Par défaut, le protocole TLS entre le routeur et le processeur de messages est désactivé.
Pour activer le chiffrement TLS entre un routeur et un processeur de messages:
- Assurez-vous que le routeur peut accéder au port 8082 du processeur de messages.
- Générez le fichier JKS contenant votre certification TLS et votre clé privée. Pour en savoir plus, consultez la section Configurer TLS/SSL pour les périphériques sur site.
- Copiez le fichier JKS du keystore dans un répertoire du serveur de traitement des messages, par exemple
/opt/apigee/customer/application
. - Modifier les autorisations et la propriété du fichier JKS :
chown apigee:apigee /opt/apigee/customer/application/keystore.jks
chmod 600 /opt/apigee/customer/application/keystore.jks
Où
keystore.jks
est le nom de votre fichier keystore. - Modifiez le fichier
/opt/apigee/customer/application/message-processor.properties
. Si le fichier n'existe pas, créez-le. - Définissez les propriétés suivantes dans le fichier
message-processor.properties
:conf_message-processor-communication_local.http.ssl=true conf/message-processor-communication.properties+local.http.port=8443 conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keystore.jks conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest # Enter the obfuscated keystore password below. conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword
Où
keystore.jks
est votre fichier keystore et obsPword est votre keystore et votre mot de passe alias obscurcis.Remarque:La valeur de
conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
doit être identique à la valeur fournie par l'option-alias
pour la commandekeytool
, décrite à la fin de la section Créer un fichier JKS.Pour en savoir plus sur la génération d'un mot de passe obscurci, consultez la page Configurer TLS/SSL pour les périphériques sur site.
- Assurez-vous que le fichier
message-processor.properties
appartient à l'utilisateur "apigee" :chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
- Arrêtez les processeurs et les routeurs de message :
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
/opt/apigee/apigee-service/bin/apigee-service edge-router stop
- Sur le routeur, supprimez tous les fichiers du répertoire
/opt/nginx/conf.d
:rm -f /opt/nginx/conf.d/*
- Démarrez les processeurs et les routeurs de message :
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
/opt/apigee/apigee-service/bin/apigee-service edge-router start
- Répétez cette procédure pour chaque processeur de messages.
Une fois TLS activé entre le routeur et le processeur de messages, le fichier journal du processeur de messages contient le message INFO
suivant:
MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks
Cette instruction INFO
confirme que TLS fonctionne entre le routeur et le processeur de messages.
Le tableau suivant répertorie toutes les propriétés disponibles dans message-processor.properties
:
Propriétés | Description |
---|---|
conf_message-processor-communication_local. http.host=localhost_or_IP_address |
Facultatif. Nom d'hôte sur lequel écouter les connexions de routeur. Ce paramètre remplace le nom d'hôte configuré lors de l'enregistrement. |
conf/message-processor-communication. properties+local.http.port=8998 |
Facultatif. Port d'écoute des connexions du routeur. La valeur par défaut est 8998. |
conf_message-processor-communication_local. http.ssl=[ false | true ] |
Définissez-le sur true pour activer TLS/SSL. La valeur par défaut est false . Lorsque TLS/SSL est activé, vous devez définir local.http.ssl.keystore.path et local.http.ssl.keyalias .
|
conf/message-processor-communication. properties+local.http.ssl.keystore.path= |
Chemin d'accès local au système de fichiers (JKS ou PKCS12) Obligatoire lorsque local.http.ssl=true . |
conf/message-processor-communication. properties+local.http.ssl.keyalias= |
Alias de clé du keystore à utiliser pour les connexions TLS/SSL. Obligatoire lorsque local.http.ssl=true . |
conf/message-processor-communication. properties+local.http.ssl.keyalias.password= |
Mot de passe utilisé pour chiffrer la clé dans le keystore. Utilisez un mot de passe obscurci au format suivant : OBF:obsPword. |
conf/message-processor-communication. properties+local.http.ssl.keystore.type=jks |
Type de keystore. Seuls JKS et PKCS12 sont actuellement compatibles. La valeur par défaut est JKS. |
conf/message-processor-communication. properties+local.http.ssl.keystore.password= |
Facultatif. Mot de passe obscur pour le keystore. Utilisez un mot de passe obscurci au format suivant : OBF:obsPword. |
conf_message-processor-communication_local. http.ssl.ciphers=cipher1,cipher2 |
Facultatif. Une fois configurés, seuls les algorithmes de chiffrement répertoriés sont autorisés. En cas d'omission, utilisez tous les algorithmes de chiffrement compatibles avec le JDK. |