इस पेज का अनुवाद Cloud Translation API से किया गया है.

TLS/एसएसएल के बारे में जानकारी

Apigee Edge का दस्तावेज़ देखा जा रहा है.
Apigee X के दस्तावेज़ पर जाएं. जानकारी

ट्रांसपोर्ट लेयर सिक्योरिटी (टीएलएस) एक स्टैंडर्ड सुरक्षा टेक्नोलॉजी है. इससे वेब सर्वर और वेब क्लाइंट (जैसे, ब्राउज़र या ऐप्लिकेशन) के बीच एन्क्रिप्ट (सुरक्षित) किया गया लिंक बनाया जाता है. वेब क्लाइंट में, सर्वर से आने वाला डेटा एन्क्रिप्ट (सुरक्षित) होता है. इससे यह पक्का होता है कि सर्वर और क्लाइंट के बीच भेजा जाने वाला डेटा निजी रहे. TLS का इस्तेमाल करने के लिए, क्लाइंट एन्क्रिप्ट किए गए HTTPS प्रोटोकॉल का इस्तेमाल करके, सर्वर से सुरक्षित अनुरोध करता है. एन्क्रिप्ट नहीं किए गए HTTP प्रोटोकॉल का इस्तेमाल नहीं किया जाता.

ध्यान दें: Edge मूल रूप से एसएसएल के साथ काम करता था. इसलिए, आपको Edge के यूज़र इंटरफ़ेस और Edge एक्सएमएल में कुछ ऐसे उदाहरण दिखेंगे जिनमें "एसएसएल" शब्द का इस्तेमाल किया गया है. उदाहरण के लिए, Edge के यूज़र इंटरफ़ेस (यूआई) में मौजूद, सर्टिफ़िकेट देखने के लिए इस्तेमाल किए जाने वाले मेन्यू को एसएसएल सर्टिफ़िकेट कहा जाता है. <SSLInfo> नाम का एक्सएमएल टैग, TLS का इस्तेमाल करने के लिए वर्चुअल होस्ट को कॉन्फ़िगर करने के लिए इस्तेमाल किया जाता है.

Edge, क्लाउड और ऑन-प्राइमिस, दोनों तरह के डिप्लॉयमेंट में एकतरफ़ा TLS और दोतरफ़ा TLS के साथ काम करता है. TLS के काम करने वाले वर्शन के लिए, काम करने वाले सॉफ़्टवेयर और काम करने वाले वर्शन देखें. One-way TLS की मदद से, TLS क्लाइंट, TLS सर्वर की पहचान की पुष्टि कर सकता है. उदाहरण के लिए, Android फ़ोन (क्लाइंट) पर चलने वाला ऐप्लिकेशन, Edge एपीआई (सर्वर) की पहचान की पुष्टि कर सकता है.

Apigee, दो-तरफ़ा या क्लाइंट टीएलएस का इस्तेमाल करके, पुष्टि करने के बेहतर तरीके का भी इस्तेमाल करता है. आम तौर पर, एंड-टू-एंड सुरक्षा को बेहतर बनाने और अपने डेटा को क्लाइंट के हमलों से बचाने के लिए, दोतरफ़ा TLS लागू किया जाता है. जैसे, क्लाइंट स्पूफ़िंग या मैन-इन-द-मिडल हमले. दोतरफ़ा TLS में, क्लाइंट, सर्वर की पहचान की पुष्टि करता है. इसके बाद, सर्वर क्लाइंट की पहचान की पुष्टि करता है.

