TLS-Protokoll für Router und Nachrichtenprozessor festlegen

Der Router und der Message Processor unterstützen standardmäßig die TLS-Versionen 1.0, 1.1 und 1.2. Möglicherweise möchten Sie jedoch die vom Router und vom Message Processor unterstützten Protokolle einschränken. In diesem Dokument wird beschrieben, wie das Protokoll auf dem Router und Message Processor global festgelegt wird.

Für den Router können Sie auch das Protokoll für einzelne virtuelle Hosts festlegen. Weitere Informationen finden Sie unter TLS-Zugriff auf eine API für die Private Cloud konfigurieren.

Für den Message Processor können Sie das Protokoll für einen einzelnen TargetEndpoint festlegen. Weitere Informationen finden Sie unter TLS von Edge zum Back-End (Cloud und Private Cloud) konfigurieren.

TLS-Protokoll auf dem Router festlegen

Legen Sie in der Datei router.properties Attribute fest, um das TLS-Protokoll auf dem Router festzulegen:

  1. Öffnen Sie die Datei router.properties in einem Editor. Wenn die Datei nicht vorhanden ist, erstellen Sie sie: 
    vi /opt/apigee/customer/application/router.properties
  2. Legen Sie die Attribute wie gewünscht fest: 
    # Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2
conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
  3. Speichern Sie die Änderungen.
  4. Achten Sie darauf, dass die Attributdatei dem Nutzer „apigee“ gehört: 
     chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. Starten Sie den Router neu: 
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
  6. Prüfen Sie, ob das Protokoll korrekt aktualisiert wurde. Sehen Sie sich dazu die NGINX-Datei /opt/nginx/conf.d/0-default.conf an: 
    cat /opt/nginx/conf.d/0-default.conf

    Achten Sie darauf, dass der Wert für ssl_protocols TLSv1.2 ist.

  7. Wenn Sie Zwei-Wege-TLS mit einem virtuellen Host verwenden, müssen Sie auch das TLS-Protokoll im virtuellen Host festlegen, wie unter TLS-Zugriff auf eine API für die Private Cloud konfigurieren beschrieben.

Legen Sie das TLS-Protokoll auf dem Message Processor fest

Legen Sie Attribute in der Datei message-processor.properties fest, um das TLS-Protokoll für Message Processor festzulegen:

  1. Öffnen Sie die Datei message-processor.properties in einem Editor. Wenn die Datei nicht vorhanden ist, erstellen Sie sie: 
    vi /opt/apigee/customer/application/message-processor.properties
  2. Konfigurieren Sie die Attribute mit der folgenden Syntax: 
    # Possible values are a comma-delimited list of TLSv1, TLSv1.1, and TLSv1.2
conf/system.properties+https.protocols=[TLSv1][,TLSv1.1][,TLSv1.2]
# Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2
# SSLv3 is required
conf_jvmsecurity_jdk.tls.disabledAlgorithms=SSLv3[,TLSv1][,TLSv1.1][,TLSv1.2]

# Specify the ciphers that the Message Processor supports. (You must separate ciphers with a comma.):
conf_message-processor-communication_local.http.ssl.ciphers=cipher[,...]

    Mögliche Werte für conf_message-processor-communication_local.http.ssl.ciphers sind:

    • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
    • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Beispiel:

    conf/system.properties+https.protocols=TLSv1.2
conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1
conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Eine vollständige Liste der zugehörigen Attribute finden Sie unter TLS zwischen einem Router und einem Message Processor konfigurieren.

  3. Speichern Sie die Änderungen.
  4. Achten Sie darauf, dass die Attributdatei dem Nutzer „apigee“ gehört: 
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  5. Starten Sie den Message Processor neu: 
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
  6. Wenn Sie Zwei-Wege-TLS mit dem Back-End verwenden, legen Sie das TLS-Protokoll im virtuellen Host fest, wie unter TLS von Edge zum Back-End (Cloud und Private Cloud) konfigurieren beschrieben.