إعداد بروتوكول بروتوكول أمان طبقة النقل (TLS) لجهاز التوجيه ومعالج الرسائل

بشكل افتراضي، يدعم جهاز التوجيه ومعالج الرسائل بروتوكولات TLS 1.0 و1.1 و1.2. استنادًا إلى نظام التشغيل وإصدار Java، قد يكون جهاز التوجيه ومعالج الرسائل تدعم الإصدار 1.3 من بروتوكول أمان طبقة النقل (TLS) أيضًا. ومع ذلك، قد ترغب في الحد من بعض وفقًا لاحتياجاتك وممارساتك الأمنية. هذا المستند كيفية ضبط البروتوكول بشكل عام على جهاز التوجيه ومعالج الرسائل.

بالنسبة إلى جهاز التوجيه، يمكنك أيضًا تعيين البروتوكول للمضيفات الافتراضية الفردية. اطلع على تهيئة الدخول إلى بروتوكول أمان طبقة النقل (TLS) إلى واجهة برمجة تطبيقات للسحابة الإلكترونية الخاصة لمعرفة المزيد

بالنسبة إلى معالج الرسائل، يمكنك ضبط البروتوكول لنقطة نهاية هدف فردية. راجع تهيئة TLS من Edge إلى الخلفية (Cloud and Private Cloud) لمزيد من المعلومات.

ضبط بروتوكول أمان طبقة النقل (TLS) على جهاز التوجيه

لضبط بروتوكول أمان طبقة النقل (TLS) على جهاز التوجيه، عليك ضبط الخصائص في router.properties الملف:

  1. فتح ملف router.properties في كمحرر. إذا لم يكن الملف متوفّرًا، أنشئه: 
    vi /opt/apigee/customer/application/router.properties
  2. اضبط السمات على النحو المطلوب: 
    # Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2
conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
  3. احفظ التغييرات.
  4. تأكّد من أنّ ملف الخصائص يملكه "apigee". المستخدم: 
     chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. أعِد تشغيل جهاز التوجيه: 
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
  6. التحقق من تحديث البروتوكول بشكل صحيح من خلال فحص ملف Nginx /opt/nginx/conf.d/0-default.conf: 
    cat /opt/nginx/conf.d/0-default.conf

    تأكَّد من أنّ قيمة ssl_protocols هي TLSv1.2.

  7. إذا كنت تستخدم بروتوكول أمان طبقة النقل (TLS) ثنائي الاتجاه مع مضيف افتراضي، فيجب عليك أيضًا تعيين بروتوكول TLS في كما هو موضح في تهيئة الدخول إلى بروتوكول أمان طبقة النقل (TLS) إلى واجهة برمجة التطبيقات الخاصة بالسحابة الإلكترونية الخاصة

إعداد بروتوكول أمان طبقة النقل (TLS) في الرسالة معالِج البيانات

لضبط بروتوكول أمان طبقة النقل (TLS) على معالج الرسائل، عيِّن الخصائص في ملف message-processor.properties:

  1. افتح ملف message-processor.properties في المحرِّر. إذا لم يكن الملف متوفّرًا، أنشئه: 
    vi /opt/apigee/customer/application/message-processor.properties
  2. اضبط السمات باستخدام البنية التالية: 
    # Possible values are a comma-delimited list of TLSv1, TLSv1.1, and TLSv1.2
conf/system.properties+https.protocols=[TLSv1][,TLSv1.1][,TLSv1.2]
# Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2
# SSLv3 is required
conf_jvmsecurity_jdk.tls.disabledAlgorithms=SSLv3[,TLSv1][,TLSv1.1][,TLSv1.2]

# Specify the ciphers that the Message Processor supports. (You must separate ciphers with a comma.):
conf_message-processor-communication_local.http.ssl.ciphers=cipher[,...]

    القيم المحتملة لـ conf_message-processor-communication_local.http.ssl.ciphers هي:

    • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
    • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    على سبيل المثال:

    conf/system.properties+https.protocols=TLSv1.2
conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1
conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    للحصول على قائمة كاملة بالمواقع ذات الصلة، راجِع تهيئة بروتوكول أمان طبقة النقل (TLS) بين جهاز التوجيه ومعالج الرسائل.

  3. احفظ التغييرات.
  4. تأكّد من أنّ ملف الخصائص يملكه "apigee". المستخدم: 
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  5. إعادة تشغيل معالج الرسائل: 
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
  6. إذا كنت تستخدم بروتوكول أمان طبقة النقل (TLS) ثنائي الاتجاه مع الخلفية، اضبط بروتوكول أمان طبقة النقل (TLS) في المضيف الظاهري على كما هو موضح في تهيئة بروتوكول أمان طبقة النقل (TLS) من Edge إلى الخلفية (السحابة الإلكترونية والسحابة الإلكترونية الخاصة).