การกําหนดค่า TLS 1.3 สําหรับการรับส่งข้อมูลทางเหนือ

หน้านี้อธิบายวิธีกำหนดค่า TLS 1.3 ในเราเตอร์ Apigee สำหรับการรับส่งข้อมูลทางเหนือ (การรับส่งข้อมูลระหว่าง ไคลเอ็นต์และเราเตอร์)

โปรดดูที่โฮสต์เสมือนสำหรับข้อมูลเพิ่มเติม เกี่ยวกับโฮสต์เสมือน

เปิดใช้ TLS 1.3 สำหรับโฮสต์เสมือนที่ใช้ TLS ทั้งหมดในเราเตอร์

ใช้ขั้นตอนต่อไปนี้เพื่อเปิดใช้ TLS 1.3 สำหรับโฮสต์เสมือนที่ใช้ TLS ทั้งหมดในเราเตอร์

1. เปิดไฟล์พร็อพเพอร์ตี้ต่อไปนี้ในตัวแก้ไขบนเราเตอร์

   /opt/apigee/customer/application/router.properties

   หากไม่มีไฟล์ ให้สร้างขึ้นมา

2. เพิ่มบรรทัดต่อไปนี้ลงในไฟล์พร็อพเพอร์ตี้

   conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1 TLSv1.1 TLSv1.2 TLSv1.3

   เพิ่มโปรโตคอล TLS ทั้งหมดที่ต้องการรองรับ โปรดทราบว่าโปรโตคอลต่างๆ จะคั่นด้วยช่องว่าง และพิจารณาตัวพิมพ์เล็กและตัวพิมพ์ใหญ่

3. บันทึกไฟล์
4. ตรวจสอบว่าผู้ใช้ Apigee เป็นเจ้าของไฟล์โดยทำดังนี้

   chown apigee:apigee /opt/apigee/customer/application/router.properties

5. รีสตาร์ทเราเตอร์ดังนี้

   /opt/apigee/apigee-service/bin/apigee-service edge-router restart

6. ทำขั้นตอนด้านบนซ้ำกับโหนดเราเตอร์ทั้งหมดทีละรายการ

เปิดใช้ TLS 1.3 สำหรับโฮสต์เสมือนบางรายการเท่านั้น

หัวข้อนี้จะอธิบายวิธีเปิดใช้ TLS 1.3 สำหรับโฮสต์เสมือนที่เฉพาะเจาะจง หากต้องการเปิดใช้ TLS 1.3 ให้ทำตามขั้นตอนต่อไปนี้ในโหนดเซิร์ฟเวอร์การจัดการ

1. แก้ไขไฟล์ในโหนดเซิร์ฟเวอร์การจัดการแต่ละรายการ /opt/apigee/customer/application/management-server.properties แล้วเพิ่มบรรทัดต่อไปนี้ (หากไม่มีไฟล์ ให้สร้างขึ้นใหม่)

   conf_virtualhost_virtual.host.allowed.protocol.list=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3

   สำหรับไฟล์นี้ โปรโตคอลจะคั่นด้วยคอมมา (และคำนึงถึงตัวพิมพ์เล็กและตัวพิมพ์ใหญ่)

2. บันทึกไฟล์
3. ตรวจสอบว่าผู้ใช้ Apigee เป็นเจ้าของไฟล์โดยทำดังนี้

   chown apigee:apigee /opt/apigee/customer/application/management-server.properties

4. รีสตาร์ทเซิร์ฟเวอร์การจัดการ

   /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

5. ทำขั้นตอนด้านบนซ้ำในโหนดของเซิร์ฟเวอร์การจัดการทั้งหมดทีละรายการ
6. สร้าง (หรืออัปเดตโฮสต์เสมือนที่มีอยู่) ด้วยพร็อพเพอร์ตี้ต่อไปนี้ โปรดทราบว่า โปรโตคอลที่คั่นด้วยการเว้นวรรคและพิจารณาตัวพิมพ์เล็กและตัวพิมพ์ใหญ่

   "properties": {
       "property": [
         {
           "name": "ssl_protocols",
           "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
         }
       ]
   }

   ตัวอย่าง vhost ที่มีพร็อพเพอร์ตี้นี้แสดงอยู่ด้านล่าง

   {
     "hostAliases": [
       "api.myCompany,com",
     ],
     "interfaces": [],
     "listenOptions": [],
     "name": "secure",
     "port": "443",
     "retryOptions": [],
     "properties": {
       "property": [
         {
           "name": "ssl_protocols",
           "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
         }
       ]
     },
     "sSLInfo": {
       "ciphers": [],
       "clientAuthEnabled": "false",
       "enabled": "true",
       "ignoreValidationErrors": false,
       "keyAlias": "myCompanyKeyAlias",
       "keyStore": "ref://myCompanyKeystoreref",
       "protocols": []
     },
     "useBuiltInFreeTrialCert": false
   }

   การทดสอบ TLS 1.3

   หากต้องการทดสอบ TLS 1.3 ให้ป้อนคำสั่งต่อไปนี้

   curl -v --tlsv1.3 "https://api.myCompany,com/testproxy"

   โปรดทราบว่าสามารถทดสอบ TLS 1.3 ได้ในไคลเอ็นต์ที่รองรับโปรโตคอลนี้เท่านั้น หากไม่ใช่ TLS 1.3 แล้ว คุณจะเห็นข้อความแสดงข้อผิดพลาดต่อไปนี้

   sslv3 alert handshake failure