TLS से जुड़ी शब्दावली

टीएलएस को कॉन्फ़िगर करने से पहले, आपको इन ज़रूरी शब्दों और कॉन्सेप्ट के बारे में जानकारी होनी चाहिए:

शब्द	परिभाषा
CA	सर्टिफ़िकेट देने वाली संस्था. Symantec या VeriSign जैसी भरोसेमंद इकाई, सर्टिफ़िकेट जारी करने और सर्टिफ़िकेट की पुष्टि करने के लिए इस्तेमाल की जाती है. सर्विस के लिए खुद से हस्ताक्षर किया गया सर्टिफ़िकेट, एक तरह का सर्टिफ़िकेट है. इसके लिए, सीए की ज़रूरत नहीं होती.
सर्टिफ़िकेट चेन	आम तौर पर, आपके पास ऐसा सर्टिफ़िकेट नहीं होगा जिस पर सीए की रूट निजी कुंजी से हस्ताक्षर किया गया हो. इसके बजाय, आपके पास एक या उससे ज़्यादा इंटरमीडियरी सर्टिफ़िकेट के साथ-साथ आपका सर्टिफ़िकेट भी होता है, जो एक चेन बनाते हैं. चेन में मौजूद आखिरी इंटरमीडियरी सर्टिफ़िकेट पर, आम तौर पर सीए की रूट निजी पासकोड से हस्ताक्षर किया जाता है.
सीएसआर	सर्टिफ़िकेट पर हस्ताक्षर करने का अनुरोध. सीएसआर, निजी पासकोड के आधार पर TLS सर्वर पर जनरेट की गई एक फ़ाइल होती है. सीएसआर में सार्वजनिक पासकोड और संगठन का नाम, जगह, और डोमेन नेम जैसी अन्य जानकारी शामिल होती है. सीए, TLS सर्टिफ़िकेट बनाने के लिए सीएसआर पर हस्ताक्षर करता है. आम तौर पर, सीएसआर तब जनरेट किया जाता है, जब आपके पास समयसीमा खत्म हो चुके सर्टिफ़िकेट का रिन्यूअल कराना हो. ध्यान दें: Apigee आपके लिए सीएसआर नहीं बनाता. सीएसआर बनाने की ज़िम्मेदारी आपकी है. ज़्यादा जानकारी के लिए, निजी कुंजी बनाने और सीएसआर जनरेट करने का तरीका देखें.
DER	अलग-अलग एन्कोडिंग के नियम. DER फ़ॉर्मैट, ASCII PEM फ़ॉर्मैट के बजाय, सर्टिफ़िकेट का बाइनरी फ़ॉर्मैट होता है. कभी-कभी इसका फ़ाइल एक्सटेंशन .der होता है, लेकिन अक्सर इसका फ़ाइल एक्सटेंशन .cer होता है. DER .cer फ़ाइल और PEM .cer फ़ाइल के बीच का अंतर बताने का सिर्फ़ एक तरीका है. इसके लिए, फ़ाइल को टेक्स्ट एडिटर में खोलें और `BEGIN` और `END` स्टेटमेंट देखें. सभी तरह के सर्टिफ़िकेट और निजी पासकोड को DER फ़ॉर्मैट में कोड में बदला जा सकता है. आम तौर पर, DER का इस्तेमाल Java प्लैटफ़ॉर्म के साथ किया जाता है. ध्यान दें: DER फ़ॉर्मैट में मौजूद सर्टिफ़िकेट, नॉर्थबाउंड कनेक्शन पर Apigee के साथ काम नहीं करते. Apigee में इसका इस्तेमाल करने से पहले, इसे PEM या PFX फ़ॉर्मैट में बदलें. ज़्यादा जानकारी के लिए, सर्टिफ़िकेट के लिए इस्तेमाल किए जा सकने वाले फ़ाइल फ़ॉर्मैट देखें.
