โดยค่าเริ่มต้น เราเตอร์และผู้ประมวลผลข้อมูลข้อความรองรับ TLS เวอร์ชัน 1.0, 1.1, 1.2 อย่างไรก็ตาม คุณอาจต้องการจำกัดโปรโตคอลที่เราเตอร์และเครื่องมือประมวลผลข้อความรองรับ เอกสารนี้จะอธิบายวิธีตั้งค่าโปรโตคอลบนเราเตอร์และเครื่องมือประมวลผลข้อความทั่วโลก
สำหรับเราเตอร์ คุณยังสามารถตั้งค่าโปรโตคอลสำหรับโฮสต์เสมือนแต่ละโฮสต์ได้ด้วย โปรดดูการกำหนดค่าการเข้าถึง TLS ไปยัง API สำหรับ Private Cloud สำหรับข้อมูลเพิ่มเติม
สำหรับเครื่องมือประมวลผลข้อความ คุณสามารถตั้งค่าโปรโตคอลสำหรับ TargetEndpoint แต่ละรายการได้ โปรดดูการกำหนดค่า TLS จาก Edge เป็นแบ็กเอนด์ (Cloud และ Private Cloud) สำหรับข้อมูลเพิ่มเติม
ตั้งค่าโปรโตคอล TLS บนเราเตอร์
หากต้องการตั้งค่าโปรโตคอล TLS บนเราเตอร์ ให้ตั้งค่าพร็อพเพอร์ตี้ในไฟล์ router.properties ดังนี้
- เปิดไฟล์
router.propertiesในตัวแก้ไข หากไม่มีไฟล์ ให้สร้างขึ้นมาโดยทำดังนี้vi /opt/apigee/customer/application/router.properties
- ตั้งค่าพร็อพเพอร์ตี้ตามต้องการ ดังนี้
# Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2 conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
- บันทึกการเปลี่ยนแปลง
- ตรวจสอบว่าผู้ใช้ "apigee" เป็นเจ้าของไฟล์พร็อพเพอร์ตี้:
chown apigee:apigee /opt/apigee/customer/application/router.properties
- รีสตาร์ทเราเตอร์โดยทำดังนี้
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- ยืนยันว่าโปรโตคอลได้รับการอัปเดตอย่างถูกต้องโดยตรวจสอบไฟล์ NGINX
/opt/nginx/conf.d/0-default.conf:cat /opt/nginx/conf.d/0-default.conf
ตรวจสอบว่าค่าของ
ssl_protocolsคือ TLSv1.2 - หากใช้ TLS แบบ 2 ทางกับโฮสต์เสมือน คุณต้องตั้งค่าโปรโตคอล TLS ในโฮสต์เสมือนด้วย ตามที่อธิบายไว้ในการกำหนดค่าการเข้าถึง TLS ไปยัง API สำหรับ Private Cloud
ตั้งค่าโปรโตคอล TLS ในตัวประมวลผลข้อความ
หากต้องการตั้งค่าโปรโตคอล TLS ในตัวประมวลผลข้อความ ให้ตั้งค่าพร็อพเพอร์ตี้ในไฟล์ message-processor.properties ดังนี้
- เปิดไฟล์
message-processor.propertiesในตัวแก้ไข หากไม่มีไฟล์ ให้สร้างขึ้นมาโดยทำดังนี้vi /opt/apigee/customer/application/message-processor.properties
- กำหนดค่าพร็อพเพอร์ตี้โดยใช้ไวยากรณ์ต่อไปนี้
# Possible values are a comma-delimited list of TLSv1, TLSv1.1, and TLSv1.2 conf/system.properties+https.protocols=[TLSv1][,TLSv1.1][,TLSv1.2] # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2 # SSLv3 is required conf_jvmsecurity_jdk.tls.disabledAlgorithms=SSLv3[,TLSv1][,TLSv1.1][,TLSv1.2] # Specify the ciphers that the Message Processor supports. (You must separate ciphers with a comma.): conf_message-processor-communication_local.http.ssl.ciphers=cipher[,...]
ค่าที่เป็นไปได้สำหรับ
conf_message-processor-communication_local.http.ssl.ciphersมีดังนี้TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384TLS_RSA_WITH_AES_256_GCM_SHA384TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384TLS_DHE_RSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
เช่น
conf/system.properties+https.protocols=TLSv1.2 conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1 conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
ดูรายการพร็อพเพอร์ตี้ที่เกี่ยวข้องทั้งหมดได้ที่การกำหนดค่า TLS ระหว่างเราเตอร์และผู้ประมวลผลข้อมูลข้อความ
- บันทึกการเปลี่ยนแปลง
- ตรวจสอบว่าผู้ใช้ "apigee" เป็นเจ้าของไฟล์พร็อพเพอร์ตี้:
chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
- รีสตาร์ทโปรแกรมประมวลผลข้อความโดยทำดังนี้
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- หากใช้ TLS แบบ 2 ทางกับแบ็กเอนด์ ให้ตั้งค่าโปรโตคอล TLS ในโฮสต์เสมือนตามที่อธิบายไว้ในการกำหนดค่า TLS จาก Edge เป็นแบ็กเอนด์ (Cloud และ Private Cloud)