Theo mặc định, Trình xử lý thông báo và Trình định tuyến hỗ trợ các phiên bản TLS 1.0, 1.1, 1.2. Tuy nhiên, bạn nên hạn chế các giao thức mà Trình xử lý tin nhắn và Trình định tuyến hỗ trợ. Tài liệu này mô tả cách cài đặt giao thức chung trên Bộ định tuyến và Bộ xử lý thư.
Đối với Bộ định tuyến, bạn cũng có thể thiết lập giao thức cho các máy chủ ảo riêng lẻ. Hãy xem bài viết Định cấu hình quyền truy cập TLS vào API cho đám mây riêng để biết thêm thông tin.
Đối với Trình xử lý thông báo, bạn có thể thiết lập giao thức cho từng TargetEndpoint riêng lẻ. Hãy xem phần Định cấu hình TLS từ Edge đến phần phụ trợ (Đám mây và Đám mây riêng tư) để biết thêm thông tin.
Thiết lập giao thức TLS trên Bộ định tuyến
Để thiết lập giao thức TLS trên Bộ định tuyến, hãy đặt các thuộc tính trong router.properties
tệp:
- Mở tệp
router.propertiestrong một người chỉnh sửa. Nếu tệp không tồn tại, hãy tạo tệp:vi /opt/apigee/customer/application/router.properties
- Đặt các thuộc tính như mong muốn:
# Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2 conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
- Lưu các thay đổi.
- Đảm bảo rằng tệp thuộc tính thuộc sở hữu của "apigee" người dùng:
chown apigee:apigee /opt/apigee/customer/application/router.properties
- Khởi động lại Bộ định tuyến:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- Xác minh rằng giao thức được cập nhật chính xác bằng cách kiểm tra tệp NGINX
/opt/nginx/conf.d/0-default.conf:cat /opt/nginx/conf.d/0-default.conf
Đảm bảo giá trị của
ssl_protocolslà TLSv1.2. - Nếu đang sử dụng TLS hai chiều với máy chủ ảo, bạn cũng phải thiết lập giao thức TLS trong máy chủ ảo như được mô tả trong Định cấu hình truy cập TLS vào một API dành cho Đám mây riêng tư.
Thiết lập giao thức TLS trên Thông báo Bộ xử lý
Để thiết lập giao thức TLS trên Trình xử lý thư, hãy đặt các thuộc tính trong
Tệp message-processor.properties:
- Mở tệp
message-processor.propertiestrong trình chỉnh sửa. Nếu tệp không tồn tại, hãy tạo tệp:vi /opt/apigee/customer/application/message-processor.properties
- Định cấu hình các thuộc tính bằng cú pháp sau:
# Possible values are a comma-delimited list of TLSv1, TLSv1.1, and TLSv1.2 conf/system.properties+https.protocols=[TLSv1][,TLSv1.1][,TLSv1.2] # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2 # SSLv3 is required conf_jvmsecurity_jdk.tls.disabledAlgorithms=SSLv3[,TLSv1][,TLSv1.1][,TLSv1.2] # Specify the ciphers that the Message Processor supports. (You must separate ciphers with a comma.): conf_message-processor-communication_local.http.ssl.ciphers=cipher[,...]
Giá trị có thể cho
conf_message-processor-communication_local.http.ssl.cipherslà:TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384TLS_RSA_WITH_AES_256_GCM_SHA384TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384TLS_DHE_RSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
Ví dụ:
conf/system.properties+https.protocols=TLSv1.2 conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1 conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
Để xem danh sách đầy đủ các thuộc tính có liên quan, hãy xem phần Định cấu hình TLS giữa Trình định tuyến và Bộ xử lý thông báo.
- Lưu các thay đổi.
- Đảm bảo rằng tệp thuộc tính thuộc sở hữu của "apigee" người dùng:
chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
- Khởi động lại Trình xử lý thông báo:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- Nếu bạn đang sử dụng TLS hai chiều với phần phụ trợ, hãy thiết lập giao thức TLS trong máy chủ ảo thành được mô tả trong Định cấu hình TLS từ Edge đến phần phụ trợ (Đám mây và Đám mây riêng tư).