Konfigurowanie protokołu TLS 1.3 dla ruchu z północy

Na tej stronie objaśniamy, jak skonfigurować protokół TLS 1.3 w routerach Apigee na potrzeby ruchu w kierunku północnym (ruch między klienta i routera).

Więcej informacji znajdziesz w artykule Hosty wirtualne. o hostach wirtualnych.

Włącz TLS 1.3 dla wszystkich hostów wirtualnych opartych na TLS w routerze

Aby włączyć TLS 1.3 dla wszystkich hostów wirtualnych opartych na TLS w routerze, wykonaj czynności opisane poniżej:

  1. W routerze otwórz w edytorze poniższy plik właściwości. 
    /opt/apigee/customer/application/router.properties

    Jeśli plik nie istnieje, utwórz go.

  2. Dodaj do pliku właściwości ten wiersz: 
    conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1 TLSv1.1 TLSv1.2 TLSv1.3

    Dodaj wszystkie protokoły TLS, które chcesz obsługiwać. Protokoły są rozdzielone spacjami i rozróżniania wielkości liter.

  3. Zapisz plik.
  4. Sprawdź, czy plik należy do użytkownika Apigee: 
    chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. Ponownie uruchom router: 
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
  6. Powtórz powyższe kroki po kolei we wszystkich węzłach routera.

Włączanie TLS 1.3 tylko dla określonych hostów wirtualnych

W tej sekcji dowiesz się, jak włączyć TLS 1.3 dla określonych hostów wirtualnych. Aby włączyć TLS 1.3, wykonaj te czynności w węzłach serwera zarządzania:

  1. W każdym węźle serwera zarządzania edytuj plik. /opt/apigee/customer/application/management-server.properties i dodaj ten wiersz. Jeśli plik nie istnieje, utwórz go. 
    conf_virtualhost_virtual.host.allowed.protocol.list=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3

    Protokoły w tym pliku są rozdzielone przecinkami (wielkość liter ma znaczenie).

  2. Zapisz plik.
  3. Sprawdź, czy plik należy do użytkownika Apigee: 
    chown apigee:apigee /opt/apigee/customer/application/management-server.properties
  4. Ponownie uruchom serwer zarządzania: 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
  5. Powtórz powyższe kroki po kolei we wszystkich węzłach serwera zarządzania.
  6. Utwórz (lub zaktualizuj) istniejącego hosta wirtualnego z tą usługą. Pamiętaj, że parametr protokoły są rozdzielone spacjami, a wielkość liter ma znaczenie. 
    "properties": {
    "property": [
      {
        "name": "ssl_protocols",
        "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
      }
    ]
}

    Poniżej znajduje się przykładowy vhost z tą właściwością:

    {
  "hostAliases": [
    "api.myCompany,com",
  ],
  "interfaces": [],
  "listenOptions": [],
  "name": "secure",
  "port": "443",
  "retryOptions": [],
  "properties": {
    "property": [
      {
        "name": "ssl_protocols",
        "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
      }
    ]
  },
  "sSLInfo": {
    "ciphers": [],
    "clientAuthEnabled": "false",
    "enabled": "true",
    "ignoreValidationErrors": false,
    "keyAlias": "myCompanyKeyAlias",
    "keyStore": "ref://myCompanyKeystoreref",
    "protocols": []
  },
  "useBuiltInFreeTrialCert": false
}

    Testowanie TLS 1.3

    Aby przetestować TLS 1.3, wpisz następujące polecenie:

    curl -v --tlsv1.3 "https://api.myCompany,com/testproxy"

    Pamiętaj, że protokół TLS 1.3 można testować tylko w klientach, które go obsługują. Jeśli protokół TLS 1.3 nie jest zostanie wyświetlony komunikat o błędzie podobny do tego: 

    sslv3 alert handshake failure