라우터 및 메시지 프로세서의 TLS 프로토콜 설정

기본적으로 라우터와 메시지 프로세서는 TLS 프로토콜 1.0, 1.1, 1.2를 지원합니다. 운영 체제 및 Java 버전에 따라 라우터와 메시지 프로세서는 TLS 프로토콜 1.3도 지원합니다. 하지만 낮은 검색 비율의 조직의 필요와 보안 관행에 맞게 프로토콜을 설계할 수 있습니다 이 문서 은 라우터 및 메시지 프로세서에 전역적으로 프로토콜을 설정하는 방법에 대해 설명합니다.

라우터의 경우 개별 가상 호스트의 프로토콜을 설정할 수도 있습니다. API에 대한 TLS 액세스 구성 (Private Cloud)를 참조하세요.

메시지 프로세서의 경우 개별 TargetEndpoint에 대한 프로토콜을 설정할 수 있습니다. 자세한 내용은 TLS 구성 백엔드 (클라우드 및 프라이빗 클라우드)를 참조하세요.

라우터에서 TLS 프로토콜 설정

라우터에서 TLS 프로토콜을 설정하려면 router.properties에서 속성을 설정하세요. 파일:

  1. 다음에서 router.properties 파일을 엽니다. 있습니다 파일이 없으면 다음과 같이 만듭니다.
    vi /opt/apigee/customer/application/router.properties
  2. 속성을 원하는 대로 설정합니다.
    # Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2
    conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
  3. 변경사항을 저장합니다.
  4. 속성 파일이 'Apigee'의 소유인지 확인하세요. 사용자:
     chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. 라우터를 다시 시작합니다.
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
  6. Nginx 파일을 검사하여 프로토콜이 올바르게 업데이트되었는지 확인 /opt/nginx/conf.d/0-default.conf:
    cat /opt/nginx/conf.d/0-default.conf

    ssl_protocols 값이 TLSv1.2인지 확인합니다.

  7. 가상 호스트에서 양방향 TLS를 사용하는 경우 VPC 네트워크에 대한 TLS 액세스 구성 프라이빗 클라우드용 API를 참조하세요.

메일에 TLS 프로토콜 설정 프로세서

메시지 프로세서에 TLS 프로토콜을 설정하려면 message-processor.properties 파일:

  1. 다음에서 message-processor.properties 파일을 엽니다. 있습니다 파일이 없으면 다음과 같이 만듭니다.
    vi /opt/apigee/customer/application/message-processor.properties
  2. 다음 구문을 사용하여 속성을 구성합니다.
    # Possible values are a comma-delimited list of TLSv1, TLSv1.1, and TLSv1.2
    conf/system.properties+https.protocols=[TLSv1][,TLSv1.1][,TLSv1.2]
    # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2
    # SSLv3 is required
    conf_jvmsecurity_jdk.tls.disabledAlgorithms=SSLv3[,TLSv1][,TLSv1.1][,TLSv1.2]
    
    # Specify the ciphers that the Message Processor supports. (You must separate ciphers with a comma.):
    conf_message-processor-communication_local.http.ssl.ciphers=cipher[,...]

    가능한 값 conf_message-processor-communication_local.http.ssl.ciphers는 다음과 같습니다.

    • TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
    • TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
    • TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    예를 들면 다음과 같습니다.

    conf/system.properties+https.protocols=TLSv1.2
    conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1
    conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384

    관련 속성의 전체 목록은 다음을 참조하세요. 서비스 계정 간에 TLS를 구성하면 라우터와 메시지 프로세서의 세 가지 기본 컴퓨팅 리소스입니다.

  3. 변경사항을 저장합니다.
  4. 속성 파일이 'Apigee'의 소유인지 확인하세요. 사용자:
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  5. 메시지 프로세서를 다시 시작합니다.
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
  6. 백엔드에서 양방향 TLS를 사용하는 경우 가상 호스트의 TLS 프로토콜을 TLS 구성 백엔드로 (클라우드 및 프라이빗 클라우드)