Yönlendirici ve İleti İşleyen varsayılan olarak TLS 1.0, 1.1 ve 1.2 sürümlerini destekler. Ancak Yönlendirici ve Mesaj İşleyici tarafından desteklenen protokolleri sınırlamak isteyebilirsiniz. Bu dokümanda, protokolün Yönlendirici ve Mesaj İşleyicide nasıl global olarak ayarlanacağı açıklanmaktadır.
Yönlendirici için ayrı sanal ana makinelere yönelik protokolü de ayarlayabilirsiniz. Bkz. API'ye TLS erişimini yapılandırma hakkında daha fazla bilgi edinin.
Mesaj İşleyen için protokolü tek bir hedef uç nokta için ayarlayabilirsiniz. Bkz. TLS'yi Yapılandırma daha fazla bilgi için uçtan uca (Bulut ve Private Cloud) kullanın.
Yönlendiricideki TLS protokolünü ayarla
Yönlendiricide TLS protokolünü ayarlamak için özellikleri router.properties içinde ayarlayın
dosya:
router.propertiesdosyasını şurada aç: düzenleyicidir. Dosya yoksa oluşturun:vi /opt/apigee/customer/application/router.properties
- Özellikleri istediğiniz gibi ayarlayın:
# Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2 conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
. - Değişikliklerinizi kaydedin.
- Özellikler dosyasının sahibi olarak "Apigee" bulunduğundan emin olun kullanıcı:
chown apigee:apigee /opt/apigee/customer/application/router.properties
. - Yönlendiriciyi yeniden başlatın:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
. - NGINX dosyasını inceleyerek protokolün doğru şekilde güncellendiğini doğrulayın.
/opt/nginx/conf.d/0-default.conf:cat /opt/nginx/conf.d/0-default.conf
ssl_protocolsdeğerinin TLSv1.2 olduğundan emin olun. - Sanal ana makineyle iki yönlü TLS'yi kullanıyorsanız TLS protokolünü Bir sanal makineye TLS erişimini yapılandırma API for the Private Cloud (Özel Bulut için API) seçeneğini tıklayın.
Mesaj işleyicide TLS protokolünü ayarlama
İleti İşleyicide TLS protokolünü ayarlamak için message-processor.properties dosyasında özellikleri ayarlayın:
message-processor.propertiesdosyasını bir düzenleyicide açın. Dosya yoksa oluşturun:vi /opt/apigee/customer/application/message-processor.properties
- Aşağıdaki söz dizimini kullanarak mülkleri yapılandırın:
# Possible values are a comma-delimited list of TLSv1, TLSv1.1, and TLSv1.2 conf/system.properties+https.protocols=[TLSv1][,TLSv1.1][,TLSv1.2] # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2 # SSLv3 is required conf_jvmsecurity_jdk.tls.disabledAlgorithms=SSLv3[,TLSv1][,TLSv1.1][,TLSv1.2] # Specify the ciphers that the Message Processor supports. (You must separate ciphers with a comma.): conf_message-processor-communication_local.http.ssl.ciphers=cipher[,...]
.conf_message-processor-communication_local.http.ssl.ciphersiçin olası değerler:TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384TLS_RSA_WITH_AES_256_GCM_SHA384TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384TLS_DHE_RSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
Örneğin:
conf/system.properties+https.protocols=TLSv1.2 conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1 conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
İlgili tesislerin tam listesi için şuraya bakın: TLS yapılandırması Yönlendirici ve Mesaj İşleyici.
- Değişikliklerinizi kaydedin.
- mülk dosyasının "apigee" kullanıcısına ait olduğundan emin olun:
chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
- Mesaj İşlemciyi yeniden başlatın:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- Arka uçta iki yönlü TLS kullanıyorsanız sanal ana makinedeki TLS protokolünü TLS'yi Yapılandırma uçtan uca (Bulut ve Private Cloud).