Trang này giải thích cách định cấu hình TLS 1.3 trong Bộ định tuyến Apigee cho lưu lượng truy cập hướng bắc (lưu lượng truy cập giữa một ứng dụng và Bộ định tuyến).
Xem phần Máy chủ ảo để biết thêm thông tin về máy chủ ảo.
Bật TLS 1.3 cho tất cả máy chủ ảo dựa trên TLS trong Bộ định tuyến
Sử dụng quy trình sau để bật TLS 1.3 cho tất cả các máy chủ ảo dựa trên TLS trong Bộ định tuyến:
- Trên Bộ định tuyến, hãy mở tệp thuộc tính sau trong trình chỉnh sửa.
/opt/apigee/customer/application/router.properties
Nếu tệp không tồn tại, hãy tạo tệp đó.
- Thêm dòng sau vào tệp thuộc tính:
conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1 TLSv1.1 TLSv1.2 TLSv1.3
Thêm tất cả giao thức TLS mà bạn muốn hỗ trợ. Xin lưu ý rằng các giao thức được phân tách bằng dấu cách và phân biệt chữ hoa chữ thường.
- Lưu tệp.
- Đảm bảo tệp thuộc sở hữu của người dùng api:
chown apigee:apigee /opt/apigee/customer/application/router.properties
- Khởi động lại Bộ định tuyến:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- Lặp lại từng bước ở trên cho tất cả các nút Bộ định tuyến.
Chỉ bật TLS 1.3 cho các máy chủ ảo cụ thể
Phần này giải thích cách bật TLS 1.3 cho các máy chủ ảo cụ thể. Để bật TLS 1.3, hãy thực hiện các bước sau trên các nút Máy chủ quản lý:
- Trên mỗi nút Máy chủ quản lý, hãy chỉnh sửa tệp
/opt/apigee/customer/application/management-server.properties
rồi thêm dòng sau. (Tạo tệp nếu tệp không tồn tại).conf_virtualhost_virtual.host.allowed.protocol.list=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3
Đối với tệp này, các giao thức được phân tách bằng dấu phẩy (và phân biệt chữ hoa chữ thường).
- Lưu tệp.
- Đảm bảo tệp thuộc sở hữu của người dùng api:
chown apigee:apigee /opt/apigee/customer/application/management-server.properties
- Khởi động lại máy chủ quản lý:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- Lặp lại từng bước ở trên cho tất cả các nút Máy chủ quản lý.
- Tạo (hoặc cập nhật một máy chủ ảo hiện có) bằng thuộc tính sau. Lưu ý rằng
các giao thức được phân tách bằng dấu cách và phân biệt chữ hoa chữ thường.
"properties": { "property": [ { "name": "ssl_protocols", "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3" } ] }
Dưới đây là một vhost mẫu có thuộc tính này:
{ "hostAliases": [ "api.myCompany,com", ], "interfaces": [], "listenOptions": [], "name": "secure", "port": "443", "retryOptions": [], "properties": { "property": [ { "name": "ssl_protocols", "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3" } ] }, "sSLInfo": { "ciphers": [], "clientAuthEnabled": "false", "enabled": "true", "ignoreValidationErrors": false, "keyAlias": "myCompanyKeyAlias", "keyStore": "ref://myCompanyKeystoreref", "protocols": [] }, "useBuiltInFreeTrialCert": false }
Kiểm thử TLS 1.3
Để kiểm tra TLS 1.3, hãy nhập lệnh sau:
curl -v --tlsv1.3 "https://api.myCompany,com/testproxy"
Xin lưu ý rằng bạn chỉ có thể kiểm thử TLS 1.3 trên các ứng dụng hỗ trợ giao thức này. Nếu TLS 1.3 không phải là bật, bạn sẽ thấy thông báo lỗi như sau:
sslv3 alert handshake failure