens, defina as propriedades no
arquivo message-processor.properties
:
- Abra o arquivo
message-processor.properties
em um editor. Se o arquivo não existir, crie-o:vi /opt/apigee/customer/application/message-processor.properties
- Configure as propriedades usando a seguinte sintaxe:
# Possible values are a comma-delimited list of TLSv1, TLSv1.1, and TLSv1.2 conf/system.properties+https.protocols=[TLSv1][,TLSv1.1][,TLSv1.2] # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2 # SSLv3 is required conf_jvmsecurity_jdk.tls.disabledAlgorithms=SSLv3[,TLSv1][,TLSv1.1][,TLSv1.2] # Specify the ciphers that the Message Processor supports. (You must separate ciphers with a comma.): conf_message-processor-communication_local.http.ssl.ciphers=cipher[,...]
Os valores possíveis para
conf_message-processor-communication_local.http.ssl.ciphers
são:TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
Exemplo:
conf/system.properties+https.protocols=TLSv1.2 conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1 conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
Para uma lista completa das propriedades relacionadas, consulte Como configurar o TLS entre um roteador e um processador de mensagens.
- Salve as mudanças.
- Verifique se o arquivo de propriedades pertence ao usuário "apigee":
chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
- Reinicie o processador de mensagens:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- Se você estiver usando o TLS bidirecional com o back-end, defina o protocolo TLS no host virtual, conforme descrito em Como configurar o TLS do Edge para o back-end (nuvem e nuvem privada).