本頁面說明如何在 Apigee 路由器中為北向流量 (介於 用戶端和路由器
詳情請參閱「虛擬主機」一文 虛擬主機
為路由器中的所有 TLS 型虛擬主機啟用 TLS 1.3
請按照下列步驟,為路由器中所有以 TLS 為基礎的虛擬主機啟用 TLS 1.3:
- 在路由器上,在編輯器中開啟下列屬性檔案。
/opt/apigee/customer/application/router.properties
如果檔案不存在,請建立該檔案。
- 在屬性檔案中加入以下這行程式碼:
conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1 TLSv1.1 TLSv1.2 TLSv1.3
新增您要支援的所有 TLS 通訊協定。請注意,通訊協定會以空格分隔 和區分大小寫
- 儲存檔案。
- 確認檔案擁有者是 Apigee 使用者:
chown apigee:apigee /opt/apigee/customer/application/router.properties
- 重新啟動路由器:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- 逐一對所有路由器節點重複執行上述步驟。
僅為特定虛擬主機啟用 TLS 1.3
本節說明如何為特定虛擬主機啟用 TLS 1.3。 如要啟用 TLS 1.3,請在管理伺服器節點上執行下列步驟:
- 在每個管理伺服器節點上編輯
/opt/apigee/customer/application/management-server.properties,然後新增下列程式碼。 (如果檔案不存在,請自行建立)。conf_virtualhost_virtual.host.allowed.protocol.list=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3
這個檔案的通訊協定是以半形逗號分隔 (有大小寫之分)。
- 儲存檔案。
- 確認檔案擁有者是 Apigee 使用者:
chown apigee:apigee /opt/apigee/customer/application/management-server.properties
- 重新啟動管理伺服器:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- 對所有管理伺服器節點逐一重複執行上述步驟。
- 使用下列屬性建立 (或更新現有) 虛擬主機。請注意,
通訊協定以空格分隔並區分大小寫。
"properties": { "property": [ { "name": "ssl_protocols", "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3" } ] }以下是包含此屬性的 vhost 範例:
{ "hostAliases": [ "api.myCompany,com", ], "interfaces": [], "listenOptions": [], "name": "secure", "port": "443", "retryOptions": [], "properties": { "property": [ { "name": "ssl_protocols", "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3" } ] }, "sSLInfo": { "ciphers": [], "clientAuthEnabled": "false", "enabled": "true", "ignoreValidationErrors": false, "keyAlias": "myCompanyKeyAlias", "keyStore": "ref://myCompanyKeystoreref", "protocols": [] }, "useBuiltInFreeTrialCert": false }測試 TLS 1.3
如要測試 TLS 1.3,請輸入下列指令:
curl -v --tlsv1.3 "https://api.myCompany,com/testproxy"
請注意,傳輸層安全標準 (TLS) 1.3 只能在支援此通訊協定的用戶端上進行測試。如果 TLS 1.3 未 啟用後,您會看到如下的錯誤訊息:
sslv3 alert handshake failure