कुंजी का दूसरा नाम	कुंजी का उपनाम, कीस्टोर में मौजूद कुंजी की एंट्री (TLS सर्टिफ़िकेट और उससे जुड़ी निजी कुंजी) की खास तौर पर पहचान करता है. Apigee Edge में, यूज़र इंटरफ़ेस (यूआई) या एपीआई का इस्तेमाल करके, पासकोड स्टोर में सर्टिफ़िकेट/पासकोड अपलोड करने पर, `KeyAlias` को `alias` कहा जाता है.
Keystore	कीस्टोर एक ऐसा डेटा स्टोर है जिसमें एक या एक से ज़्यादा टीएलएस सर्टिफ़िकेट और उनसे जुड़ी निजी कुंजी होती है. इसका इस्तेमाल, क्लाइंट और सर्वर के बीच टीएलएस हैंडशेक के दौरान इकाई की पहचान करने के लिए किया जाता है. नॉर्थबाउंड कनेक्शन पर, राऊटर, सर्वर के तौर पर काम करता है और उसका सर्टिफ़िकेट, Apigee Edge के पास मौजूद पासकोड स्टोर में सेव होता है. साउथबाउंड कनेक्शन पर, मैसेज प्रोसेसर क्लाइंट के तौर पर और बैकएंड सर्वर, सर्वर के तौर पर काम करता है. क्लाइंट सर्टिफ़िकेट और उसकी निजी कुंजी, Apigee Edge के कीस्टोर में सेव की जाती है. ध्यान दें: पासकोड में सर्टिफ़िकेट और उससे जुड़ी निजी पासकोड, दोनों को शामिल करना ज़रूरी है.
P7B	आम तौर पर, PKCS #7 या P7B फ़ॉर्मैट को Base64 ASCII फ़ॉर्मैट में सेव किया जाता है. साथ ही, इसका फ़ाइल एक्सटेंशन .p7b या .p7c होता है. P7B सर्टिफ़िकेट में `-----BEGIN PKCS7-----` और `-----END PKCS7-----` स्टेटमेंट होते हैं. P7B फ़ाइल में सिर्फ़ सर्टिफ़िकेट और चेन सर्टिफ़िकेट होते हैं, न कि निजी पासकोड. ध्यान दें: Apigee, नॉर्थबाउंड पर PKCS7 फ़ॉर्मैट में सर्टिफ़िकेट का इस्तेमाल नहीं करता. Apigee में इसका इस्तेमाल करने से पहले, इसे PEM या PFX फ़ॉर्मैट में बदलें. ज़्यादा जानकारी के लिए, सर्टिफ़िकेट के लिए इस्तेमाल किए जा सकने वाले फ़ाइल फ़ॉर्मैट देखें.
PEM	निजता को बेहतर बनाने वाला मेल (PEM) फ़ॉर्मैट, टेक्स्ट पर आधारित ASCII फ़ॉर्मैट है. यह बाइनरी डिस्टिंगुइश्ड कोडिंग रूल्स (DER) फ़ॉर्मैट का Base64 कोड में बदला गया तरीका है. PEM सर्टिफ़िकेट को किसी भी टेक्स्ट एडिटर में खोला जा सकता है. साथ ही, सर्टिफ़िकेट का असल कॉन्टेंट, `-----BEGIN CERTIFICATE-----` और `-----END CERTIFICATE-----` स्टेटमेंट के बीच में होता है. यह सर्टिफ़िकेट, सर्टिफ़िकेट चेन या निजी पासकोड को सेव करने के लिए, X.509 फ़ॉर्मैट का पालन करता है. अगर आपका सर्टिफ़िकेट या निजी कुंजी, PEM फ़ाइल के तौर पर सेट नहीं है, तो OpenSSL जैसी सुविधाओं का इस्तेमाल करके, इसे PEM फ़ाइल में बदला जा सकता है.
