Edge यूज़र इंटरफ़ेस (यूआई) का इस्तेमाल करके कीस्टोर और ट्रस्टस्टोर बनाना

Apigee Edge के दस्तावेज़ देखे जा रहे हैं.
Apigee X के दस्तावेज़. जानकारी पर जाएं

इस दस्तावेज़ में बताया गया है कि Cloud के लिए Edge और निजी क्लाउड के 4.18.01 और इसके बाद के वर्शन के लिए Edge के लिए, कीस्टोर और ट्रस्टस्टोर कैसे बनाएं, उनमें बदलाव करें, और उन्हें मिटाएं.

Edge Cloud के लिए कीस्टोर/ट्रस्टस्टोर और वर्चुअल होस्ट के बारे में जानकारी

Edge Cloud के लिए कीस्टोर/ट्रस्टस्टोर बनाने की प्रोसेस के लिए, आपको वर्चुअल होस्ट का इस्तेमाल करने से जुड़े सभी नियमों का पालन करना होगा. उदाहरण के लिए, क्लाउड में वर्चुअल होस्ट के साथ:

  • वर्चुअल होस्ट को TLS का इस्तेमाल करना ज़रूरी है.
  • वर्चुअल होस्ट सिर्फ़ पोर्ट 443 का इस्तेमाल कर सकते हैं.
  • आपको हस्ताक्षर किए गए TLS सर्टिफ़िकेट का इस्तेमाल करना होगा. जिन सर्टिफ़िकेट पर कोई हस्ताक्षर नहीं किया गया है उन्हें क्लाउड में वर्चुअल होस्ट के साथ इस्तेमाल नहीं किया जा सकता.
  • TLS सर्टिफ़िकेट से बताया गया डोमेन नेम, वर्चुअल होस्ट के होस्ट के अन्य नाम से मेल खाना चाहिए.

ज़्यादा जानें:

Edge में कीस्टोर और ट्रस्टस्टोर लागू करना

सार्वजनिक पासकोड इन्फ़्रास्ट्रक्चर (जैसे कि TLS) का इस्तेमाल करने वाले फ़ंक्शन को कॉन्फ़िगर करने के लिए, आपको ऐसे कीस्टोर और ट्रस्टस्टोर बनाने होंगे जिनमें ज़रूरी कुंजियां और डिजिटल सर्टिफ़िकेट शामिल हैं.

Edge में, कीस्टोर और ट्रस्टस्टोर दोनों को एक कीस्टोर इकाई के तौर पर दिखाया जाता है जिसमें एक या एक से ज़्यादा उपनाम होते हैं. इसका मतलब है कि Edge पर ट्रस्टस्टोर और कीस्टोर के बीच, लागू करने में कोई अंतर नहीं है.

कीस्टोर और ट्रस्टस्टोर के बीच का अंतर, इस बात से पता चलता है कि उनमें किस तरह की एंट्री मौजूद हैं और TLS हैंडशेकिंग में उनका इस्तेमाल कैसे किया जाता है:

  • कीस्टोर - कीस्टोर वाली ऐसी इकाई जिसमें एक या उससे ज़्यादा उपनाम होते हैं. साथ ही, हर उपनाम में एक सर्टिफ़िकेट/कुंजी का जोड़ा होता है.
  • ट्रस्टस्टोर - एक कीस्टोर इकाई जिसमें एक या इससे ज़्यादा उपनाम होते हैं, जहां हर उपनाम में सिर्फ़ एक सर्टिफ़िकेट होता है.

किसी वर्चुअल होस्ट या टारगेट एंडपॉइंट के लिए TLS को कॉन्फ़िगर करते समय, कीस्टोर और ट्रस्टस्टोर TLS हैंडशेकिंग की प्रोसेस में अलग-अलग भूमिकाएं देते हैं. किसी वर्चुअल होस्ट या टारगेट एंडपॉइंट को कॉन्फ़िगर करते समय, आपको <SSLInfo> टैग में कीस्टोर और ट्रस्टस्टोर अलग-अलग तय करने होते हैं. जैसा कि वर्चुअल होस्ट के लिए नीचे दिखाया गया है:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>false</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
    </SSLInfo>
</VirtualHost>

