به طور پیش فرض، روتر و پردازشگر پیام از نسخه های 1.0، 1.1، 1.2 TLS پشتیبانی می کنند. با این حال، ممکن است بخواهید پروتکل های پشتیبانی شده توسط روتر و پردازشگر پیام را محدود کنید. این سند نحوه تنظیم پروتکل به صورت سراسری بر روی روتر و پردازشگر پیام را توضیح می دهد.
برای روتر، شما همچنین می توانید پروتکل را برای میزبان های مجازی جداگانه تنظیم کنید. برای اطلاعات بیشتر به پیکربندی دسترسی TLS به یک API برای Private Cloud مراجعه کنید.
برای پردازشگر پیام، می توانید پروتکل را برای یک TargetEndpoint جداگانه تنظیم کنید. برای اطلاعات بیشتر به پیکربندی TLS از Edge به باطن (Cloud و Private Cloud) مراجعه کنید.
پروتکل TLS را روی روتر تنظیم کنید
برای تنظیم پروتکل TLS روی روتر، ویژگی ها را در فایل router.properties تنظیم کنید:
- فایل
router.propertiesرا در یک ویرایشگر باز کنید. اگر فایل وجود ندارد، آن را ایجاد کنید:vi /opt/apigee/customer/application/router.properties
- ویژگی ها را به صورت دلخواه تنظیم کنید:
# Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2 conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
- تغییرات خود را ذخیره کنید
- مطمئن شوید که فایل خواص متعلق به کاربر "apigee" است:
chown apigee:apigee /opt/apigee/customer/application/router.properties
- روتر را مجددا راه اندازی کنید:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- با بررسی فایل NGINX
/opt/nginx/conf.d/0-default.conf:cat /opt/nginx/conf.d/0-default.conf
تأیید کنید که پروتکل به درستی به روز شده است.مطمئن شوید که مقدار
ssl_protocolsTLSv1.2 است. - اگر از TLS دو طرفه با میزبان مجازی استفاده میکنید، باید پروتکل TLS را نیز همانطور که در پیکربندی دسترسی TLS به یک API برای Private Cloud توضیح داده شده است، در میزبان مجازی تنظیم کنید.
پروتکل TLS را روی پردازشگر پیام تنظیم کنید
برای تنظیم پروتکل TLS در پردازشگر پیام، خصوصیات را در فایل message-processor.properties تنظیم کنید:
- فایل
message-processor.propertiesرا در یک ویرایشگر باز کنید. اگر فایل وجود ندارد، آن را ایجاد کنید:vi /opt/apigee/customer/application/message-processor.properties
- ویژگی ها را با استفاده از نحو زیر پیکربندی کنید:
# Possible values are a comma-delimited list of TLSv1, TLSv1.1, and TLSv1.2 conf/system.properties+https.protocols=[TLSv1][,TLSv1.1][,TLSv1.2] # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2 # SSLv3 is required conf_jvmsecurity_jdk.tls.disabledAlgorithms=SSLv3[,TLSv1][,TLSv1.1][,TLSv1.2] # Specify the ciphers that the Message Processor supports. (You must separate ciphers with a comma.): conf_message-processor-communication_local.http.ssl.ciphers=cipher[,...]
مقادیر ممکن برای
conf_message-processor-communication_local.http.ssl.ciphersعبارتند از:-
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 -
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 -
TLS_RSA_WITH_AES_256_GCM_SHA384 -
TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384 -
TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384 -
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 -
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
مثلا:
conf/system.properties+https.protocols=TLSv1.2 conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1 conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
برای فهرست کاملی از خصوصیات مرتبط، به پیکربندی TLS بین روتر و پردازشگر پیام مراجعه کنید.
-
- تغییرات خود را ذخیره کنید
- مطمئن شوید که فایل خواص متعلق به کاربر "apigee" است:
chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
- پردازشگر پیام را مجددا راه اندازی کنید:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- اگر از TLS دو طرفه با باطن استفاده می کنید، پروتکل TLS را در میزبان مجازی همانطور که در پیکربندی TLS از Edge به باطن (Cloud و Private Cloud) توضیح داده شده است، تنظیم کنید.