Bu sayfada güneye giden trafik için Apigee Mesaj İşlemcilerinde TLS 1.3'ün nasıl yapılandırılacağı açıklanmaktadır (İleti İşleyici ile arka uç sunucusu arasındaki trafik)
Java'daki TLS 1.3 özelliği hakkında daha fazla bilgi edinmek için bkz. JDK 8u261 Güncelleme Sürüm Notları.
TLS 1.3'ü etkinleştirme prosedürü, kullandığınız Java sürümüne bağlıdır. Görüntüleyin Yüklü Java sürümünü bulmak için aşağıdaki Mesaj İşleyici'de Java sürümünü kontrol edin. bulun.
TLS v1.3 ve Java sürümleri
TLS 1.3 özelliği, Java'nın aşağıdaki sürümlerinde kullanıma sunulmuştur:
- Oracle JDK 8u261
- OpenJDK 8u272
Aşağıdaki Java sürümlerinde TLS v1.3 özelliği mevcuttur ancak varsayılan olarak etkin değildir. oluşturmak için:
- Oracle JDK 8u261 veya sonrası ancak Oracle JDK 8u341'den az
- OpenJDK 8u272 veya üzeri ancak OpenJDK 8u352'den küçük
Bu sürümlerden birini kullanıyorsanız TLS v1.3'ü aşağıda açıklandığı gibi etkinleştirmeniz gerekir Varsayılan olarak etkin olmadığında TLS v1.3'ü etkinleştirme başlıklı makaleyi inceleyin.
Aşağıdaki sürümlerden birini kullanıyorsanız TLS v1.3'ün varsayılan olarak etkin olması gerekir. istemci rollerinde (İleti İşleyici, istemci Güneye giden TLS bağlantıları için). Bu nedenle, herhangi bir işlem yapmanız gerekmez:
- Oracle JDK 8u341 veya sonraki sürümleri
- OpenJDK 8u352 veya sonraki sürümleri
TLS v1.3'ün çalışması için aşağıdakilerin tümünün doğru olması gerekir:
- İleti İşleyici'de temel Java, TLS v1.3'ü desteklemelidir.
- TLS v1.3, Mesaj İşleyici'de Java'da etkinleştirilmelidir.
- İleti İşleyen uygulamasında TLS v1.3 etkinleştirilmelidir.
Varsayılan olarak etkin olmadığında Java'da TLS v1.3'ü etkinleştirme.
Bu bölümde, aşağıdakilerden birini kullanmanız durumunda TLS v1.3'ü nasıl etkinleştireceğiniz açıklanmaktadır Java sürümleri:
- Oracle JDK 8u261 veya sonrası ancak Oracle JDK 8u341'den az
- OpenJDK 8u272 veya üzeri ancak OpenJDK 8u352'den küçük
Mesaj işlemcisinde Java özelliğini jdk.tls.client.protocols
olarak ayarlayın.
Değerler virgülle ayrılmıştır ve bir veya daha fazla
TLSv1
, TLSv1.1
, TLSv1.2
, TLSv1.3
ve
SSLv3
.
Örneğin, -Djdk.tls.client.protocols=TLSv1.2,TLSv1.3
politikasının ayarlanması, istemcinin
TLSv1.2
ve TLSv1.3
protokollerini destekler.
Diğer JVM özelliklerini Edge bileşeninde JVM özelliklerinin nasıl ayarlanacağını öğrenin.
TLS v1, v1.1, v1.2 ve v1.3 protokollerini etkinleştirmek için:
- Aşağıdaki yapılandırmayı
mesaj işlemcisi yapılandırma dosyası
(
/opt/apigee/customer/application/message-processor.properties
):bin_setenv_ext_jvm_opts=-Djdk.tls.client.protocols=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3
- Mesaj İşleyici'yi yeniden başlatın.
Varsayılan olarak etkin olan TLS v1.3'ü devre dışı bırakma
Oracle JDK 8u341 veya sonraki sürümleri ya da OpenJDK 8u352 veya sonraki sürümleri kullanıyorsanız TLSv1.3, varsayılan seçenektir. Bu gibi durumlarda TLS v1.3'ü devre dışı bırakmak isterseniz iki seçeneğiniz vardır:
- Hedef sunucunuzun SSLInfo'sunu yapılandırın ve protokol listesidir. Görüntüleyin TLS/SSL TargetEndpoint Configuration Elements (TLS/SSL Hedef Uç Nokta Yapılandırma Öğeleri). Not: Hedef sunucu yapılandırmasında protokol belirtilmemişse Java tarafından desteklenen protokoller, istemci el sıkışmasında seçenek olarak gönderilir.
- Protokolü tamamen devre dışı bırakarak ileti işlemcisinde TLS v1.3'ü devre dışı bırakın. Görüntüleyin İleti İşleyici'de TLS protokolünü ayarlayın.
Mesaj İşleyicide Java sürümünü kontrol etme
İleti İşlemcisinde yüklü Java sürümünü kontrol etmek için İleti İşlemci'ye giriş yapın. düğümünü açın ve aşağıdaki komutu yürütün:
java -version
Aşağıdaki örnek çıktı, OpenJDK 8u312'nin yüklü olduğunu göstermektedir.
$ java -version openjdk version "1.8.0_312" OpenJDK Runtime Environment (build 1.8.0_312-b07) OpenJDK 64-Bit Server VM (build 25.312-b07, mixed mode)
Desteklenen şifreler
Java 8 şu anda 2 TLS v1.3 şifresini desteklemektedir:
- TLS_AES_256_GCM_SHA384
- TLS_AES_128_GCM_SHA256
Hedef sunucunuzun TLS v1.3'ü ve TLS v1.3'ü veopenssl
şifrelerini girmeniz gerekir. Bu örneğin, aynı boyuta sahip openssl11
yardımcı programını
TLS v1.3 etkinleştirildi.
$ openssl11 s_client -ciphersuites "TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256" -connect target_host:target_port -tls1_3