Configura el protocolo TLS para el router y el procesador de mensajes

De forma predeterminada, el router y el procesador de mensajes admiten las versiones de TLS 1.0, 1.1 y 1.2. Sin embargo, puede limitar los protocolos que admiten el router y el procesador de mensajes. En este documento, se describe cómo configurar el protocolo de forma global en el router y el procesador de mensajes.

Para el router, también puedes configurar el protocolo para hosts virtuales individuales. Consulta Configura el acceso TLS a una API para la nube privada.

Para el Message Processor, puedes configurar el protocolo para un TargetEndpoint individual. Consulta Configura TLS desde el perímetro hasta el backend (en la nube y en la nube privada).

Configura el protocolo TLS en el router

Para configurar el protocolo TLS en el router, configura las propiedades en router.properties archivo:

  1. Abre el archivo router.properties en un editor. Si el archivo no existe, créalo:
    vi /opt/apigee/customer/application/router.properties
  2. Configura las propiedades como desees:
    # Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2
    conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
  3. Guarda los cambios.
  4. Asegúrate de que el archivo de propiedades sea propiedad de “apigee” usuario:
     chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. Reinicia el router:
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
  6. Examina el archivo NGINX para verificar que el protocolo se actualice de forma correcta. /opt/nginx/conf.d/0-default.conf:
    cat /opt/nginx/conf.d/0-default.conf

    Asegúrate de que el valor de ssl_protocols sea TLSv1.2.

  7. Si usas TLS bidireccional con un host virtual, también debes configurar el protocolo TLS en el host virtual como se describe en Configura el acceso de TLS a una API para la nube privada.

Configurar el protocolo TLS en la pestaña Mensaje Procesador

Para configurar el protocolo TLS en Message Processor, establece propiedades en la Archivo message-processor.properties:

  1. Abre el archivo message-processor.properties en un editor. Si el archivo no existe, créalo:
    vi /opt/apigee/customer/application/message-processor.properties
  2. Configura las propiedades con la siguiente sintaxis:
    # Possible values are a comma-delimited list of TLSv1, TLSv1.1, and TLSv1.2
    conf/system.properties+https.protocols=[TLSv1][,TLSv1.1][,TLSv1.2]
    # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2
    # SSLv3 is required
    conf_jvmsecurity_jdk.tls.disabledAlgorithms=SSLv3[,TLSv1][,TLSv1.1][,TLSv1.2]
    
    # Specify the ciphers that the Message Processor supports. (You must separate ciphers with a comma.):
    conf_message-processor-communication_local.http.ssl.ciphers=cipher[,...]

    Los valores posibles de conf_message-processor-communication_local.http.ssl.ciphers son los siguientes:

    • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
    • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Por ejemplo:

    conf/system.properties+https.protocols=TLSv1.2
    conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1
    conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Para obtener una lista completa de las propiedades relacionadas, consulta Cómo configurar TLS entre un router y un procesador de mensajes.

  3. Guarda los cambios.
  4. Asegúrate de que el usuario “apigee” sea el propietario del archivo de propiedades:
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  5. Reinicia el procesador de mensajes:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
  6. Si usas TLS bidireccional con el backend, establece el protocolo TLS en el host virtual como que se describe en Cómo configurar TLS desde el perímetro hasta el backend (nube y nube privada).