Der Router und der Message Processor unterstützen standardmäßig die TLS-Versionen 1.0, 1.1 und 1.2. Möglicherweise möchten Sie jedoch die vom Router und vom Message Processor unterstützten Protokolle einschränken. In diesem Dokument wird beschrieben, wie das Protokoll auf dem Router und Message Processor global festgelegt wird.
Für den Router können Sie auch das Protokoll für einzelne virtuelle Hosts festlegen. Weitere Informationen finden Sie unter TLS-Zugriff auf eine API für die Private Cloud konfigurieren.
Für den Message Processor können Sie das Protokoll für einen einzelnen TargetEndpoint festlegen. Weitere Informationen finden Sie unter TLS von Edge zum Back-End (Cloud und Private Cloud) konfigurieren.
TLS-Protokoll auf dem Router festlegen
Legen Sie in der Datei router.properties
Attribute fest, um das TLS-Protokoll auf dem Router festzulegen:
- Öffnen Sie die Datei
router.properties
in einem Editor. Wenn die Datei nicht vorhanden ist, erstellen Sie sie:vi /opt/apigee/customer/application/router.properties
- Legen Sie die Attribute wie gewünscht fest:
# Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2 conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
- Speichern Sie die Änderungen.
- Achten Sie darauf, dass die Attributdatei dem Nutzer „apigee“ gehört:
chown apigee:apigee /opt/apigee/customer/application/router.properties
- Starten Sie den Router neu:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- Prüfen Sie, ob das Protokoll korrekt aktualisiert wurde. Sehen Sie sich dazu die NGINX-Datei
/opt/nginx/conf.d/0-default.conf
an:cat /opt/nginx/conf.d/0-default.conf
Achten Sie darauf, dass der Wert für
ssl_protocols
TLSv1.2 ist. - Wenn Sie Zwei-Wege-TLS mit einem virtuellen Host verwenden, müssen Sie auch das TLS-Protokoll im virtuellen Host festlegen, wie unter TLS-Zugriff auf eine API für die Private Cloud konfigurieren beschrieben.
Legen Sie das TLS-Protokoll auf dem Message Processor fest
Legen Sie Attribute in der Datei message-processor.properties
fest, um das TLS-Protokoll für Message Processor festzulegen:
- Öffnen Sie die Datei
message-processor.properties
in einem Editor. Wenn die Datei nicht vorhanden ist, erstellen Sie sie:vi /opt/apigee/customer/application/message-processor.properties
- Konfigurieren Sie die Attribute mit der folgenden Syntax:
# Possible values are a comma-delimited list of TLSv1, TLSv1.1, and TLSv1.2 conf/system.properties+https.protocols=[TLSv1][,TLSv1.1][,TLSv1.2] # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2 # SSLv3 is required conf_jvmsecurity_jdk.tls.disabledAlgorithms=SSLv3[,TLSv1][,TLSv1.1][,TLSv1.2] # Specify the ciphers that the Message Processor supports. (You must separate ciphers with a comma.): conf_message-processor-communication_local.http.ssl.ciphers=cipher[,...]
Mögliche Werte für
conf_message-processor-communication_local.http.ssl.ciphers
sind:TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
Beispiel:
conf/system.properties+https.protocols=TLSv1.2 conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1 conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
Eine vollständige Liste der zugehörigen Attribute finden Sie unter TLS zwischen einem Router und einem Message Processor konfigurieren.
- Speichern Sie die Änderungen.
- Achten Sie darauf, dass die Attributdatei dem Nutzer „apigee“ gehört:
chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
- Starten Sie den Message Processor neu:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- Wenn Sie Zwei-Wege-TLS mit dem Back-End verwenden, legen Sie das TLS-Protokoll im virtuellen Host fest, wie unter TLS von Edge zum Back-End (Cloud und Private Cloud) konfigurieren beschrieben.