Per impostazione predefinita, il protocollo TLS tra il router e il processore di messaggi è disattivato.
Per attivare la crittografia TLS tra un router e un processore di messaggi:
- Accertati che la porta 8082 sul processore di messaggi sia accessibile dal router.
- Genera il file JKS dell'archivio chiavi contenente la certificazione TLS e la chiave privata. Per ulteriori informazioni, consulta Configurazione di TLS/SSL per Edge On Locali.
- Copia il file JKS dell'archivio chiavi in una directory sul server del processore di messaggi, ad esempio
come
/opt/apigee/customer/application
. - Modifica le autorizzazioni e la proprietà del file JKS:
chown apigee:apigee /opt/apigee/customer/application/keystore.jks
chmod 600 /opt/apigee/customer/application/keystore.jks
Dove
keystore.jks
è il nome del file dell'archivio chiavi. - Modifica il file
/opt/apigee/customer/application/message-processor.properties
. Se il file non esiste, crealo. - Imposta le seguenti proprietà nel file
message-processor.properties
:conf_message-processor-communication_local.http.ssl=true conf/message-processor-communication.properties+local.http.port=8443 conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keystore.jks conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest # Enter the obfuscated keystore password below. conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword
Dove
keystore.jks
è il file dell'archivio chiavi e obsPword è il tuo archivio chiavi e password keyalias offuscati.Nota: Il valore di
deve essere uguale al valore fornito dall'opzioneconf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
-alias
allakeytool
, descritto alla fine della sezione Creazione di un file JKS.Consulta Configurazione di TLS/SSL per Edge on-premise per le informazioni sulla generazione di una password offuscata.
- Assicurati che il file
message-processor.properties
appartenga all'app 'apigee' utente:chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
- Arresta i processori e router di messaggi:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
/opt/apigee/apigee-service/bin/apigee-service edge-router stop
- Sul router, elimina tutti i file nella directory
/opt/nginx/conf.d
:rm -f /opt/nginx/conf.d/*
- Avvia i processori e i router di messaggi:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
/opt/apigee/apigee-service/bin/apigee-service edge-router start
- Ripeti questa procedura per ogni processore di messaggi.
Dopo aver abilitato TLS tra il router e il processore di messaggi, il file di log del processore di messaggi
contiene questo messaggio INFO
:
MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks
Questa istruzione INFO
conferma che il protocollo TLS funziona tra il router e il messaggio
Processore.
La tabella seguente elenca tutte le proprietà disponibili in
message-processor.properties
:
Proprietà | Descrizione |
---|---|
conf_message-processor-communication_local. http.host=localhost_or_IP_address |
(Facoltativo) Nome host per l'ascolto delle connessioni del router. Questo sostituisce l'host nome configurato al momento della registrazione. |
conf/message-processor-communication. properties+local.http.port=8998 |
(Facoltativo) Porta per ascoltare le connessioni del router. Il valore predefinito è 8998. |
conf_message-processor-communication_local. http.ssl=[ false | true ] |
Imposta l'opzione su true per attivare TLS/SSL. Il valore predefinito è false . Quando
TLS/SSL è attivato, devi impostare local.http.ssl.keystore.path e
local.http.ssl.keyalias .
|
conf/message-processor-communication. properties+local.http.ssl.keystore.path= |
Percorso del file system locale dell'archivio chiavi (JKS o PKCS12). Obbligatorio quando
local.http.ssl=true . |
conf/message-processor-communication. properties+local.http.ssl.keyalias= |
Alias chiave dell'archivio chiavi da utilizzare per le connessioni TLS/SSL. Obbligatorio quando
local.http.ssl=true . |
conf/message-processor-communication. properties+local.http.ssl.keyalias.password= |
Password utilizzata per criptare la chiave all'interno dell'archivio chiavi. Utilizza una password offuscata
nel seguente formato:
OBF:obsPword |
conf/message-processor-communication. properties+local.http.ssl.keystore.type=jks |
Tipo di archivio chiavi. Al momento sono supportati solo JKS e PKCS12. Il valore predefinito è JKS. |
conf/message-processor-communication. properties+local.http.ssl.keystore.password= |
(Facoltativo) password offuscata per l'archivio chiavi. Utilizza una password offuscata nel
seguente formato:
OBF:obsPword |
conf_message-processor-communication_local. http.ssl.ciphers=cipher1,cipher2 |
(Facoltativo) Quando sono configurate, sono consentite solo le crittografie elencate. Se omesso, utilizza tutti crittografie supportate dal JDK. |