इस उदाहरण में, आपको उस कीस्टोर और उपनाम का नाम बताना है जिसका इस्तेमाल वर्चुअल होस्ट अपने TLS कीस्टोर के लिए करता है. कीस्टोर का नाम बताने के लिए रेफ़रंस का इस्तेमाल किया जाता है, ताकि सर्टिफ़िकेट की समयसीमा खत्म होने पर, इसे बदला जा सके. उपनाम में एक सर्टिफ़िकेट/कुंजी का जोड़ा होता है. इसका इस्तेमाल, वर्चुअल होस्ट को ऐक्सेस करने वाले TLS क्लाइंट को वर्चुअल होस्ट की पहचान करने के लिए किया जाता है. इस उदाहरण में, किसी ट्रस्टस्टोर की ज़रूरत नहीं है.

अगर ट्रस्टस्टोर की ज़रूरत है, तो ट्रस्टस्टोर के बारे में बताने के लिए <TrustStore> टैग का इस्तेमाल करें, जैसे कि दो-तरफ़ा TLS कॉन्फ़िगरेशन के लिए:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>true</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
        <TrustStore>ref://truststoreref</TrustStore>
    </SSLInfo>
</VirtualHost>

इस उदाहरण में, <TrustStore> टैग सिर्फ़ कीस्टोर के बारे में बताता है, यह किसी खास उपनाम के बारे में नहीं बताता. कीस्टोर में मौजूद हर उपनाम में एक सर्टिफ़िकेट या एक सर्टिफ़िकेट चेन शामिल होती है, जिसका इस्तेमाल TLS हैंडशेकिंग की प्रोसेस के हिस्से के रूप में किया जाता है.

इस्तेमाल किए जा सकने वाले सर्टिफ़िकेट के फ़ॉर्मैट

फ़ॉर्मैट एपीआई और यूज़र इंटरफ़ेस (यूआई) अपलोड करने की सुविधा काम करती है उत्तर की ओर समर्थित पुष्टि की गई
PEM हां हां हां
* PKCS12 हां हां हां
ध्यान दें: Apigee, अंदरूनी तौर पर
PKCS12 को PEM में बदलता है.
* DER नहीं नहीं हां
* PKCS7 नहीं नहीं नहीं

* हमारा सुझाव है कि अगर हो सके, तो PEM इस्तेमाल करें.

उपनाम लागू करने के बारे में जानकारी

Edge पर, किसी कीस्टोर में एक या इससे ज़्यादा ALIAS होते हैं, जिनमें हर उपनाम में ये शामिल होते हैं:

  • PEM या PKCS12/PFX फ़ाइल के तौर पर TLS सर्टिफ़िकेट - सर्टिफ़िकेट देने वाली संस्था (CA) के हस्ताक्षर वाला सर्टिफ़िकेट, यह ऐसी फ़ाइल है जिसमें सर्टिफ़िकेट की ऐसी चेन होती है जिसमें आखिरी सर्टिफ़िकेट पर सीए का हस्ताक्षर होता है या खुद हस्ताक्षर किया हुआ सर्टिफ़िकेट.
  • निजी कुंजी को PEM या PKCS12/PFX फ़ाइल के तौर पर इस्तेमाल करें. Edge, 2048 बिट तक के कुंजी साइज़ के साथ काम करता है. लंबा पासवर्ड इस्तेमाल करना ज़रूरी नहीं है.

Edge पर, किसी truststore में एक या इससे ज़्यादा ALIAS होते हैं, जहां हर उपनाम में एक:

  • PEM फ़ाइल के तौर पर TLS सर्टिफ़िकेट - या तो सर्टिफ़िकेट देने वाली संस्था (सीए) के हस्ताक्षर वाला सर्टिफ़िकेट, यह सर्टिफ़िकेट की ऐसी चेन है जहां आखिरी सर्टिफ़िकेट पर सीए का हस्ताक्षर होता है या खुद हस्ताक्षर किया हुआ सर्टिफ़िकेट.

