TLS-Protokoll für Router und Nachrichtenprozessor festlegen

Standardmäßig unterstützen der Router und der Message Processor die TLS-Versionen 1.0, 1.1 und 1.2. Sie haben jedoch die vom Router und Message Processor unterstützten Protokolle einschränken. Dieses Dokument wird beschrieben, wie Sie das Protokoll global auf dem Router und dem Message Processor festlegen.

Für den Router können Sie das Protokoll auch für einzelne virtuelle Hosts festlegen. Siehe TLS-Zugriff auf eine API konfigurieren für die Private Cloud.

Für den Message Processor können Sie das Protokoll für einen einzelnen TargetEndpoint festlegen. Siehe TLS konfigurieren vom Edge zum Back-End (Cloud und Private Cloud).

TLS-Protokoll auf dem Router festlegen

Legen Sie Attribute in der router.properties fest, um das TLS-Protokoll auf dem Router festzulegen. Datei:

  1. Datei router.properties öffnen in einen Redakteur. Wenn die Datei nicht vorhanden ist, erstellen Sie sie: 
    vi /opt/apigee/customer/application/router.properties
  2. Legen Sie die Eigenschaften wie gewünscht fest: 
    # Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2
conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
  3. Speichern Sie die Änderungen.
  4. Der Inhaber der Properties-Datei muss der Nutzer „apigee“ sein: 
     chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. Starten Sie den Router neu: 
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
  6. Überprüfen Sie die NGINX-Datei, um sicherzustellen, dass das Protokoll korrekt aktualisiert wurde. /opt/nginx/conf.d/0-default.conf: 
    cat /opt/nginx/conf.d/0-default.conf

    Achten Sie darauf, dass der Wert für ssl_protocols TLSv1.2 lautet.

  7. Wenn Sie Zwei-Wege-TLS mit einem virtuellen Host verwenden, müssen Sie auch das TLS-Protokoll in der wie unter TLS-Zugriff auf einen virtuellen Host konfigurieren API für die Private Cloud

TLS-Protokoll im Message Processor festlegen

Um das TLS-Protokoll für den Message Processor festzulegen, legen Sie Attribute in der message-processor.properties-Datei:

  1. Öffnen Sie die Datei message-processor.properties in einem Editor. Wenn die Datei nicht vorhanden ist, erstellen Sie sie: 
    vi /opt/apigee/customer/application/message-processor.properties
  2. Konfigurieren Sie die Properties mit der folgenden Syntax: 
    # Possible values are a comma-delimited list of TLSv1, TLSv1.1, and TLSv1.2
conf/system.properties+https.protocols=[TLSv1][,TLSv1.1][,TLSv1.2]
# Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2
# SSLv3 is required
conf_jvmsecurity_jdk.tls.disabledAlgorithms=SSLv3[,TLSv1][,TLSv1.1][,TLSv1.2]

# Specify the ciphers that the Message Processor supports. (You must separate ciphers with a comma.):
conf_message-processor-communication_local.http.ssl.ciphers=cipher[,...]

    Mögliche Werte für conf_message-processor-communication_local.http.ssl.ciphers:

    • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
    • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Beispiel:

    conf/system.properties+https.protocols=TLSv1.2
conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1
conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Eine vollständige Liste der zugehörigen Properties finden Sie unter TLS zwischen einem Router und einem Nachrichtenprozessor konfigurieren.

  3. Speichern Sie die Änderungen.
  4. Der Inhaber der Properties-Datei muss der Nutzer „apigee“ sein: 
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  5. Starten Sie den Message Processor neu: 
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
  6. Wenn Sie bidirektionales TLS mit dem Backend verwenden, legen Sie das TLS-Protokoll im virtuellen Host wie unter TLS von Edge mit dem Backend konfigurieren (Cloud und Private Cloud) beschrieben fest.