Varsayılan olarak, Yönlendirici ve Mesaj İşleyici, TLS 1.0, 1.1, 1.2 sürümlerini destekler. Ancak, Yönlendirici ve Mesaj İşleyici tarafından desteklenen protokolleri sınırlandırmak isteyebilirsiniz. Bu belgede, Yönlendirici ve Mesaj İşleyicide protokolün global olarak nasıl ayarlanacağı açıklanmaktadır.
Yönlendirici için bağımsız sanal ana makineler için protokolü de ayarlayabilirsiniz. Daha fazla bilgi için Private Cloud için bir API'ye TLS erişimini yapılandırma bölümüne bakın.
Message Processor için tek bir TargetEndpoint protokolü ayarlayabilirsiniz. Daha fazla bilgi için Edge'den arka uca TLS'yi yapılandırma (Cloud ve Private Cloud) bölümüne bakın.
Yönlendiricide TLS protokolünü ayarlayın
Yönlendiricide TLS protokolünü ayarlamak için router.properties dosyasındaki özellikleri belirleyin:
router.propertiesdosyasını bir düzenleyicide açın. Dosya mevcut değilse oluşturun:vi /opt/apigee/customer/application/router.properties
- Özellikleri istediğiniz gibi ayarlayın:
# Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2 conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
- Değişikliklerinizi kaydedin.
- Özellikler dosyasının "Apigee" kullanıcısına ait olduğundan emin olun:
chown apigee:apigee /opt/apigee/customer/application/router.properties
- Yönlendiriciyi yeniden başlatın:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- NGINX dosyasını inceleyerek protokolün doğru şekilde güncellendiğini doğrulayın
/opt/nginx/conf.d/0-default.conf:cat /opt/nginx/conf.d/0-default.conf
ssl_protocolsdeğerinin TLSv1.2 olduğundan emin olun. - Bir sanal ana makine ile iki yönlü TLS kullanıyorsanız Private Cloud için bir API'ye TLS erişimini yapılandırma bölümünde açıklandığı gibi, sanal ana makinede TLS protokolünü de ayarlamanız gerekir.
Mesaj İşleyici'de TLS protokolünü ayarlama
Mesaj İşleyici'de TLS protokolünü ayarlamak için message-processor.properties dosyasındaki özellikleri belirleyin:
message-processor.propertiesdosyasını bir düzenleyicide açın. Dosya mevcut değilse oluşturun:vi /opt/apigee/customer/application/message-processor.properties
- Aşağıdaki söz dizimini kullanarak özellikleri yapılandırın:
# Possible values are a comma-delimited list of TLSv1, TLSv1.1, and TLSv1.2 conf/system.properties+https.protocols=[TLSv1][,TLSv1.1][,TLSv1.2] # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2 # SSLv3 is required conf_jvmsecurity_jdk.tls.disabledAlgorithms=SSLv3[,TLSv1][,TLSv1.1][,TLSv1.2] # Specify the ciphers that the Message Processor supports. (You must separate ciphers with a comma.): conf_message-processor-communication_local.http.ssl.ciphers=cipher[,...]
conf_message-processor-communication_local.http.ssl.ciphersiçin olası değerler:TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384TLS_RSA_WITH_AES_256_GCM_SHA384TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384TLS_DHE_RSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
Örneğin:
conf/system.properties+https.protocols=TLSv1.2 conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1 conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
İlgili özelliklerin tam listesi için Bir Yönlendirici ve Mesaj İşleyici arasında TLS'yi yapılandırma bölümüne bakın.
- Değişikliklerinizi kaydedin.
- Özellikler dosyasının "Apigee" kullanıcısına ait olduğundan emin olun:
chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
- Mesaj İşleyici'yi yeniden başlatın:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- Arka uçla iki yönlü TLS kullanıyorsanız sanal ana makinede TLS protokolünü Uçtan arka uca TLS'yi yapılandırma (Cloud ve Private Cloud) bölümünde açıklandığı gibi ayarlayın.