يتوافق جهاز التوجيه ومعالج الرسائل تلقائيًا مع الإصدارات 1.0 و1.1 و1.2 من بروتوكول أمان طبقة النقل (TLS). ومع ذلك، قد تحتاج إلى الحد من البروتوكولات التي يتيحها جهاز التوجيه ومعالج الرسائل. ويصف هذا المستند طريقة إعداد البروتوكول على جهاز التوجيه ومعالج الرسائل على مستوى العالم.
بالنسبة إلى جهاز التوجيه، يمكنك أيضًا تعيين البروتوكول للمضيفات الظاهرية الفردية. راجِع ضبط الوصول إلى بروتوكول أمان طبقة النقل (TLS) إلى واجهة برمجة تطبيقات للسحابة الإلكترونية الخاصة لمزيد من المعلومات.
بالنسبة إلى معالج الرسائل، يمكنك تعيين البروتوكول لنقطة نهاية مستهدفة فردية. راجِع ضبط بروتوكول أمان طبقة النقل (TLS) من Edge إلى الخلفية (Cloud وخاصة Cloud) للحصول على مزيد من المعلومات.
ضبط بروتوكول أمان طبقة النقل (TLS) على جهاز التوجيه
لضبط بروتوكول أمان طبقة النقل (TLS) على جهاز التوجيه، اضبط السمات في
ملف router.properties:
- افتح ملف
router.propertiesفي محرِّر. إذا لم يكن الملف متوفّرًا، يمكنك إنشاؤه:vi /opt/apigee/customer/application/router.properties
- اضبط السمات على النحو المطلوب:
# Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2 conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
- احفظ التغييرات.
- تأكَّد من أنّ ملف السمات يملكه مستخدم "apigee":
chown apigee:apigee /opt/apigee/customer/application/router.properties
- عليك إعادة تشغيل جهاز التوجيه:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- تحقَّق من أنّه تم تحديث البروتوكول بشكل صحيح من خلال فحص ملف NGINX.
/opt/nginx/conf.d/0-default.conf:cat /opt/nginx/conf.d/0-default.conf
تأكَّد من أنّ قيمة
ssl_protocolsهي TLSv1.2. - إذا كنت تستخدم بروتوكول أمان طبقة النقل (TLS) ثنائي الاتجاه مع مضيف افتراضي، يجب أيضًا إعداد بروتوكول أمان طبقة النقل (TLS) في المضيف الظاهري كما هو موضَّح في ضبط الوصول إلى بروتوكول أمان طبقة النقل (TLS) إلى واجهة برمجة تطبيقات للسحابة الإلكترونية الخاصة.
ضبط بروتوكول أمان طبقة النقل (TLS) في معالج الرسائل
لضبط بروتوكول أمان طبقة النقل (TLS) في معالج الرسائل، اضبط السمات في
ملف message-processor.properties:
- افتح ملف
message-processor.propertiesفي محرِّر. إذا لم يكن الملف متوفّرًا، يمكنك إنشاؤه:vi /opt/apigee/customer/application/message-processor.properties
- اضبط السمات باستخدام البنية التالية:
# Possible values are a comma-delimited list of TLSv1, TLSv1.1, and TLSv1.2 conf/system.properties+https.protocols=[TLSv1][,TLSv1.1][,TLSv1.2] # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2 # SSLv3 is required conf_jvmsecurity_jdk.tls.disabledAlgorithms=SSLv3[,TLSv1][,TLSv1.1][,TLSv1.2] # Specify the ciphers that the Message Processor supports. (You must separate ciphers with a comma.): conf_message-processor-communication_local.http.ssl.ciphers=cipher[,...]
في ما يلي القيم المحتمَلة للسمة
conf_message-processor-communication_local.http.ssl.ciphers:TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384TLS_RSA_WITH_AES_256_GCM_SHA384TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384TLS_DHE_RSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
مثال:
conf/system.properties+https.protocols=TLSv1.2 conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1 conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
للحصول على قائمة كاملة بالسمات ذات الصلة، راجِع ضبط بروتوكول أمان طبقة النقل (TLS) بين جهاز توجيه ومعالج رسائل.
- احفظ التغييرات.
- تأكَّد من أنّ ملف السمات يملكه مستخدم "apigee":
chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
- أعِد تشغيل معالج الرسائل:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- إذا كنت تستخدم بروتوكول أمان طبقة النقل (TLS) في الخلفية، اضبط بروتوكول أمان طبقة النقل (TLS) في المضيف الافتراضي كما هو موضح في ضبط بروتوكول أمان طبقة النقل (TLS) من Edge إلى الخلفية (السحابة الإلكترونية الخاصة والسحابة الإلكترونية الخاصة).