Mengonfigurasi TLS antara Router dan Pemroses Pesan

Secara default, TLS antara Router dan Pemroses Pesan dinonaktifkan.

Untuk mengaktifkan enkripsi TLS antara Router dan Pemroses Pesan:

  1. Pastikan port 8082 di Pemroses Pesan dapat diakses oleh Router.
  2. Buat file JKS keystore yang berisi sertifikasi TLS dan kunci pribadi Anda. Untuk selengkapnya, lihat Mengonfigurasi TLS/SSL untuk Edge On Gedung.
  3. Salin file JKS keystore ke direktori di server Message Processor, misalnya sebagai /opt/apigee/customer/application.
  4. Ubah izin dan kepemilikan file JKS:
    chown apigee:apigee /opt/apigee/customer/application/keystore.jks
    chmod 600 /opt/apigee/customer/application/keystore.jks

    Dengan keystore.jks adalah nama file keystore Anda.

  5. Edit file /opt/apigee/customer/application/message-processor.properties. Jika file tidak ada, buat file tersebut.
  6. Tetapkan properti berikut dalam file message-processor.properties:
    conf_message-processor-communication_local.http.ssl=true
    conf/message-processor-communication.properties+local.http.port=8443
    conf/message-processor-communication.properties+local.http.ssl.keystore.type=jks
    conf/message-processor-communication.properties+local.http.ssl.keystore.path=/opt/apigee/customer/application/keystore.jks
    conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
    # Enter the obfuscated keystore password below.
    conf/message-processor-communication.properties+local.http.ssl.keystore.password=OBF:obsPword

    Dengan keystore.jks adalah file keystore Anda, dan obsPword adalah keystore dan sandi keyalias yang di-obfuscate.

    Catatan: Nilai dari

    conf/message-processor-communication.properties+local.http.ssl.keyalias=apigee-devtest
    harus sama dengan nilai yang diberikan oleh opsi -alias untuk Perintah keytool, yang dijelaskan di akhir bagian Membuat File JKS.

    Lihat Mengonfigurasi TLS/SSL untuk Edge On Premises untuk informasi tentang cara membuat {i> password<i} yang di-obfuscate.

  7. Pastikan file message-processor.properties dimiliki oleh 'apigee' pengguna:
    chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
  8. Hentikan Pemroses dan Router Pesan:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor stop
    /opt/apigee/apigee-service/bin/apigee-service edge-router stop
  9. Di Router, hapus file apa pun di direktori /opt/nginx/conf.d:
    rm -f /opt/nginx/conf.d/*
  10. Mulai Prosesor dan Router Pesan:
    /opt/apigee/apigee-service/bin/apigee-service edge-message-processor start
    /opt/apigee/apigee-service/bin/apigee-service edge-router start
  11. Ulangi proses ini untuk setiap Pemroses Pesan.

Setelah TLS diaktifkan antara Router dan Pemroses Pesan, file log Pemroses Pesan berisi pesan INFO ini:

MessageProcessorHttpSkeletonFactory.configureSSL() : Instantiating Keystore of type: jks

Pernyataan INFO ini mengonfirmasi bahwa TLS berfungsi antara Router dan Pesan Pemroses.

Tabel berikut mencantumkan semua properti yang tersedia di message-processor.properties:

Properti Deskripsi
conf_message-processor-communication_local.
  http.host=localhost_or_IP_address
Opsional. Nama host yang akan didengarkan untuk koneksi router. Ini akan mengganti host nama yang dikonfigurasi saat pendaftaran.
conf/message-processor-communication.
  properties+local.http.port=8998
Opsional. Porta yang akan digunakan untuk memproses koneksi router. Defaultnya adalah 8998.
conf_message-processor-communication_local.
  http.ssl=[ false | true ]
Setel ini ke true untuk mengaktifkan TLS/SSL. Default-nya adalah false. Kapan TLS/SSL diaktifkan, Anda harus menyetel local.http.ssl.keystore.path dan local.http.ssl.keyalias.
conf/message-processor-communication.
  properties+local.http.ssl.keystore.path=
Jalur sistem file lokal ke keystore (JKS atau PKCS12). Wajib saat local.http.ssl=true.
conf/message-processor-communication.
  properties+local.http.ssl.keyalias=
Alias kunci dari keystore yang akan digunakan untuk koneksi TLS/SSL. Wajib saat local.http.ssl=true.
conf/message-processor-communication.
  properties+local.http.ssl.keyalias.password=
Sandi yang digunakan untuk mengenkripsi kunci di dalam keystore. Menggunakan sandi yang di-obfuscate dalam format berikut:
OBF:obsPword
conf/message-processor-communication.
  properties+local.http.ssl.keystore.type=jks
Jenis keystore. Saat ini hanya JKS dan PKCS12 yang didukung. Defaultnya adalah JKS.
conf/message-processor-communication.
  properties+local.http.ssl.keystore.password=
Opsional. Sandi untuk keystore disamarkan. Gunakan {i>password<i} yang di-obfuscate di format berikut:
OBF:obsPword
conf_message-processor-communication_local.
  http.ssl.ciphers=cipher1,cipher2
Opsional. Saat dikonfigurasi, hanya cipher yang tercantum yang diizinkan. Jika dihilangkan, gunakan semua penyandian yang didukung oleh JDK.