Questa pagina spiega come configurare TLS 1.3 nei router Apigee per il traffico diretto a nord (traffico tra un client e il router).
Per ulteriori informazioni, vedi Host virtuali sugli host virtuali.
Abilita TLS 1.3 per tutti gli host virtuali basati su TLS in un router
Utilizza la seguente procedura per abilitare TLS 1.3 per tutti gli host virtuali basati su TLS in un router:
- Sul router, apri il seguente file delle proprietà in un editor.
/opt/apigee/customer/application/router.properties
Se il file non esiste, crealo.
- Aggiungi la seguente riga al file delle proprietà:
conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1 TLSv1.1 TLSv1.2 TLSv1.3
Aggiungi tutti i protocolli TLS che vuoi supportare. Tieni presente che i protocolli sono separati da spazi e sensibile alle maiuscole.
- Salva il file.
- Assicurati che il file sia di proprietà dell'utente apigee:
chown apigee:apigee /opt/apigee/customer/application/router.properties
- Riavvia il router:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- Ripeti i passaggi precedenti su tutti i nodi del router uno alla volta.
Abilita TLS 1.3 solo per host virtuali specifici
Questa sezione spiega come abilitare TLS 1.3 per host virtuali specifici. Per abilitare TLS 1.3, segui questi passaggi sui nodi del server di gestione:
- Modifica il file su ogni nodo del server di gestione
/opt/apigee/customer/application/management-server.properties
e aggiungi la riga seguente. Se il file non esiste, crealo.conf_virtualhost_virtual.host.allowed.protocol.list=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3
Per questo file, i protocolli sono separati da virgole (e sensibili alle maiuscole).
- Salva il file.
- Assicurati che il file sia di proprietà dell'utente apigee:
chown apigee:apigee /opt/apigee/customer/application/management-server.properties
- Riavvia il server di gestione:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- Ripeti i passaggi precedenti su tutti i nodi del server di gestione uno alla volta.
- Crea (o aggiorna un host virtuale esistente) con la seguente proprietà. Tieni presente che
sono separati da spazi e fanno distinzione tra maiuscole e minuscole.
"properties": { "property": [ { "name": "ssl_protocols", "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3" } ] }
Di seguito è riportato un esempio di vhost con questa proprietà:
{ "hostAliases": [ "api.myCompany,com", ], "interfaces": [], "listenOptions": [], "name": "secure", "port": "443", "retryOptions": [], "properties": { "property": [ { "name": "ssl_protocols", "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3" } ] }, "sSLInfo": { "ciphers": [], "clientAuthEnabled": "false", "enabled": "true", "ignoreValidationErrors": false, "keyAlias": "myCompanyKeyAlias", "keyStore": "ref://myCompanyKeystoreref", "protocols": [] }, "useBuiltInFreeTrialCert": false }
Test di TLS 1.3
Per testare TLS 1.3, inserisci il seguente comando:
curl -v --tlsv1.3 "https://api.myCompany,com/testproxy"
Tieni presente che TLS 1.3 può essere testato solo su client che supportano questo protocollo. Se TLS 1.3 non viene è attiva, viene visualizzato un messaggio di errore simile al seguente:
sslv3 alert handshake failure