PKCS #12/PFX	ध्यान दें: Apigee, अपलोड की गई PKCS12 पासकोड और सर्टिफ़िकेट को PEM फ़ॉर्मैट में बदल देता है. हमारा सुझाव है कि अगर हो सके, तो सिर्फ़ PEM फ़ॉर्मैट की फ़ाइलों का इस्तेमाल करें. ज़्यादा जानकारी के लिए, सर्टिफ़िकेट के लिए इस्तेमाल किए जा सकने वाले फ़ाइल फ़ॉर्मैट देखें. पीकेसीएस #12 या PFX फ़ॉर्मैट, बाइनरी फ़ॉर्मैट है. इसका इस्तेमाल करके, एन्क्रिप्ट की जा सकने वाली एक फ़ाइल में, सर्वर सर्टिफ़िकेट, किसी भी इंटरमीडियरी सर्टिफ़िकेट, और निजी पासकोड को सेव किया जा सकता है. आम तौर पर, PFX फ़ाइलों में .pfx और .p12 जैसे एक्सटेंशन होते हैं. आम तौर पर, PFX फ़ाइलों का इस्तेमाल Windows मशीनों पर, सर्टिफ़िकेट और निजी पासकोड को इंपोर्ट और एक्सपोर्ट करने के लिए किया जाता है.
निजी पासकोड	इसका इस्तेमाल, TLS सर्वर पर डेटा को डिक्रिप्ट करने के लिए किया जाता है. निजी कुंजी सिर्फ़ TLS सर्वर के पास होती है. इसे TLS क्लाइंट के साथ शेयर नहीं किया जाता.
सार्वजनिक कुंजी	इसका इस्तेमाल, TLS क्लाइंट से TLS सर्वर पर भेजे गए डेटा को एन्क्रिप्ट (सुरक्षित) करने के लिए किया जाता है. सार्वजनिक पासकोड, सर्टिफ़िकेट में शामिल है. सभी TLS क्लाइंट के पास सर्वर की सार्वजनिक कुंजी की कॉपी होती है.
रेफ़रंस	रेफ़रंस, पासकोड के लिए एक लेवल का इनडायरेक्ट तरीके से ऐक्सेस देते हैं. इसलिए, पासकोड में बदलाव करने पर, वर्चुअल होस्ट को अपडेट करने की ज़रूरत नहीं होती. ऐसा तब तक होता है, जब तक एक ही रेफ़रंस और पासकोड का दूसरा नाम इस्तेमाल किया जाता है. इससे, आपको इन बदलावों को खुद करने में मदद मिलती है. साथ ही, Apigee की सहायता टीम पर निर्भरता भी कम होती है.
खुद हस्ताक्षर किया हुआ सर्टिफ़िकेट	ऐसा सर्टिफ़िकेट जिस पर भरोसेमंद सीए का हस्ताक्षर न हो. जारी करने वाला और विषय एक ही है. इन पर, उसी निजी पासकोड से हस्ताक्षर किया जाता है जो इनमें मौजूद सार्वजनिक पासकोड से मेल खाता है.
SNI	सर्वर नेम इंंडिकेशन. इसकी मदद से, एक ही आईपी पते और पोर्ट से कई एचटीटीपीएस टारगेट दिखाए जा सकते हैं. इसके लिए, टारगेट को एक ही सर्टिफ़िकेट का इस्तेमाल करने की ज़रूरत नहीं होती.
टीएलएस सर्टिफ़िकेट	एक डिजिटल फ़ाइल, जो TLS लेन-देन में किसी इकाई की पहचान करती है. सर्टिफ़िकेट या cert का इस्तेमाल, TLS कॉन्फ़िगरेशन के आधार पर, TLS सर्वर और TLS क्लाइंट की पहचान करने के लिए किया जा सकता है.
