โดยค่าเริ่มต้น เราเตอร์และโปรแกรมประมวลผลข้อความจะรองรับ TLS เวอร์ชัน 1.0, 1.1 และ 1.2 อย่างไรก็ตาม คุณ อาจต้องการจำกัดโปรโตคอลที่เราเตอร์และตัวประมวลผลข้อความสนับสนุน เอกสารนี้จะอธิบายวิธีตั้งค่าโปรโตคอลทั่วโลกในเราเตอร์และโปรแกรมประมวลผลข้อความ
สำหรับเราเตอร์ คุณยังสามารถตั้งค่าโปรโตคอลสำหรับโฮสต์เสมือนแต่ละรายการได้ด้วย โปรดดูการกำหนดค่าการเข้าถึง TLS สำหรับ API Private Cloud เพิ่มเติม
สําหรับโปรแกรมประมวลผลข้อความ คุณสามารถตั้งค่าโปรโตคอลสําหรับปลายทางเป้าหมายแต่ละรายการได้ ดูการกำหนดค่า TLS จาก Edge ไปยังแบ็กเอนด์ (Cloud และ Private Cloud) เพื่อให้ข้อมูลเพิ่มเติม
ตั้งค่าโปรโตคอล TLS บนเราเตอร์
หากต้องการตั้งค่าโปรโตคอล TLS บนเราเตอร์ ให้ตั้งค่าพร็อพเพอร์ตี้ใน router.properties
ไฟล์:
- เปิดไฟล์
router.propertiesใน เอดิเตอร์ หากไม่มีไฟล์ ให้สร้างตามขั้นตอนต่อไปนี้vi /opt/apigee/customer/application/router.properties
- ตั้งค่าพร็อพเพอร์ตี้ตามต้องการ ดังนี้
# Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2 conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
- บันทึกการเปลี่ยนแปลง
- ตรวจสอบว่าไฟล์พร็อพเพอร์ตี้เป็นของผู้ใช้ "apigee" โดยทำดังนี้
chown apigee:apigee /opt/apigee/customer/application/router.properties
- รีสตาร์ทเราเตอร์ดังนี้
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- ตรวจสอบว่าโปรโตคอลได้รับการอัปเดตอย่างถูกต้องโดยตรวจสอบไฟล์ NGINX
/opt/nginx/conf.d/0-default.confcat /opt/nginx/conf.d/0-default.conf
ตรวจสอบว่าค่าของ
ssl_protocolsเป็น TLSv1.2 - หากคุณกำลังใช้ TLS แบบ 2 ทางกับโฮสต์เสมือน คุณต้องตั้งค่าโปรโตคอล TLS ใน โฮสต์เสมือนตามที่อธิบายไว้ในการกำหนดค่าการเข้าถึง TLS สำหรับ API สำหรับ Private Cloud
ตั้งค่าโปรโตคอล TLS ในข้อความ ผู้ประมวลผลข้อมูล
หากต้องการตั้งค่าโปรโตคอล TLS ในโปรแกรมประมวลผลข้อความ ให้ตั้งค่าพร็อพเพอร์ตี้ในไฟล์ message-processor.properties ดังนี้
- เปิดไฟล์
message-processor.propertiesในเครื่องมือแก้ไข หากไม่มีไฟล์ ให้สร้างไฟล์โดยทำดังนี้vi /opt/apigee/customer/application/message-processor.properties
- กําหนดค่าพร็อพเพอร์ตี้โดยใช้ไวยากรณ์ต่อไปนี้
# Possible values are a comma-delimited list of TLSv1, TLSv1.1, and TLSv1.2 conf/system.properties+https.protocols=[TLSv1][,TLSv1.1][,TLSv1.2] # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2 # SSLv3 is required conf_jvmsecurity_jdk.tls.disabledAlgorithms=SSLv3[,TLSv1][,TLSv1.1][,TLSv1.2] # Specify the ciphers that the Message Processor supports. (You must separate ciphers with a comma.): conf_message-processor-communication_local.http.ssl.ciphers=cipher[,...]
ค่าที่เป็นไปได้สำหรับ
conf_message-processor-communication_local.http.ssl.ciphersได้แก่TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384TLS_RSA_WITH_AES_256_GCM_SHA384TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384TLS_DHE_RSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
เช่น
conf/system.properties+https.protocols=TLSv1.2 conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1 conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
ดูรายการที่พักที่เกี่ยวข้องทั้งหมดได้ที่ การกำหนดค่า TLS ระหว่าง เราเตอร์และ Message Processor
- บันทึกการเปลี่ยนแปลง
- ตรวจสอบว่าไฟล์พร็อพเพอร์ตี้เป็นของ "apigee" ผู้ใช้:
chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
- รีสตาร์ทโปรแกรมประมวลผลข้อความโดยทำดังนี้
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- ถ้าคุณใช้ TLS แบบ 2 ทางกับแบ็กเอนด์ ให้ตั้งค่าโปรโตคอล TLS ในโฮสต์เสมือนเป็น ตามที่อธิบายไว้ในการกำหนดค่า TLS จาก Edge ไปยังแบ็กเอนด์ (ระบบคลาวด์และ Private Cloud)