Định cấu hình TLS giữa Bộ định tuyến và Bộ xử lý thông báo

Theo mặc định, TLS giữa Bộ định tuyến và Trình xử lý thư bị tắt.

Cách bật tính năng mã hoá TLS giữa một Bộ định tuyến và một Bộ xử lý thư:

  1. Đảm bảo rằng cổng 8082 trên Bộ xử lý thông báo có thể truy cập được bằng Bộ định tuyến.
  2. Tạo tệp JKS trong kho khoá chứa chứng chỉ TLS và khoá riêng tư của bạn. Để biết thêm thông tin, xem Định cấu hình TLS/SSL cho Edge On Văn phòng.
  3. Sao chép tệp JKS kho khoá vào một thư mục trên máy chủ Message Processor (Trình xử lý thông báo), chẳng hạn như với tên /opt/apigee/customer/application.
  4. Thay đổi quyền và quyền sở hữu đối với tệp JKS: 
    chown apigee:apigee /opt/apigee/customer/application/keystore.jks
chmod 600 /opt/apigee/customer/application/keystore.jks

    Trong đó keystore.jks là tên của tệp kho khoá.

  5. Chỉnh sửa tệp /opt/apigee/customer/application/message-processor.properties. Nếu tệp không tồn tại, hãy tạo tệp đó.
  6. Thiết lập các thuộc tính sau trong tệp message-processor.properties: 
    conf_message-processor-communication_local.http.ssl=true
conf/message-processor-communication.properties+local.http.port=8443
conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keystore.jks
conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
# Enter the obfuscated keystore password below.
conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword

    Trong đó keystore.jks là tệp kho khoá của bạn và obsPword là tệp kho khoá kho khoá và mật khẩu keyalias làm rối mã nguồn.

    Lưu ý: Giá trị của 

    conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
    phải giống với giá trị mà tuỳ chọn -alias cung cấp cho Lệnh keytool, được mô tả ở cuối phần này Tạo một JKS.

    Xem Định cấu hình TLS/SSL cho Edge On Premise cho thông tin về việc tạo mật khẩu làm rối mã nguồn.

  7. Đảm bảo rằng tệp message-processor.properties thuộc sở hữu của "apigee" người dùng: 
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  8. Dừng Bộ xử lý thư và Bộ định tuyến: 
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
/opt/apigee/apigee-service/bin/apigee-service edge-router stop
  9. Trên Bộ định tuyến, hãy xoá mọi tệp trong thư mục /opt/nginx/conf.d: 
    rm -f /opt/nginx/conf.d/*
  10. Khởi động Bộ xử lý thư và Bộ định tuyến: 
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
/opt/apigee/apigee-service/bin/apigee-service edge-router start
  11. Lặp lại quy trình này cho từng Trình xử lý thư.

Sau khi TLS được bật giữa Bộ định tuyến và Trình xử lý thư, tệp nhật ký của Trình xử lý thư chứa thông báo INFO này:

MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks

Câu lệnh INFO này xác nhận rằng TLS đang hoạt động giữa Bộ định tuyến và Thư Bộ xử lý.

Bảng sau đây liệt kê tất cả cơ sở lưu trú hiện có tại message-processor.properties:

Thuộc tính Mô tả 
conf_message-processor-communication_local.
  http.host=localhost_or_IP_address
 Không bắt buộc. Tên máy chủ cần theo dõi kết nối của bộ định tuyến. Thao tác này sẽ ghi đè máy chủ tên được định cấu hình khi đăng ký. 
conf/message-processor-communication.
  properties+local.http.port=8998
 Không bắt buộc. Cổng để theo dõi kết nối của bộ định tuyến. Mặc định là 8998. 
conf_message-processor-communication_local.
  http.ssl=[ false | true ]
 Đặt giá trị này thành true để bật TLS/SSL. Mặc định là false. Thời gian TLS/SSL đã được bật, bạn phải đặt local.http.ssl.keystore.pathlocal.http.ssl.keyalias 
conf/message-processor-communication.
  properties+local.http.ssl.keystore.path=
 Đường dẫn hệ thống tệp cục bộ đến kho khoá (JKS hoặc PKCS12). Bắt buộc khi local.http.ssl=true. 
conf/message-processor-communication.
  properties+local.http.ssl.keyalias=
 Bí danh khoá trong kho khoá sẽ được dùng cho các kết nối TLS/SSL. Bắt buộc khi local.http.ssl=true. 
conf/message-processor-communication.
  properties+local.http.ssl.keyalias.password=
 Mật khẩu dùng để mã hoá khoá bên trong kho khoá. Sử dụng mật khẩu làm rối mã nguồn theo định dạng sau: 
OBF:obsPword
 
conf/message-processor-communication.
  properties+local.http.ssl.keystore.type=jks
 Loại kho khoá. Hiện chỉ hỗ trợ JKS và PKCS12. Mặc định là JKS. 
conf/message-processor-communication.
  properties+local.http.ssl.keystore.password=
 Không bắt buộc. Mật khẩu đã bị làm rối mã nguồn cho kho khoá. Sử dụng mật khẩu bị làm rối mã nguồn trong định dạng sau: 
OBF:obsPword
 
conf_message-processor-communication_local.
  http.ssl.ciphers=cipher1,cipher2
 Không bắt buộc. Khi bạn định cấu hình, chỉ những thuật toán mật mã có trong danh sách mới được phép sử dụng. Nếu bỏ qua, hãy sử dụng tất cả mật mã được JDK hỗ trợ.