De forma predeterminada, el router y el procesador de mensajes admiten las versiones de TLS 1.0, 1.1 y 1.2. Sin embargo, puede limitar los protocolos que admiten el router y el procesador de mensajes. En este documento, se describe cómo configurar el protocolo de forma global en el router y el procesador de mensajes.
Para el router, también puedes configurar el protocolo para hosts virtuales individuales. Consulta Configura el acceso TLS a una API para la nube privada.
Para el Message Processor, puedes configurar el protocolo para un TargetEndpoint individual. Consulta Configura TLS desde el perímetro hasta el backend (en la nube y en la nube privada).
Configura el protocolo TLS en el router
Para configurar el protocolo TLS en el router, configura las propiedades en router.properties
archivo:
- Abre el archivo
router.properties
en un editor. Si el archivo no existe, créalo:vi /opt/apigee/customer/application/router.properties
- Configura las propiedades como desees:
# Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2 conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
- Guarda los cambios.
- Asegúrate de que el archivo de propiedades sea propiedad de “apigee” usuario:
chown apigee:apigee /opt/apigee/customer/application/router.properties
- Reinicia el router:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- Examina el archivo NGINX para verificar que el protocolo se actualice de forma correcta.
/opt/nginx/conf.d/0-default.conf
:cat /opt/nginx/conf.d/0-default.conf
Asegúrate de que el valor de
ssl_protocols
sea TLSv1.2. - Si usas TLS bidireccional con un host virtual, también debes configurar el protocolo TLS en el host virtual como se describe en Configura el acceso de TLS a una API para la nube privada.
Configurar el protocolo TLS en la pestaña Mensaje Procesador
Para configurar el protocolo TLS en Message Processor, establece propiedades en la
Archivo message-processor.properties
:
- Abre el archivo
message-processor.properties
en un editor. Si el archivo no existe, créalo:vi /opt/apigee/customer/application/message-processor.properties
- Configura las propiedades con la siguiente sintaxis:
# Possible values are a comma-delimited list of TLSv1, TLSv1.1, and TLSv1.2 conf/system.properties+https.protocols=[TLSv1][,TLSv1.1][,TLSv1.2] # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2 # SSLv3 is required conf_jvmsecurity_jdk.tls.disabledAlgorithms=SSLv3[,TLSv1][,TLSv1.1][,TLSv1.2] # Specify the ciphers that the Message Processor supports. (You must separate ciphers with a comma.): conf_message-processor-communication_local.http.ssl.ciphers=cipher[,...]
Los valores posibles de
conf_message-processor-communication_local.http.ssl.ciphers
son los siguientes:TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
Por ejemplo:
conf/system.properties+https.protocols=TLSv1.2 conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1 conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
Para obtener una lista completa de las propiedades relacionadas, consulta Cómo configurar TLS entre un router y un procesador de mensajes.
- Guarda los cambios.
- Asegúrate de que el usuario “apigee” sea el propietario del archivo de propiedades:
chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
- Reinicia el procesador de mensajes:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- Si usas TLS bidireccional con el backend, establece el protocolo TLS en el host virtual como que se describe en Cómo configurar TLS desde el perímetro hasta el backend (nube y nube privada).