Configura el protocolo TLS para el router y el procesador de mensajes

De forma predeterminada, el router y el procesador de mensajes admiten las versiones de TLS 1.0, 1.1 y 1.2. Sin embargo, es posible que desees limitar los protocolos compatibles con el router y el procesador de mensajes. En este documento, se describe cómo configurar el protocolo a nivel global en el procesador de routers y mensajes.

Para el router, también puedes configurar el protocolo para hosts virtuales individuales. Si deseas obtener más información, consulta Configura el acceso TLS a una API para la nube privada.

Para Message Processor, puedes configurar el protocolo para un TargetEndpoint individual. Consulta Configura TLS desde Edge al backend (Cloud y nube privada) para obtener más información.

Configura el protocolo TLS en el router

Para configurar el protocolo TLS en el router, establece las propiedades en el archivo router.properties:

  1. Abre el archivo router.properties en un editor. Si el archivo no existe, créalo: 
    vi /opt/apigee/customer/application/router.properties
  2. Configura las propiedades como desees: 
    # Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2
conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
  3. Guarda los cambios.
  4. Asegúrate de que el archivo de propiedades sea propiedad del usuario de “apigee”: 
     chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. Reinicia el router: 
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
  6. Examina el archivo NGINX /opt/nginx/conf.d/0-default.conf para verificar que el protocolo se actualice de forma correcta: 
    cat /opt/nginx/conf.d/0-default.conf

    Asegúrate de que el valor de ssl_protocols sea TLSv1.2.

  7. Si usas TLS bidireccional con un host virtual, también debes configurar el protocolo TLS en el host virtual, como se describe en Configura el acceso TLS a una API para la nube privada.

Configura el protocolo TLS en el procesador de mensajes

Para configurar el protocolo TLS en Message Processor, establece las propiedades en el archivo message-processor.properties:

  1. Abre el archivo message-processor.properties en un editor. Si el archivo no existe, créalo: 
    vi /opt/apigee/customer/application/message-processor.properties
  2. Configura las propiedades con la siguiente sintaxis: 
    # Possible values are a comma-delimited list of TLSv1, TLSv1.1, and TLSv1.2
conf/system.properties+https.protocols=[TLSv1][,TLSv1.1][,TLSv1.2]
# Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2
# SSLv3 is required
conf_jvmsecurity_jdk.tls.disabledAlgorithms=SSLv3[,TLSv1][,TLSv1.1][,TLSv1.2]

# Specify the ciphers that the Message Processor supports. (You must separate ciphers with a comma.):
conf_message-processor-communication_local.http.ssl.ciphers=cipher[,...]

    Los valores posibles para conf_message-processor-communication_local.http.ssl.ciphers son los siguientes:

    • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
    • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Por ejemplo:

    conf/system.properties+https.protocols=TLSv1.2
conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1
conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Para obtener una lista completa de las propiedades relacionadas, consulta Configura TLS entre un router y un procesador de mensajes.

  3. Guarda los cambios.
  4. Asegúrate de que el archivo de propiedades sea propiedad del usuario de “apigee”: 
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  5. Reinicia Message Processor: 
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
  6. Si usas TLS bidireccional con el backend, configura el protocolo TLS en el host virtual como se describe en Configura TLS desde Edge al backend (Cloud y nube privada).