Truststore	इसमें, टीएलएस क्लाइंट पर भरोसेमंद सर्टिफ़िकेट होते हैं. इनका इस्तेमाल, क्लाइंट को दिखाए गए टीएलएस सर्वर के सर्टिफ़िकेट की पुष्टि करने के लिए किया जाता है. आम तौर पर, ये सर्टिफ़िकेट खुद पर हस्ताक्षर किए गए सर्टिफ़िकेट होते हैं या ऐसे सर्टिफ़िकेट होते हैं जिन पर भरोसेमंद सीए ने हस्ताक्षर नहीं किया है. नॉर्थबाउंड कनेक्शन पर, क्लाइंट ऐप्लिकेशन के सर्टिफ़िकेट, Apigee Edge के ट्रस्टस्टोर में सेव किए जाते हैं. इसकी ज़रूरत सिर्फ़ तब होती है, जब आपने क्लाइंट और Apigee के बीच दोतरफ़ा TLS कॉन्फ़िगर किया हो. साउथबाउंड कनेक्शन पर, बैकएंड सर्वर के सर्टिफ़िकेट, Apigee Edge के ट्रस्टस्टोर में सेव किए जाते हैं. अगर आपको Apigee Edge और बैकएंड सर्वर के बीच, एकतरफ़ा या दोतरफ़ा TLS कम्यूनिकेशन में, Apigee Edge में बैकएंड के सर्टिफ़िकेट की पुष्टि करनी है, तो ऐसा करना ज़रूरी है. Apigee Edge में, ट्रस्टस्टोर ऑब्जेक्ट अलग से नहीं होता. इसलिए, ट्रस्टस्टोर को एक पासकोड के तौर पर बनाया जाता है. हालांकि, जहां भी इसका इस्तेमाल किया जाता है वहां इसका रेफ़रंस ट्रस्टस्टोर के तौर पर दिया जाता है. उदाहरण के लिए, वर्चुअल होस्ट, टारगेट एंडपॉइंट, टारगेट सर्वर वगैरह में. ध्यान दें: ट्रस्टस्टोर में निजी कुंजी अपलोड न करें, क्योंकि इसकी ज़रूरत नहीं है.
वर्चुअल होस्ट	वर्चुअल होस्ट क्लाइंट ऐप्लिकेशन के लिए Apigee API एंडपॉइंट दिखाता है. यह एक ऐसी इकाई है जो एक ही सर्वर (या सर्वर के पूल) पर, कई डोमेन नेम को होस्ट करने में मदद करती है. साथ ही, हर नेम को अलग-अलग मैनेज करती है. इससे एक सर्वर, अपने संसाधनों को शेयर कर सकता है. जैसे, मेमोरी और प्रोसेसर साइकल. इसके लिए, यह ज़रूरी नहीं है कि सभी सेवाएं एक ही होस्ट नेम का इस्तेमाल करें. वर्चुअल होस्ट, एचटीटीपी या एचटीटीपीएस (एसएसएल चालू) ट्रैफ़िक में से किसी एक को दिखा सकता है. एसएसएल की सुविधा वाले वर्चुअल होस्ट को, एक-तरफ़ा या दो-तरफ़ा टीएलएस मोड में कॉन्फ़िगर किया जा सकता है. इसे इनके साथ कॉन्फ़िगर किया जाता है: एक या उससे ज़्यादा होस्टनेम (एपीआई एंडपॉइंट का डीएनएस नेम). पोर्ट कीस्टोर कीस्टोर में मौजूद सर्वर सर्टिफ़िकेट में से किसी एक की पहचान करने के लिए, कुंजी का उपनाम. इसके अलावा, दोतरफ़ा टीएलएस (जहां क्लाइंट की पुष्टि करने की सुविधा चालू है) में ट्रस्टस्टोर भी इस्तेमाल किया जा सकता है.

