По умолчанию маршрутизатор и процессор сообщений поддерживают протоколы TLS 1.0, 1.1, 1.2. В зависимости от вашей операционной системы и версии Java ваш маршрутизатор и процессор сообщений также могут поддерживать протокол TLS 1.3. Однако вы можете захотеть ограничить некоторые протоколы более низкого уровня в зависимости от ваших потребностей и методов обеспечения безопасности. В этом документе описывается глобальная настройка протокола на маршрутизаторе и процессоре сообщений.
Для Маршрутизатора вы также можете установить протокол для отдельных виртуальных хостов. Дополнительные сведения см. в разделе Настройка доступа TLS к API для частного облака .
Для процессора сообщений вы можете установить протокол для отдельной TargetEndpoint. Дополнительные сведения см. в разделе Настройка TLS от Edge к серверной части (облако и частное облако) .
Установите протокол TLS на маршрутизаторе
Чтобы настроить протокол TLS на маршрутизаторе, установите свойства в файле router.properties :
- Откройте файл
router.propertiesв редакторе. Если файл не существует, создайте его:vi /opt/apigee/customer/application/router.properties
- Установите свойства по желанию:
# Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2 conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
- Сохраните изменения.
- Убедитесь, что файл свойств принадлежит пользователю «apigee»:
chown apigee:apigee /opt/apigee/customer/application/router.properties
- Перезагрузите маршрутизатор:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- Убедитесь, что протокол обновлен правильно, изучив файл Nginx
/opt/nginx/conf.d/0-default.conf:cat /opt/nginx/conf.d/0-default.conf
Убедитесь, что значение
ssl_protocolsравно TLSv1.2. - Если вы используете двусторонний TLS с виртуальным хостом, вам также необходимо настроить протокол TLS на виртуальном хосте, как описано в разделе Настройка доступа TLS к API для частного облака .
Установите протокол TLS на процессоре сообщений.
Чтобы настроить протокол TLS на процессоре сообщений, задайте свойства в файле message-processor.properties :
- Откройте файл
message-processor.propertiesв редакторе. Если файл не существует, создайте его:vi /opt/apigee/customer/application/message-processor.properties
- Настройте свойства, используя следующий синтаксис:
# Possible values are a comma-delimited list of TLSv1, TLSv1.1, and TLSv1.2 conf/system.properties+https.protocols=[TLSv1][,TLSv1.1][,TLSv1.2] # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2 # SSLv3 is required conf_jvmsecurity_jdk.tls.disabledAlgorithms=SSLv3[,TLSv1][,TLSv1.1][,TLSv1.2] # Specify the ciphers that the Message Processor supports. (You must separate ciphers with a comma.): conf_message-processor-communication_local.http.ssl.ciphers=cipher[,...]
Возможные значения для
conf_message-processor-communication_local.http.ssl.ciphers:-
TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 -
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 -
TLS_RSA_WITH_AES_256_GCM_SHA384 -
TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384 -
TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384 -
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384 -
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
Например:
conf/system.properties+https.protocols=TLSv1.2 conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1 conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
Полный список связанных свойств см. в разделе Настройка TLS между маршрутизатором и процессором сообщений .
-
- Сохраните изменения.
- Убедитесь, что файл свойств принадлежит пользователю «apigee»:
chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
- Перезапустите процессор сообщений:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- Если вы используете двусторонний TLS с серверной частью, установите протокол TLS на виртуальном хосте, как описано в разделе Настройка TLS от Edge к серверной части (облако и частное облако) .