デフォルトでは、Router と Message Processor 間の TLS は無効になっています。
Router と Message Processor 間の TLS 暗号化を有効にするには:
- Message Processor のポート 8082 に Router がアクセスできることを確認します。
- TLS 証明書と秘密鍵を含むキーストア JKS ファイルを生成します。詳細については、オンプレミスの Edge での TLS/SSL の構成をご覧ください。
- キーストア JKS ファイルを Message Processor サーバーのディレクトリ(
/opt/apigee/customer/application
など)にコピーします。 - JKS ファイルの権限と所有権を変更します。
chown apigee:apigee /opt/apigee/customer/application/keystore.jks
chmod 600 /opt/apigee/customer/application/keystore.jks
ここで、
keystore.jks
はキーストア ファイルの名前です。 /opt/apigee/customer/application/message-processor.properties
ファイルを編集します。ファイルが存在しない場合は作成します。message-processor.properties
ファイルで次のプロパティを設定します。conf_message-processor-communication_local.http.ssl=true conf/message-processor-communication.properties+local.http.port=8443 conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keystore.jks conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest # Enter the obfuscated keystore password below. conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword
ここで、
keystore.jks
はキーストア ファイル、obsPword は難読化されたキーストアとキーエイリアスのパスワードです。注:
conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
の値は、-alias
コマンドでkeytool
コマンドに指定された値と同じにする必要があります。詳しくは、JKS ファイルの作成をご覧ください。難読化されたパスワードの生成については、オンプレミスの Edge での TLS/SSL の構成をご覧ください。
message-processor.properties
ファイルの所有者を「apigee」ユーザーにします。chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
- Message Processor と Router を停止します。
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
/opt/apigee/apigee-service/bin/apigee-service edge-router stop
- Router で、
/opt/nginx/conf.d
ディレクトリ内のすべてのファイルを削除します。rm -f /opt/nginx/conf.d/*
- Message Processor と Router を起動します。
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
/opt/apigee/apigee-service/bin/apigee-service edge-router start
- Message Processor ごとにこの手順を繰り返します。
Router と Message Processor 間の TLS が有効になると、Message Processor のログファイルに次の INFO
メッセージが含まれます。
MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks
この INFO
ステートメントは、Router と Message Processor の間で TLS が機能していることを確認します。
次の表に、message-processor.properties
で使用可能なすべてのプロパティを示します。
プロパティ | 説明 |
---|---|
conf_message-processor-communication_local. http.host=localhost_or_IP_address |
(省略可)ルーター接続をリッスンするホスト名。これは、登録時に構成されたホスト名をオーバーライドします。 |
conf/message-processor-communication. properties+local.http.port=8998 |
(省略可)ルーター接続をリッスンするポート。デフォルトは 8998 です。 |
conf_message-processor-communication_local. http.ssl=[ false | true ] |
TLS/SSL を有効にするには、true に設定します。デフォルトは false です。TLS/SSL を有効にする場合は、local.http.ssl.keystore.path と local.http.ssl.keyalias を設定する必要があります。 |
conf/message-processor-communication. properties+local.http.ssl.keystore.path= |
キーストア(JKS または PKCS12)へのローカル ファイル システムのパス。local.http.ssl=true の場合は必須です。 |
conf/message-processor-communication. properties+local.http.ssl.keyalias= |
TLS/SSL 接続に使用されるキーストアの鍵エイリアス。local.http.ssl=true の場合は必須です。 |
conf/message-processor-communication. properties+local.http.ssl.keyalias.password= |
キーストア内の鍵の暗号化に使用するパスワード。次の形式の難読化されたパスワードを使用します。
OBF:obsPword |
conf/message-processor-communication. properties+local.http.ssl.keystore.type=jks |
キーストアのタイプ。現在サポートされているのは、JKS と PKCS12 のみです。デフォルトは JKS です。 |
conf/message-processor-communication. properties+local.http.ssl.keystore.password= |
(省略可)キーストアの難読化パスワード。次の形式の難読化されたパスワードを使用します。
OBF:obsPword |
conf_message-processor-communication_local. http.ssl.ciphers=cipher1,cipher2 |
(省略可)構成すると、リストにある暗号のみが許可されます。省略した場合は、JDK でサポートされているすべての暗号を使用します。 |