एकतरफ़ा TLS/SSL

नीचे दिए गए इलस्ट्रेशन में, TLS क्लाइंट और TLS सर्वर के बीच एकतरफ़ा पुष्टि के लिए, TLS/SSL हैंडशेकिंग की प्रोसेस दिखाई गई है:

एकतरफ़ा टीएलएस कॉन्फ़िगरेशन में, हैंडशेक इस तरह होता है:

क्लाइंट, सर्वर को सेशन का अनुरोध भेजता है.
सर्वर, एक सर्टिफ़िकेट के साथ जवाब देता है. इसमें उसकी सार्वजनिक पासकोड होती है. यह सर्टिफ़िकेट सर्वर के कीस्टोर से मिलता है. इसमें सर्वर की निजी कुंजी भी होती है. निजी कुंजी को कभी भी क्लाइंट को नहीं भेजा जाता.
हस्ताक्षर किए गए सर्टिफ़िकेट के लिए, क्लाइंट ऐसे ट्रस्टस्टोर का इस्तेमाल करता है जिसमें सर्वर सर्टिफ़िकेट और सार्वजनिक कुंजियां शामिल होती हैं. इससे यह पुष्टि की जाती है कि सर्टिफ़िकेट चेन पर, भरोसेमंद सर्टिफ़िकेट देने वाली संस्था (सीए) का हस्ताक्षर है.
कुंजियों की पुष्टि करने के लिए, क्लाइंट और सर्वर एक-दूसरे के साथ कई मैसेज शेयर करते हैं.
क्लाइंट, सर्वर के साथ TLS डेटा ट्रांसफ़र शुरू करता है.

नीचे दी गई इमेज में, क्लाइंट पर किसी वैकल्पिक ट्रस्टस्टोर का इस्तेमाल करके, टीएलएस/एसएसएल हैंडशेकिंग की प्रोसेस दिखाई गई है:

अगर टीएलएस सर्वर, खुद के हस्ताक्षर वाले सर्टिफ़िकेट या ऐसे सर्टिफ़िकेट का इस्तेमाल करता है जिस पर किसी भरोसेमंद सीए ने हस्ताक्षर नहीं किया है, तो आपको क्लाइंट पर ट्रस्टस्टोर बनाना होगा. क्लाइंट अपने ट्रस्टस्टोर में, उन सर्वर सर्टिफ़िकेट और सार्वजनिक कुंजियों को भरता है जिन पर उसे भरोसा है. जब क्लाइंट को कोई सर्टिफ़िकेट मिलता है, तो आने वाले सर्टिफ़िकेट की पुष्टि, ट्रस्टस्टोर में मौजूद सर्टिफ़िकेट के हिसाब से की जाती है.

एकतरफ़ा TLS में, Edge एक सर्वर या क्लाइंट के तौर पर काम कर सकता है. इसके बारे में यहां बताया गया है:

Edge को TLS सर्वर के तौर पर इस्तेमाल करना

Edge, TLS एंडपॉइंट को होस्ट करने वाला सर्वर है. यहां TLS एंडपॉइंट, वर्चुअल होस्ट पर डिप्लॉय की गई एपीआई प्रॉक्सी से जुड़ा होता है. क्लाइंट एक ऐसा ऐप्लिकेशन है जो एपीआई प्रॉक्सी को ऐक्सेस करने की कोशिश कर रहा है. इस मामले में, Edge में कीस्टोर होता है, जिसमें सर्टिफ़िकेट और निजी पासकोड होता है.
Edge को TLS क्लाइंट के तौर पर इस्तेमाल करना

Edge, बैकएंड सेवा को ऐक्सेस करने वाले क्लाइंट के तौर पर काम करता है. इस मामले में, बैकएंड सेवा, उस सर्वर से जुड़ी होती है जो TLS एंडपॉइंट को होस्ट करता है. इसलिए, बैकएंड सर्वर में एक पासकोड स्टोर होता है, जिसमें उसका सर्टिफ़िकेट और निजी पासकोड होता है.

दोतरफ़ा टीएलएस

नीचे दिए गए इलस्ट्रेशन में, क्लाइंट और सर्वर के बीच दोतरफ़ा TLS पुष्टि के लिए, TLS/SSL हैंडशेक दिखाया गया है:

दो-तरफ़ा टीएलएस में हैंडशेक इस तरह होता है:

क्लाइंट और सर्वर, दोनों के पास अपनी अलग-अलग कीस्टोर होती हैं. क्लाइंट के पास मौजूद कीस्टोर में उसका सर्टिफ़िकेट और निजी पासकोड होता है. साथ ही, सर्वर के पास मौजूद कीस्टोर में उसका सर्टिफ़िकेट और निजी पासकोड होता है.
TLS सर्वर, अपनी पुष्टि करने के लिए TLS क्लाइंट को अपना सर्टिफ़िकेट दिखाता है. इसके बाद, क्लाइंट, सर्वर को अपना सर्टिफ़िकेट भेजने से पहले, सर्वर की पहचान की पुष्टि करता है.
TLS क्लाइंट, TLS सर्वर को अपना सर्टिफ़िकेट दिखाता है, ताकि वह खुद की पुष्टि कर सके.

