為北美洲流量設定傳輸層安全標準 (TLS) 1.3

本頁面說明如何在 Apigee 路由器中為北向流量 (介於 用戶端和路由器

詳情請參閱「虛擬主機」一文 虛擬主機

為路由器中的所有 TLS 型虛擬主機啟用 TLS 1.3

請按照下列步驟,為路由器中所有以 TLS 為基礎的虛擬主機啟用 TLS 1.3:

  1. 在路由器上,在編輯器中開啟下列屬性檔案。
    /opt/apigee/customer/application/router.properties

    如果檔案不存在,請建立該檔案。

  2. 在屬性檔案中加入以下這行程式碼:
    conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1 TLSv1.1 TLSv1.2 TLSv1.3

    新增您要支援的所有 TLS 通訊協定。請注意,通訊協定會以空格分隔 和區分大小寫

  3. 儲存檔案。
  4. 確認檔案擁有者是 Apigee 使用者:
    chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. 重新啟動路由器:
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
  6. 逐一對所有路由器節點重複執行上述步驟。

僅為特定虛擬主機啟用 TLS 1.3

本節說明如何為特定虛擬主機啟用 TLS 1.3。 如要啟用 TLS 1.3,請在管理伺服器節點上執行下列步驟:

  1. 在每個管理伺服器節點上編輯 /opt/apigee/customer/application/management-server.properties,然後新增下列程式碼。 (如果檔案不存在,請自行建立)。
    conf_virtualhost_virtual.host.allowed.protocol.list=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3

    這個檔案的通訊協定是以半形逗號分隔 (有大小寫之分)。

  2. 儲存檔案。
  3. 確認檔案擁有者是 Apigee 使用者:
    chown apigee:apigee /opt/apigee/customer/application/management-server.properties
  4. 重新啟動管理伺服器:
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
  5. 對所有管理伺服器節點逐一重複執行上述步驟。
  6. 使用下列屬性建立 (或更新現有) 虛擬主機。請注意, 通訊協定以空格分隔並區分大小寫。
    "properties": {
        "property": [
          {
            "name": "ssl_protocols",
            "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
          }
        ]
    }

    以下是包含此屬性的 vhost 範例:

    {
      "hostAliases": [
        "api.myCompany,com",
      ],
      "interfaces": [],
      "listenOptions": [],
      "name": "secure",
      "port": "443",
      "retryOptions": [],
      "properties": {
        "property": [
          {
            "name": "ssl_protocols",
            "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
          }
        ]
      },
      "sSLInfo": {
        "ciphers": [],
        "clientAuthEnabled": "false",
        "enabled": "true",
        "ignoreValidationErrors": false,
        "keyAlias": "myCompanyKeyAlias",
        "keyStore": "ref://myCompanyKeystoreref",
        "protocols": []
      },
      "useBuiltInFreeTrialCert": false
    }

    測試 TLS 1.3

    如要測試 TLS 1.3,請輸入下列指令:

    curl -v --tlsv1.3 "https://api.myCompany,com/testproxy"

    請注意,傳輸層安全標準 (TLS) 1.3 只能在支援此通訊協定的用戶端上進行測試。如果 TLS 1.3 未 啟用後,您會看到如下的錯誤訊息:

    sslv3 alert handshake failure