Edge, ऐसा यूज़र इंटरफ़ेस (यूआई) और एपीआई देता है जिसका इस्तेमाल कीस्टोर बनाने, उपनाम बनाने, सर्टिफ़िकेट/कुंजी के जोड़े अपलोड करने, और सर्टिफ़िकेट अपडेट करने के लिए किया जाता है. ट्रस्टस्टोर बनाने के लिए जिस यूज़र इंटरफ़ेस (यूआई) और एपीआई का इस्तेमाल किया जाता है उसी तरह कीस्टोर बनाने के लिए भी इस्तेमाल किया जाता है. अंतर यह है कि जब कोई ट्रस्टस्टोर बनाया जाता है, तो उसमें ऐसे उपनाम बनाए जाते हैं जिनमें सिर्फ़ एक सर्टिफ़िकेट होता है.

प्रमाणपत्र और कुंजी फ़ाइलों के फ़ॉर्मैट के बारे में

सर्टिफ़िकेट और कुंजियों को PEM फ़ाइलों या PKCS12/PFX फ़ाइलों के तौर पर दिखाया जा सकता है. PEM फ़ाइलें, X.509 फ़ॉर्मैट का पालन करती हैं. अगर आपके सर्टिफ़िकेट या निजी पासकोड को PEM फ़ाइल ने तय नहीं किया है, तो openssl जैसी सुविधाओं का इस्तेमाल करके, उसे PEM फ़ाइल में बदला जा सकता है.

हालांकि, कई .crt फ़ाइलें और .key फ़ाइलें पहले से ही PEM फ़ॉर्मैट में होती हैं. अगर ये फ़ाइलें टेक्स्ट फ़ाइलें हैं और इनके बीच में हैं:

-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----

या:

-----BEGIN ENCRYPTED PRIVATE KEY-----
-----END ENCRYPTED PRIVATE KEY-----

इसके बाद, फ़ाइलें PEM फ़ॉर्मैट के साथ काम करती हैं और उन्हें किसी कीस्टोर या ट्रस्टस्टोर में इस्तेमाल किया जा सकता है. इसके लिए, उन्हें PEM फ़ाइल में बदलना ज़रूरी नहीं है.

सर्टिफ़िकेट चेन के बारे में जानकारी

अगर कोई सर्टिफ़िकेट किसी चेन का हिस्सा है, तो उसे अलग-अलग तरीके से हैंडल किया जाता है. यह इस बात पर निर्भर करता है कि सर्टिफ़िकेट का इस्तेमाल कीस्टोर में किया गया है या ट्रस्टस्टोर में:

  • कीस्टोर - अगर कोई सर्टिफ़िकेट किसी चेन का हिस्सा है, तो आपको चेन में सभी सर्टिफ़िकेट वाली एक फ़ाइल बनानी होगी. सर्टिफ़िकेट, क्रम में होने चाहिए. साथ ही, आखिरी सर्टिफ़िकेट, रूट सर्टिफ़िकेट या इंटरमीडिएट सर्टिफ़िकेट होना चाहिए, जिस पर रूट सर्टिफ़िकेट ने हस्ताक्षर किया हो.
  • Truststore - अगर कोई सर्टिफ़िकेट किसी चेन का हिस्सा है, तो आपको या तो सभी सर्टिफ़िकेट वाली एक फ़ाइल बनानी होगी और उस फ़ाइल को किसी उपनाम पर अपलोड करना होगा या चेन के सभी सर्टिफ़िकेट को हर सर्टिफ़िकेट के लिए एक अलग उपनाम का इस्तेमाल करके, ट्रस्टस्टोर में अलग-अलग अपलोड करना होगा. अगर सर्टिफ़िकेट को एक सर्टिफ़िकेट के तौर पर अपलोड किया जाता है, तो सर्टिफ़िकेट एक क्रम में होने चाहिए. साथ ही, आखिरी सर्टिफ़िकेट, रूट सर्टिफ़िकेट या रूट सर्टिफ़िकेट से हस्ताक्षर किया गया इंटरमीडिएट सर्टिफ़िकेट होना चाहिए.
  • अगर एक से ज़्यादा सर्टिफ़िकेट वाली एक ही फ़ाइल बनाई जाती है, तो आपको हर सर्टिफ़िकेट के बीच एक खाली लाइन डालनी होगी.

