為路由器和訊息處理器設定傳輸層安全標準 (TLS) 通訊協定

根據預設,Router 和 Message Processor 支援 TLS 1.0、1.1 和 1.2 版。不過,您可能會想限制 Router 和 Message Processor 支援的通訊協定。這份文件 說明如何在路由器和訊息處理器上設定全域通訊協定。

也可以為路由器設定個別虛擬主機的通訊協定。請參閱設定 API 的 TLS 存取權 私有雲

對於訊息處理器,您可以為個別的 TargetEndpoint 設定通訊協定。 請參閱設定 TLS 從邊緣到後端 (Cloud 與私有雲) 執行更多作業

在路由器上設定 TLS 通訊協定

如要在路由器上設定 TLS 通訊協定,請在 router.properties 中設定屬性 檔案:

  1. 使用以下應用程式開啟 router.properties 檔案: 編輯。如果檔案不存在,請建立檔案: 
    vi /opt/apigee/customer/application/router.properties
  2. 視需要設定屬性: 
    # Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2
conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
  3. 儲存變更。
  4. 請確定屬性檔案的擁有者為「apigee」使用者: 
     chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. 重新啟動路由器: 
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
  6. 檢查 NGINX 檔案,確認通訊協定已正確更新 /opt/nginx/conf.d/0-default.conf: 
    cat /opt/nginx/conf.d/0-default.conf

    確認 ssl_protocols 的值為 TLSv1.2。

  7. 如果您要透過虛擬主機使用雙向傳輸層安全標準 (TLS),則必須一併在 如同設定對 VM 的 TLS 存取權 私有雲的 API

在訊息處理工具上設定 TLS 通訊協定

如要在郵件處理器設定 TLS 通訊協定,請在 message-processor.properties 檔案:

  1. 開啟 message-processor.properties 檔案, 編輯如果檔案不存在,請建立檔案: 
    vi /opt/apigee/customer/application/message-processor.properties
  2. 請使用下列語法設定屬性: 
    # Possible values are a comma-delimited list of TLSv1, TLSv1.1, and TLSv1.2
conf/system.properties+https.protocols=[TLSv1][,TLSv1.1][,TLSv1.2]
# Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2
# SSLv3 is required
conf_jvmsecurity_jdk.tls.disabledAlgorithms=SSLv3[,TLSv1][,TLSv1.1][,TLSv1.2]

# Specify the ciphers that the Message Processor supports. (You must separate ciphers with a comma.):
conf_message-processor-communication_local.http.ssl.ciphers=cipher[,...]

    可能的值包括 conf_message-processor-communication_local.http.ssl.ciphers 為:

    • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
    • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    例如:

    conf/system.properties+https.protocols=TLSv1.2
conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1
conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    如需完整的相關屬性清單,請參閱「在路由器和訊息處理器之間設定 TLS」。

  3. 儲存變更。
  4. 確認屬性檔案的擁有者為「apigee」使用者: 
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  5. 重新啟動訊息處理器: 
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
  6. 如果您使用雙向傳輸層安全標準 (TLS) 搭配後端,請將虛擬主機中的 TLS 通訊協定設為 中所述的設定 TLS 從邊緣到後端 (Cloud 與私有雲)