بشكل افتراضي، يتيح جهاز التوجيه ومعالج الرسائل استخدام الإصدارات 1.0 و1.1 و1.2 من بروتوكول أمان طبقة النقل (TLS). ومع ذلك، الحد من البروتوكولات التي يعتمدها جهاز التوجيه ومعالج الرسائل. هذا المستند طريقة تعيين البروتوكول بشكل عمومي على جهاز التوجيه ومعالج الرسائل.
بالنسبة إلى جهاز التوجيه، يمكنك أيضًا ضبط البروتوكول للمضيفين الظاهريين الفرديين. اطّلِع على ضبط الوصول إلى واجهة برمجة التطبيقات باستخدام بروتوكول أمان طبقة النقل (TLS) في "السحابة الخاصة" لمعرفة المزيد.
بالنسبة إلى معالج الرسائل، يمكنك ضبط البروتوكول لنقطة نهاية هدف فردية. راجع تهيئة TLS من Edge إلى الخلفية (Cloud and Private Cloud) لمزيد من المعلومات.
إعداد بروتوكول أمان طبقة النقل (TLS) على جهاز التوجيه
لضبط بروتوكول أمان طبقة النقل (TLS) على جهاز التوجيه، عليك ضبط الخصائص في router.properties
الملف:
- فتح ملف
router.propertiesفي كمحرر. إذا لم يكن الملف متوفّرًا، أنشِئه:vi /opt/apigee/customer/application/router.properties
- اضبط السمات على النحو المطلوب:
# Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2 conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
- احفظ التغييرات.
- تأكّد من أنّ ملف الخصائص يملكه "apigee". المستخدم:
chown apigee:apigee /opt/apigee/customer/application/router.properties
- أعِد تشغيل جهاز التوجيه:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- تحقق من تحديث البروتوكول بشكل صحيح من خلال فحص ملف NGINX
/opt/nginx/conf.d/0-default.conf:cat /opt/nginx/conf.d/0-default.conf
تأكَّد من أنّ قيمة
ssl_protocolsهي TLSv1.2. - إذا كنت تستخدم بروتوكول أمان طبقة النقل (TLS) ثنائي الاتجاه مع مضيف افتراضي، فيجب عليك أيضًا تعيين بروتوكول TLS في كما هو موضح في تهيئة الدخول إلى بروتوكول أمان طبقة النقل (TLS) إلى واجهة برمجة التطبيقات الخاصة بالسحابة الإلكترونية الخاصة
إعداد بروتوكول أمان طبقة النقل (TLS) في الرسالة معالِج البيانات
لضبط بروتوكول أمان طبقة النقل (TLS) على معالج الرسائل، عيِّن الخصائص في
ملف message-processor.properties:
- افتح ملف
message-processor.propertiesفي المحرِّر. إذا لم يكن الملف متوفّرًا، أنشئه:vi /opt/apigee/customer/application/message-processor.properties
- اضبط السمات باستخدام البنية التالية:
# Possible values are a comma-delimited list of TLSv1, TLSv1.1, and TLSv1.2 conf/system.properties+https.protocols=[TLSv1][,TLSv1.1][,TLSv1.2] # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2 # SSLv3 is required conf_jvmsecurity_jdk.tls.disabledAlgorithms=SSLv3[,TLSv1][,TLSv1.1][,TLSv1.2] # Specify the ciphers that the Message Processor supports. (You must separate ciphers with a comma.): conf_message-processor-communication_local.http.ssl.ciphers=cipher[,...]
القيم المحتملة لـ
conf_message-processor-communication_local.http.ssl.ciphersهي:TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384TLS_RSA_WITH_AES_256_GCM_SHA384TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384TLS_DHE_RSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
على سبيل المثال:
conf/system.properties+https.protocols=TLSv1.2 conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1 conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
للحصول على قائمة كاملة بالمواقع ذات الصلة، راجِع تهيئة بروتوكول أمان طبقة النقل (TLS) بين جهاز التوجيه ومعالج الرسائل.
- احفظ التغييرات.
- تأكَّد من أنّ ملف الخصائص يملكه المستخدم "apigee":
chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
- إعادة تشغيل معالج الرسائل:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- إذا كنت تستخدم بروتوكول أمان طبقة النقل (TLS) ثنائي الاتجاه مع الخلفية، اضبط بروتوكول أمان طبقة النقل (TLS) في المضيف الظاهري على كما هو موضح في تهيئة بروتوكول أمان طبقة النقل (TLS) من Edge إلى الخلفية (السحابة الإلكترونية والسحابة الإلكترونية الخاصة).