TLS 1.3 für Traffic nach Süden konfigurieren

Auf dieser Seite wird erläutert, wie Sie TLS 1.3 in Apigee Message Processors für Traffic in Richtung Süden konfigurieren. (Traffic zwischen dem Message Processor und dem Back-End-Server).

Weitere Informationen zur TLS 1.3-Funktion in Java finden Sie unter Versionshinweise für das JDK 8u261-Update

Die Vorgehensweise zum Aktivieren von TLS 1.3 hängt von der verwendeten Java-Version ab. Weitere Informationen finden Sie unter <ph type="x-smartling-placeholder"></ph> Überprüfen Sie unten die Java-Version in einem Message Processor, um die installierte Java-Version zu ermitteln. im Message Processor.

TLS v1.3 und Java-Versionen

Die Funktion TLS 1.3 wurde in den folgenden Java-Versionen eingeführt:

  • Oracle JDK 8u261
  • OpenJDK 8u272

In den folgenden Java-Versionen ist die TLS-Funktion v1.3 vorhanden, aber nicht standardmäßig aktiviert. Kundenrollen:

  • Oracle JDK 8u261 oder höher, aber kleiner als Oracle JDK 8u341
  • OpenJDK 8u272 oder höher, aber kleiner als OpenJDK 8u352

Wenn Sie eine dieser Versionen verwenden, müssen Sie TLS v1.3 wie beschrieben aktivieren. im Abschnitt TLS v1.3 aktivieren, wenn es nicht standardmäßig aktiviert ist

Wenn Sie eine der folgenden Versionen verwenden, sollte TLS v1.3 bereits standardmäßig aktiviert sein in Client-Rollen (Message Processor agiert als Client für TLS-Verbindungen in Richtung Süden), sodass keine Maßnahmen erforderlich sind:

  • Oracle JDK 8u341 oder höher
  • OpenJDK 8u352 oder höher

Damit TLS v1.3 funktioniert, müssen alle folgenden Bedingungen erfüllt sein:

  • Der zugrunde liegende Java-Code auf Message Processor muss TLS v1.3 unterstützen.
  • TLS v1.3 muss in Java auf Message Processor aktiviert sein.
  • TLS v1.3 muss in der Message Processor-Anwendung aktiviert sein.

So aktivieren Sie TLS v1.3 in Java, wenn es nicht standardmäßig aktiviert ist.

In diesem Abschnitt wird erläutert, wie Sie TLS 1.3 aktivieren, wenn Sie eine der folgenden Optionen verwenden: Versionen von Java:

  • Oracle JDK 8u261 oder höher, aber kleiner als Oracle JDK 8u341
  • OpenJDK 8u272 oder höher, aber kleiner als OpenJDK 8u352

Legen Sie im Message Processor das Java-Attribut jdk.tls.client.protocols fest. Werte sind durch Kommas getrennt und können Folgendes enthalten: TLSv1, TLSv1.1, TLSv1.2, TLSv1.3 und SSLv3

Wenn Sie z. B. -Djdk.tls.client.protocols=TLSv1.2,TLSv1.3 festlegen, wird Client Protokolle TLSv1.2 und TLSv1.3.

Weitere Informationen finden Sie unter Andere ändern JVM-Attribute für Hier erfahren Sie, wie Sie JVM-Eigenschaften in einer Edge-Komponente festlegen.

So aktivieren Sie die TLS-Protokolle v1, v1.1, v1.2 und v1.3:

  1. Legen Sie die folgende Konfiguration fest in die Message Processor-Konfigurationsdatei (/opt/apigee/customer/application/message-processor.properties): 
       bin_setenv_ext_jvm_opts=-Djdk.tls.client.protocols=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3
  2. Starten Sie den Message Processor neu.
&gt;

So deaktivieren Sie TLS v1.3, wenn es standardmäßig aktiviert ist

Wenn Sie Oracle JDK 8u341 oder höher bzw. OpenJDK 8u352 oder höher verwenden, wird TLSv1.3 durch Standardeinstellung für Kunden. Wenn Sie TLS v1.3 in solchen Fällen deaktivieren möchten, haben Sie zwei Möglichkeiten:

  • Konfigurieren Sie die SSLInfo (SSLInfo) Ihres Zielservers und stellen Sie sicher, dass TLSv1.3 nicht im Protokollliste. Weitere Informationen finden Sie unter <ph type="x-smartling-placeholder"></ph> Konfigurationselemente des TLS/SSL-Zielendpunkts. Hinweis:Wenn in der Zielserverkonfiguration keine Protokolle angegeben sind, von Java unterstützte Protokolle werden als Optionen im Client-Handshake gesendet.
  • Deaktivieren Sie TLS v1.3 im Nachrichtenverarbeitungsprozess, indem Sie das Protokoll vollständig deaktivieren. Weitere Informationen finden Sie unter <ph type="x-smartling-placeholder"></ph> Legen Sie das TLS-Protokoll für den Message Processor fest.

Java-Version in einem Message Processor prüfen

Melden Sie sich beim Message Processor an, um die in einem Message Processor installierte Java-Version zu prüfen und führen Sie den folgenden Befehl aus: 

java -version

Die folgende Beispielausgabe zeigt, dass OpenJDK 8u312 installiert ist.

$ java -version
openjdk version "1.8.0_312"
OpenJDK Runtime Environment (build 1.8.0_312-b07)
OpenJDK 64-Bit Server VM (build 25.312-b07, mixed mode)

Unterstützte Chiffren

Derzeit unterstützt Java 8 zwei TLS v1.3-Chiffren:

  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256

Mit openssl können Sie prüfen, ob Ihr Zielserver TLS 1.3 unterstützt und mindestens eine der Chiffren, die unten verwendet werden. In diesem Beispiel wird das Dienstprogramm openssl11 verwendet, TLS v1.3 aktiviert.

$ openssl11 s_client -ciphersuites "TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256" -connect target_host:target_port -tls1_3