Standardmäßig ist TLS zwischen dem Router und dem Nachrichtenprozessor deaktiviert.
So aktivieren Sie die TLS-Verschlüsselung zwischen einem Router und einem Nachrichtenprozessor:
- Achten Sie darauf, dass Port 8082 im Message Processor für den Router zugänglich ist.
- Generieren Sie die Keystore-JKS-Datei mit Ihrer TLS-Zertifizierung und Ihrem privaten Schlüssel. Weitere Informationen finden Sie unter TLS/SSL für Edge On Premises konfigurieren.
- Kopieren Sie die Keystore-JKS-Datei in ein Verzeichnis auf dem Message Processor-Server, z. B.
/opt/apigee/customer/application
. - Berechtigungen und Eigentümerschaft der JKS-Datei ändern:
chown apigee:apigee /opt/apigee/customer/application/keystore.jks
chmod 600 /opt/apigee/customer/application/keystore.jks
Dabei ist
keystore.jks
der Name Ihrer Schlüsselspeicherdatei. - Bearbeiten Sie die Datei
/opt/apigee/customer/application/message-processor.properties
. Wenn die Datei nicht vorhanden ist, erstellen Sie sie. - Legen Sie die folgenden Attribute in der Datei
message-processor.properties
fest:conf_message-processor-communication_local.http.ssl=true conf/message-processor-communication.properties+local.http.port=8443 conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keystore.jks conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest # Enter the obfuscated keystore password below. conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword
Dabei ist
keystore.jks
Ihre Schlüsselspeicherdatei und obsPword Ihr verschleiertes Schlüsselspeicher- und Schlüsselalias-Passwort.Hinweis:Der Wert von
conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
muss mit dem Wert übereinstimmen, der von der Option-alias
für den Befehlkeytool
bereitgestellt wird. Sie wird am Ende des Abschnitts JKS-Datei erstellen beschrieben.Informationen zum Generieren eines verschleierten Passworts finden Sie unter TLS/SSL für Edge On Premises konfigurieren.
- Achten Sie darauf, dass die Datei
message-processor.properties
dem Nutzer „apigee“ gehört:chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
- Beenden Sie die Nachrichtenprozessoren und Router:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
/opt/apigee/apigee-service/bin/apigee-service edge-router stop
- Löschen Sie auf dem Router alle Dateien im Verzeichnis
/opt/nginx/conf.d
:rm -f /opt/nginx/conf.d/*
- Starten Sie die Nachrichtenprozessoren und Router:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
/opt/apigee/apigee-service/bin/apigee-service edge-router start
- Wiederholen Sie diesen Vorgang für jeden Message Processor.
Nachdem TLS zwischen dem Router und dem Nachrichtenprozessor aktiviert wurde, enthält die Logdatei der Nachrichtenverarbeitung diese INFO
-Meldung:
MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks
Diese INFO
-Anweisung bestätigt, dass TLS zwischen dem Router und dem Nachrichtenprozessor funktioniert.
In der folgenden Tabelle sind alle verfügbaren Attribute in message-processor.properties
aufgeführt:
Attribute | Beschreibung |
---|---|
conf_message-processor-communication_local. http.host=localhost_or_IP_address |
Optional. Hostname, der bei Routerverbindungen überwacht werden soll. Dadurch wird der bei der Registrierung konfigurierte Hostname überschrieben. |
conf/message-processor-communication. properties+local.http.port=8998 |
Optional. Port, der für Routerverbindungen verwendet werden soll. Der Standardwert ist 8.998. |
conf_message-processor-communication_local. http.ssl=[ false | true ] |
Setzen Sie die Einstellung auf true , um TLS/SSL zu aktivieren. Der Standardwert ist false . Wenn TLS/SSL aktiviert ist, müssen Sie local.http.ssl.keystore.path und local.http.ssl.keyalias festlegen.
|
conf/message-processor-communication. properties+local.http.ssl.keystore.path= |
Pfad des lokalen Dateisystems zum Schlüsselspeicher (JKS oder PKCS12). Obligatorisch, wenn
local.http.ssl=true . |
conf/message-processor-communication. properties+local.http.ssl.keyalias= |
Schlüsselalias aus dem Schlüsselspeicher, der für TLS/SSL-Verbindungen verwendet werden soll. Obligatorisch, wenn
local.http.ssl=true . |
conf/message-processor-communication. properties+local.http.ssl.keyalias.password= |
Passwort, das zum Verschlüsseln des Schlüssels im Schlüsselspeicher verwendet wird. Verwenden Sie ein verschleiertes Passwort im folgenden Format: OBF:obsPword |
conf/message-processor-communication. properties+local.http.ssl.keystore.type=jks |
Schlüsselspeichertyp. Derzeit werden nur JKS und PKCS12 unterstützt. Der Standardwert ist JKS. |
conf/message-processor-communication. properties+local.http.ssl.keystore.password= |
Optional. Verschleiertes Passwort für den Schlüsselspeicher. Verwenden Sie ein verschleiertes Passwort im folgenden Format: OBF:obsPword |
conf_message-processor-communication_local. http.ssl.ciphers=cipher1,cipher2 |
Optional. Wenn sie konfiguriert sind, sind nur die aufgeführten Chiffren zulässig. Wenn nichts angegeben ist, sollten Sie alle Chiffren verwenden, die vom JDK unterstützt werden. |