Theo mặc định, Bộ định tuyến và Bộ xử lý thư hỗ trợ TLS phiên bản 1.0, 1.1, 1.2. Tuy nhiên, bạn nên giới hạn các giao thức mà Bộ định tuyến và Bộ xử lý thông báo hỗ trợ. Tài liệu này mô tả cách thiết lập giao thức chung trên Bộ định tuyến và Trình xử lý thông báo.
Đối với Bộ định tuyến, bạn cũng có thể thiết lập giao thức cho từng máy chủ ảo riêng lẻ. Hãy xem bài viết Định cấu hình quyền truy cập TLS vào API cho Đám mây riêng tư để biết thêm thông tin.
Đối với Bộ xử lý thông báo, bạn có thể thiết lập giao thức cho một TargetEndpoint riêng lẻ. Hãy xem bài viết Định cấu hình TLS từ Edge đến phần phụ trợ (Đám mây và Đám mây riêng) để biết thêm thông tin.
Thiết lập giao thức TLS trên Bộ định tuyến
Để thiết lập giao thức TLS trên Bộ định tuyến, hãy đặt các thuộc tính trong tệp router.properties:
- Mở tệp
router.propertiestrong một trình chỉnh sửa. Nếu tệp không tồn tại, hãy tạo tệp:vi /opt/apigee/customer/application/router.properties
- Thiết lập các cơ sở lưu trú theo ý muốn:
# Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2 conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
- Lưu các thay đổi.
- Đảm bảo tệp thuộc tính thuộc sở hữu của người dùng "apigee":
chown apigee:apigee /opt/apigee/customer/application/router.properties
- Khởi động lại bộ định tuyến:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- Xác minh rằng giao thức đã được cập nhật chính xác bằng cách kiểm tra tệp NGINX
/opt/nginx/conf.d/0-default.conf:cat /opt/nginx/conf.d/0-default.conf
Đảm bảo rằng giá trị của
ssl_protocolslà TLS phiên bản 1.2. - Nếu đang dùng TLS hai chiều với một máy chủ ảo, thì bạn cũng phải thiết lập giao thức TLS trong máy chủ ảo như mô tả trong bài viết Định cấu hình quyền truy cập TLS vào một API cho Đám mây riêng tư.
Thiết lập giao thức TLS trên Trình xử lý thư
Để thiết lập giao thức TLS trên Trình xử lý thông báo, hãy đặt các thuộc tính trong tệp message-processor.properties:
- Mở tệp
message-processor.propertiestrong một trình chỉnh sửa. Nếu tệp không tồn tại, hãy tạo tệp:vi /opt/apigee/customer/application/message-processor.properties
- Định cấu hình thuộc tính bằng cú pháp sau:
# Possible values are a comma-delimited list of TLSv1, TLSv1.1, and TLSv1.2 conf/system.properties+https.protocols=[TLSv1][,TLSv1.1][,TLSv1.2] # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2 # SSLv3 is required conf_jvmsecurity_jdk.tls.disabledAlgorithms=SSLv3[,TLSv1][,TLSv1.1][,TLSv1.2] # Specify the ciphers that the Message Processor supports. (You must separate ciphers with a comma.): conf_message-processor-communication_local.http.ssl.ciphers=cipher[,...]
Các giá trị có thể sử dụng cho
conf_message-processor-communication_local.http.ssl.cipherslà:TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384TLS_RSA_WITH_AES_256_GCM_SHA384TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384TLS_DHE_RSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
Ví dụ:
conf/system.properties+https.protocols=TLSv1.2 conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1 conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
Để biết danh sách đầy đủ các thuộc tính có liên quan, hãy xem bài viết Định cấu hình TLS giữa Bộ định tuyến và Bộ xử lý thư.
- Lưu các thay đổi.
- Đảm bảo tệp thuộc tính thuộc sở hữu của người dùng "apigee":
chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
- Khởi động lại bộ xử lý thư:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- Nếu bạn đang dùng TLS hai chiều với phần phụ trợ, hãy thiết lập giao thức TLS trong máy chủ ảo như mô tả trong bài viết Định cấu hình TLS từ Edge đến phần phụ trợ (Đám mây và Đám mây riêng tư).