Configura el protocolo TLS para el router y el procesador de mensajes

De forma predeterminada, el router y el procesador de mensajes admiten los protocolos TLS 1.0, 1.1, 1.2. Según el sistema operativo y la versión de Java, es posible que el router y el procesador de mensajes también admite el protocolo TLS 1.3. Sin embargo, tal vez quieras limitar los protocolos de seguridad en función de tus necesidades y prácticas de seguridad. Este documento describe cómo configurar el protocolo de manera global en el router y el procesador de mensajes.

Para el router, también puedes configurar el protocolo para hosts virtuales individuales. Consulta Configura el acceso TLS a una API para la nube privada y obtén más información.

Para el Message Processor, puedes configurar el protocolo para un TargetEndpoint individual. Consulta Configura TLS desde el perímetro hasta el backend (en la nube y en la nube privada).

Configura el protocolo TLS en el router

Para configurar el protocolo TLS en el router, configura las propiedades en router.properties archivo:

  1. Abre el archivo router.properties en un editor. Si el archivo no existe, créalo:
    vi /opt/apigee/customer/application/router.properties
  2. Configura las propiedades como desees:
    # Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2
    conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
  3. Guarda los cambios.
  4. Asegúrate de que el archivo de propiedades sea propiedad de “apigee” usuario:
     chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. Reinicia el router:
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
  6. Examina el archivo Nginx para verificar que el protocolo esté actualizado correctamente. /opt/nginx/conf.d/0-default.conf:
    cat /opt/nginx/conf.d/0-default.conf

    Asegúrate de que el valor de ssl_protocols sea TLSv1.2.

  7. Si usas TLS bidireccional con un host virtual, también debes configurar el protocolo TLS en la host virtual, como se describe en Configurar el acceso TLS a un API para la nube privada.

Configurar el protocolo TLS en la pestaña Mensaje Procesador

Para configurar el protocolo TLS en Message Processor, establece propiedades en la Archivo message-processor.properties:

  1. Abre el archivo message-processor.properties en una Editor. Si el archivo no existe, créalo:
    vi /opt/apigee/customer/application/message-processor.properties
  2. Configura las propiedades con la siguiente sintaxis:
    # Possible values are a comma-delimited list of TLSv1, TLSv1.1, and TLSv1.2
    conf/system.properties+https.protocols=[TLSv1][,TLSv1.1][,TLSv1.2]
    # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2
    # SSLv3 is required
    conf_jvmsecurity_jdk.tls.disabledAlgorithms=SSLv3[,TLSv1][,TLSv1.1][,TLSv1.2]
    
    # Specify the ciphers that the Message Processor supports. (You must separate ciphers with a comma.):
    conf_message-processor-communication_local.http.ssl.ciphers=cipher[,...]

    Valores posibles para Las conf_message-processor-communication_local.http.ssl.ciphers son:

    • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
    • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Por ejemplo:

    conf/system.properties+https.protocols=TLSv1.2
    conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1
    conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Para obtener una lista completa de las propiedades relacionadas, consulta Configurar TLS entre un y un procesador de mensajes.

  3. Guarda los cambios.
  4. Asegúrate de que el archivo de propiedades sea propiedad de “apigee” usuario:
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  5. Reinicia el procesador de mensajes:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
  6. Si usas TLS bidireccional con el backend, establece el protocolo TLS en el host virtual como que se describe en Cómo configurar TLS desde el perímetro hasta el backend (nube y nube privada).