इस इमेज में, वैकल्पिक ट्रस्टस्टोर का इस्तेमाल करके टीएलएस हैंडशेक की प्रोसेस दिखाई गई है:

इस स्थिति में, हैंडशेक इस तरह होता है:

अगर टीएलएस सर्वर, खुद के हस्ताक्षर वाले सर्टिफ़िकेट या ऐसे सर्टिफ़िकेट का इस्तेमाल करता है जिस पर किसी भरोसेमंद सीए ने हस्ताक्षर नहीं किया है, तो आपको क्लाइंट पर ट्रस्टस्टोर बनाना होगा. क्लाइंट के ट्रस्टस्टोर में, सर्वर के सर्टिफ़िकेट की कॉपी होती है. TLS हैंडशेक के दौरान, क्लाइंट अपने ट्रस्टस्टोर में मौजूद सर्टिफ़िकेट की तुलना, सर्वर से भेजे गए सर्टिफ़िकेट से करता है. इससे सर्वर की पहचान की पुष्टि की जाती है.
अगर TLS क्लाइंट, खुद के हस्ताक्षर वाले सर्टिफ़िकेट या ऐसे सर्टिफ़िकेट का इस्तेमाल करता है जिस पर किसी भरोसेमंद सीए ने हस्ताक्षर नहीं किया है, तो आपको सर्वर पर ट्रस्टस्टोर बनाना होगा.सर्वर के ट्रस्टस्टोर में, क्लाइंट के सर्टिफ़िकेट की कॉपी होती है. TLS हैंडशेक के दौरान, सर्वर अपने ट्रस्टस्टोर में मौजूद सर्टिफ़िकेट की तुलना, क्लाइंट से भेजे गए सर्टिफ़िकेट से करता है. इससे क्लाइंट की पहचान की पुष्टि की जाती है.

क्लाइंट या सर्वर या दोनों, ट्रस्टस्टोर का इस्तेमाल कर सकते हैं.

दो-तरफ़ा TLS में, Edge इनमें से कोई एक हो सकता है:

Edge को सर्वर के तौर पर इस्तेमाल करना

Edge, TLS एंडपॉइंट को होस्ट करने वाला सर्वर है. यहां TLS एंडपॉइंट, एपीआई प्रॉक्सी से जुड़ा होता है. क्लाइंट एक ऐसा ऐप्लिकेशन है जो एपीआई प्रॉक्सी को ऐक्सेस करने की कोशिश कर रहा है. इस स्थिति में, Edge में एक ऐसा कीस्टोर होता है जिसमें सर्टिफ़िकेट और निजी पासकोड होता है. साथ ही, इसमें एक ट्रस्टस्टोर की ज़रूरत होती है, जिसमें क्लाइंट का सर्टिफ़िकेट और सीए चेन होती है.
एज को क्लाइंट के तौर पर इस्तेमाल करना

Edge, बैकएंड सेवा को ऐक्सेस करने वाले क्लाइंट के तौर पर काम करता है. इस मामले में, बैकएंड सेवा, TLS एंडपॉइंट को होस्ट करने वाले सर्वर से जुड़ी होती है. इसलिए, बैकएंड सर्वर में एक पासकोड स्टोर होता है, जिसमें उसका सर्टिफ़िकेट और निजी पासकोड होता है.

