דף זה תורגם על ידי Cloud Translation API.

הגדרה של TLS 1.3 לתנועה לכיוון צפון

בדף הזה מוסבר איך להגדיר TLS 1.3 בנתבי Apigee לתעבורת נתונים בכיוון צפון (תנועה בין לקוח והנתב).

כדי להשתמש ב-TLS 1.3, צמתים שמארחים את הנתב חייבים לכלול Red Hat Enterprise Linux (RHEL) 8.0 מערכת הפעלה (ואילך) מותקנת, שתומכת בספרייה openssl 1.1.

למידע נוסף, ראו מארחים וירטואליים על מארחים וירטואליים.

הפעלת TLS 1.3 לכל המארחים הווירטואליים המבוססים על TLS בנתב

יש להשתמש בתהליך הבא כדי להפעיל TLS 1.3 לכל המארחים הווירטואליים מבוססי TLS בנתב:

בנתב, פותחים את קובץ המאפיינים הבא בעורך.
```
/opt/apigee/customer/application/router.properties
```
אם הקובץ לא קיים, יוצרים אותו.
מוסיפים את השורה הבאה לקובץ המאפיינים:
```
conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1 TLSv1.1 TLSv1.2 TLSv1.3
```
הוספת כל פרוטוקולי TLS שרוצים לתמוך בהם. שימו לב שהפרוטוקולים מופרדים ברווחים. ותלוי אותיות רישיות.
שומרים את הקובץ.

מוודאים שהקובץ בבעלות משתמש ב-apigee:

chown apigee:apigee /opt/apigee/customer/application/router.properties

מפעילים מחדש את הנתב:

/opt/apigee/apigee-service/bin/apigee-service edge-router restart

חוזרים על השלבים שלמעלה בכל צומתי הנתב אחד אחרי השני.

הפעלת TLS 1.3 רק למארחים וירטואליים ספציפיים

בקטע הזה מוסבר איך להפעיל TLS 1.3 עבור מארחים וירטואליים ספציפיים. כדי להפעיל TLS 1.3, יש לבצע את השלבים הבאים בצמתים של שרתי הניהול:

בכל צומת של שרת ניהול, עורכים את הקובץ /opt/apigee/customer/application/management-server.properties ומוסיפים את השורה הבאה. (אם הקובץ לא קיים, יוצרים אותו).
```
conf_virtualhost_virtual.host.allowed.protocol.list=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3
```
בקובץ הזה, הפרוטוקולים מופרדים בפסיקים (ותלויי אותיות רישיות).
שומרים את הקובץ.

מוודאים שהקובץ בבעלות משתמש ב-apigee:

chown apigee:apigee /opt/apigee/customer/application/management-server.properties

מפעילים מחדש את שרת הניהול:

/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

חוזרים על השלבים שלמעלה בכל הצמתים של שרתי הניהול בזה אחר זה.

יצירה (או עדכון של מארח וירטואלי קיים) באמצעות הנכס הבא. שימו לב הפרוטוקולים מופרדים ברווחים ותלויים באותיות רישיות.

"properties": {
    "property": [
      {
        "name": "ssl_protocols",
        "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
      }
    ]
}

דוגמה ל-vhost עם הנכס הזה:

{
  "hostAliases": [
    "api.myCompany,com",
  ],
  "interfaces": [],
  "listenOptions": [],
  "name": "secure",
  "port": "443",
  "retryOptions": [],
  "properties": {
    "property": [
      {
        "name": "ssl_protocols",
        "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
      }
    ]
  },
  "sSLInfo": {
    "ciphers": [],
    "clientAuthEnabled": "false",
    "enabled": "true",
    "ignoreValidationErrors": false,
    "keyAlias": "myCompanyKeyAlias",
    "keyStore": "ref://myCompanyKeystoreref",
    "protocols": []
  },
  "useBuiltInFreeTrialCert": false
}

בדיקת TLS 1.3

כדי לבדוק את TLS 1.3, מזינים את הפקודה הבאה:

curl -v --tlsv1.3 "https://api.myCompany,com/testproxy"

לתשומת ליבכם: אפשר לבדוק את TLS 1.3 רק על לקוחות שתומכים בפרוטוקול הזה. אם TLS 1.3 לא שונה תופיע הודעת שגיאה כמו זו:

sslv3 alert handshake failure