Impostazione del protocollo TLS per router e processore di messaggi

Per impostazione predefinita, il router e il processore di messaggi supportano i protocolli TLS 1.0, 1.1, 1.2. A seconda del sistema operativo e della versione di Java, il router e il processore di messaggi potrebbero supporta anche il protocollo TLS 1.3. Tuttavia, ti consigliamo di limitare alcuni dei fattori protocolli in base alle tue esigenze e alle tue pratiche di sicurezza. Questo documento descrive come impostare il protocollo a livello globale sul router e sul processore di messaggi.

Per il router, puoi anche impostare il protocollo per singoli host virtuali. Vedi Configurare l'accesso TLS a un'API per il Private Cloud.

Per il processore di messaggi, è possibile impostare il protocollo per un singolo TargetEndpoint. Consulta Configurazione di TLS da Edge al backend (cloud e cloud privato) per saperne di più.

Imposta il protocollo TLS sul router

Per impostare il protocollo TLS sul router, imposta le proprietà nel router.properties file:

  1. Apri il file router.properties in un editor. Se il file non esiste, crealo:
    vi /opt/apigee/customer/application/router.properties
  2. Imposta le proprietà come preferisci:
    # Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2
    conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
  3. Salva le modifiche.
  4. Assicurati che il file delle proprietà appartenga all'elemento "apigee" utente:
     chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. Riavvia il router:
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
  6. Verifica che il protocollo sia aggiornato correttamente esaminando il file Nginx /opt/nginx/conf.d/0-default.conf:
    cat /opt/nginx/conf.d/0-default.conf

    Assicurati che il valore per ssl_protocols sia TLSv1.2.

  7. Se utilizzi il protocollo TLS bidirezionale con un host virtuale, devi impostare anche il protocollo TLS nella un host virtuale come descritto in Configurare l'accesso TLS a un server per il cloud privato.

Imposta il protocollo TLS sul messaggio Processore

Per impostare il protocollo TLS sul processore di messaggi, imposta le proprietà nella File message-processor.properties:

  1. Apri il file message-processor.properties in un editor. Se il file non esiste, crealo:
    vi /opt/apigee/customer/application/message-processor.properties
  2. Configura le proprietà utilizzando la seguente sintassi:
    # Possible values are a comma-delimited list of TLSv1, TLSv1.1, and TLSv1.2
    conf/system.properties+https.protocols=[TLSv1][,TLSv1.1][,TLSv1.2]
    # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2
    # SSLv3 is required
    conf_jvmsecurity_jdk.tls.disabledAlgorithms=SSLv3[,TLSv1][,TLSv1.1][,TLSv1.2]
    
    # Specify the ciphers that the Message Processor supports. (You must separate ciphers with a comma.):
    conf_message-processor-communication_local.http.ssl.ciphers=cipher[,...]

    Valori possibili per conf_message-processor-communication_local.http.ssl.ciphers sono:

    • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
    • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Ad esempio:

    conf/system.properties+https.protocols=TLSv1.2
    conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1
    conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    Per un elenco completo delle proprietà correlate, consulta La configurazione di TLS tra un router e un processore di messaggi.

  3. Salva le modifiche.
  4. Assicurati che il file delle proprietà appartenga all'elemento "apigee" utente:
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  5. Riavvia il processore di messaggi:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
  6. Se utilizzi TLS a due vie con il backend, imposta il protocollo TLS nell'host virtuale come come descritto in Configurare TLS. da perimetro al backend (cloud e cloud privato).