Edge को एक पासकोड स्टोर भी तय करना होगा. इसमें वह सर्टिफ़िकेट शामिल होना चाहिए जिसकी मदद से, बैकएंड सेवा की पुष्टि की जा सके. इसके अलावा, अगर सर्वर में अपने-आप हस्ताक्षर करने वाला सर्टिफ़िकेट या ऐसा सर्टिफ़िकेट इस्तेमाल किया जाता है जिस पर भरोसेमंद सीए ने हस्ताक्षर नहीं किया है, तो बैकएंड सर्वर का सर्टिफ़िकेट शामिल करने वाला ट्रस्टस्टोर भी शामिल किया जा सकता है.

यह ध्यान रखना ज़रूरी है कि Edge, दोतरफ़ा TLS का इस्तेमाल करने के लिए काफ़ी फ़्लेक्सिबल है. भले ही, आपने इसे कॉन्फ़िगर करने का कोई भी तरीका चुना हो.

एसएनआई (स्ट्रिंग नेम आईडी) के साथ काम करना

Edge, एपीआई प्रॉक्सी से Edge तक सर्वर नेम इंडिकेशन (SNI) का इस्तेमाल करता है. यहां Edge, TLS सर्वर के तौर पर काम करता है. साथ ही, Edge से टारगेट एंडपॉइंट तक, Edge TLS क्लाइंट के तौर पर काम करता है. यह सुविधा, Cloud और निजी क्लाउड, दोनों इंस्टॉलेशन में काम करती है.

एसएनआई, TLS/एसएसएल का एक्सटेंशन है. इसकी मदद से, एक ही आईपी पते और पोर्ट से कई एचटीटीपीएस टारगेट दिखाए जा सकते हैं. इसके लिए, टारगेट को एक ही सर्टिफ़िकेट का इस्तेमाल करने की ज़रूरत नहीं होती.

ऑन-प्राइमिस इंस्टॉलेशन के लिए एसएनआई चालू करने के बारे में जानकारी पाने के लिए, Edge के साथ एसएनआई का इस्तेमाल करना लेख पढ़ें.

उत्तर की ओर और दक्षिण की ओर

Apigee में, नॉर्थबाउंड का मतलब उस एपीआई एंडपॉइंट से है जिसका इस्तेमाल क्लाइंट ऐप्लिकेशन, एपीआई प्रॉक्सी को कॉल करने के लिए करते हैं. आम तौर पर, रूटर, Apigee Edge का एंट्री पॉइंट होता है और यह Apigee Edge पर आने वाले अनुरोधों को मैनेज करता है. इसलिए, Apigee में क्लाइंट ऐप्लिकेशन और Apigee Edge (राउटर) के बीच कम्यूनिकेशन के लिए इस्तेमाल किए जाने वाले एंडपॉइंट को नॉर्थबाउंड कहा जाता है.

Apigee में, साउथबाउंड का मतलब उस टारगेट एंडपॉइंट से है जिसका इस्तेमाल Apigee, बैकएंड सर्वर के साथ कम्यूनिकेट करने के लिए करता है. इसलिए, Apigee में Apigee Edge (मैसेज प्रोसेसर) और बैकएंड सर्वर के बीच कम्यूनिकेशन के लिए इस्तेमाल किए जाने वाले एंडपॉइंट को साउथबाउंड कहा जाता है. मैसेज प्रोसेसर, Apigee Edge का एक कॉम्पोनेंट है. यह एपीआई अनुरोधों को बैकएंड के टारगेट सर्वर पर भेजता है.

इस इमेज में, Apigee Edge के लिए उत्तर और दक्षिण की ओर के कनेक्शन दिखाए गए हैं:

उत्तर और दक्षिण की ओर जाने वाली बसें. क्लाइंट ऐप्लिकेशन से राऊटर तक का ट्रैफ़िक, नॉर्थबाउंड होता है. इसके बाद, मैसेज प्रोसेसर पर जाएं. मैसेज प्रोसेसर से बैकएंड सर्वर, दक्षिण की ओर है.