โดยค่าเริ่มต้น เราเตอร์และตัวประมวลผลข้อความรองรับโปรโตคอล TLS 1.0, 1.1, 1.2 เราเตอร์และเครื่องมือประมวลผลข้อความอาจขึ้นอยู่กับระบบปฏิบัติการและเวอร์ชัน Java รองรับโปรโตคอล TLS 1.3 เช่นกัน แต่คุณอาจต้องการจำกัดโอกาส โดยอิงตามความต้องการและแนวทางปฏิบัติด้านความปลอดภัยของคุณ เอกสารนี้ อธิบายวิธีตั้งค่าโปรโตคอลทั่วโลกบนเราเตอร์และตัวประมวลผลข้อความ
สำหรับเราเตอร์ คุณยังสามารถตั้งค่าโปรโตคอลสำหรับโฮสต์เสมือนแต่ละรายการได้ด้วย โปรดดูการกำหนดค่าการเข้าถึง TLS สำหรับ API Private Cloud เพิ่มเติม
สำหรับโปรแกรมประมวลผลข้อความ คุณจะตั้งค่าโปรโตคอลสำหรับ TargetEndpoint แต่ละรายการได้ โปรดดูการกำหนดค่า TLS จาก Edge ไปยังแบ็กเอนด์ (Cloud และ Private Cloud) เพื่อให้ข้อมูลเพิ่มเติม
ตั้งค่าโปรโตคอล TLS บนเราเตอร์
หากต้องการตั้งค่าโปรโตคอล TLS บนเราเตอร์ ให้ตั้งค่าพร็อพเพอร์ตี้ใน router.properties
ไฟล์:
- เปิดไฟล์
router.propertiesใน เอดิเตอร์ หากไม่มีไฟล์ ให้สร้างตามขั้นตอนต่อไปนี้vi /opt/apigee/customer/application/router.properties
- ตั้งค่าพร็อพเพอร์ตี้ตามต้องการดังนี้
# Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2 conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
- บันทึกการเปลี่ยนแปลง
- ตรวจสอบว่าไฟล์พร็อพเพอร์ตี้เป็นของ "apigee" ผู้ใช้:
chown apigee:apigee /opt/apigee/customer/application/router.properties
- รีสตาร์ทเราเตอร์ดังนี้
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- ตรวจสอบว่าโปรโตคอลมีการอัปเดตอย่างถูกต้องโดยตรวจสอบไฟล์ Nginx
/opt/nginx/conf.d/0-default.conf: วันที่cat /opt/nginx/conf.d/0-default.conf
ตรวจสอบว่าค่าของ
ssl_protocolsเป็น TLSv1.2 - หากคุณกำลังใช้ TLS แบบ 2 ทางกับโฮสต์เสมือน คุณต้องตั้งค่าโปรโตคอล TLS ใน โฮสต์เสมือนตามที่อธิบายไว้ในการกำหนดค่าการเข้าถึง TLS สำหรับ API สำหรับ Private Cloud
ตั้งค่าโปรโตคอล TLS ในข้อความ ผู้ประมวลผลข้อมูล
หากต้องการตั้งค่าโปรโตคอล TLS ใน Message Processor ให้ตั้งค่าคุณสมบัติใน
message-processor.properties ไฟล์:
- เปิดไฟล์
message-processor.propertiesใน Editor หากไม่มีไฟล์ ให้สร้างตามขั้นตอนต่อไปนี้vi /opt/apigee/customer/application/message-processor.properties
- กําหนดค่าพร็อพเพอร์ตี้โดยใช้ไวยากรณ์ต่อไปนี้
# Possible values are a comma-delimited list of TLSv1, TLSv1.1, and TLSv1.2 conf/system.properties+https.protocols=[TLSv1][,TLSv1.1][,TLSv1.2] # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2 # SSLv3 is required conf_jvmsecurity_jdk.tls.disabledAlgorithms=SSLv3[,TLSv1][,TLSv1.1][,TLSv1.2] # Specify the ciphers that the Message Processor supports. (You must separate ciphers with a comma.): conf_message-processor-communication_local.http.ssl.ciphers=cipher[,...]
ค่าที่เป็นไปได้สำหรับ
conf_message-processor-communication_local.http.ssl.ciphersได้แก่TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384TLS_RSA_WITH_AES_256_GCM_SHA384TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384TLS_DHE_RSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
เช่น
conf/system.properties+https.protocols=TLSv1.2 conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1 conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
ดูรายการที่พักที่เกี่ยวข้องทั้งหมดได้ที่ การกำหนดค่า TLS ระหว่าง เราเตอร์และ Message Processor
- บันทึกการเปลี่ยนแปลง
- ตรวจสอบว่าไฟล์พร็อพเพอร์ตี้เป็นของ "apigee" ผู้ใช้:
chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
- รีสตาร์ทโปรแกรมประมวลผลข้อความ
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- ถ้าคุณใช้ TLS แบบ 2 ทางกับแบ็กเอนด์ ให้ตั้งค่าโปรโตคอล TLS ในโฮสต์เสมือนเป็น ตามที่อธิบายไว้ในการกำหนดค่า TLS จาก Edge ไปยังแบ็กเอนด์ (ระบบคลาวด์และ Private Cloud)