उदाहरण के लिए, सभी सर्टिफ़िकेट को एक ही PEM फ़ाइल में जोड़ा जा सकता है. सर्टिफ़िकेट, एक क्रम में होने चाहिए और आखिरी सर्टिफ़िकेट, रूट सर्टिफ़िकेट या रूट सर्टिफ़िकेट से हस्ताक्षर किया गया इंटरमीडिएट सर्टिफ़िकेट होना चाहिए:

-----BEGIN CERTIFICATE----- 
(Your Primary TLS certificate) 
-----END CERTIFICATE----- 

-----BEGIN CERTIFICATE----- 
(Intermediate certificate) 
-----END CERTIFICATE-----
 
-----BEGIN CERTIFICATE----- 
(Root certificate or intermediate certificate signed by a root certificate) 
-----END CERTIFICATE-----

अगर आपके सर्टिफ़िकेट PKCS12/PFX फ़ाइलों के तौर पर दिखाए जाते हैं, तो सर्टिफ़िकेट की चेन से PKCS12/PFX फ़ाइल बनाने के लिए, openssl कमांड का इस्तेमाल करें, जैसा कि यहां दिखाया गया है:

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

किसी ट्रस्टस्टोर में सर्टिफ़िकेट चेन के साथ काम करते समय, आपको हमेशा चेन में मौजूद सभी सर्टिफ़िकेट अपलोड करने की ज़रूरत नहीं होती. उदाहरण के लिए, आपने एक क्लाइंट सर्टिफ़िकेट, client_cert_1, और क्लाइंट सर्टिफ़िकेट जारी करने वाले का सर्टिफ़िकेट, ca_cert अपलोड किया है.

दो-तरफ़ा TLS ऑथेंटिकेशन के दौरान, क्लाइंट की पुष्टि तब होती है, जब सर्वर क्लाइंट को client_cert_1 भेजता है. ऐसा TLS हैंडशेकिंग की प्रोसेस के तहत किया जाता है.

इसके अलावा, आपके पास इसी सर्टिफ़िकेट से हस्ताक्षर किया गया दूसरा सर्टिफ़िकेट client_cert_2 है, ca_cert. हालांकि, आप ट्रस्टस्टोर में client_cert_2 अपलोड नहीं करते. ट्रस्टस्टोर में अब भी सिर्फ़ client_cert_1 और ca_cert हैं.

जब सर्वर, TLS हैंडशेकिंग के तहत client_cert_2 को पास करता है, तो अनुरोध पूरा हो जाता है. इसकी वजह यह है कि Edge, TLS की पुष्टि की अनुमति तब देता है, जब client_cert_2 ट्रस्टस्टोर में मौजूद न हो, लेकिन उसे ट्रस्टस्टोर में मौजूद सर्टिफ़िकेट से साइन किया गया हो. अगर आपने ट्रस्टस्टोर से CA सर्टिफ़िकेट, ca_cert को हटा दिया है, तो TLS की पुष्टि नहीं हो पाएगी.

TLS कीस्टोर पेज के बारे में ज़्यादा जानें

नीचे बताए गए तरीके के मुताबिक, TLS कीस्टोर पेज ऐक्सेस करें.

Edge

Edge के यूज़र इंटरफ़ेस (यूआई) का इस्तेमाल करके, TLS कीस्टोर पेज को ऐक्सेस करने के लिए:

  1. संगठन के एडमिन के तौर पर, https://apigee.com/edge में साइन इन करें.
  2. अपना संगठन चुनें.
  3. एडमिन > एनवायरमेंट > TLS कीस्टोर चुनें.

क्लासिक Edge (प्राइवेट क्लाउड)

क्लासिक एज यूआई का इस्तेमाल करके, TLS कीस्टोर पेज को ऐक्सेस करने के लिए:

  1. http://ms-ip:9000 में संगठन के एडमिन के तौर पर साइन इन करें. यहां ms-ip, मैनेजमेंट सर्वर नोड का आईपी पता या डीएनएस नाम है.
  2. अपना संगठन चुनें.
  3. एडमिन > एनवायरमेंट कॉन्फ़िगरेशन > TLS कीस्टोर चुनें.

TLS कीस्टोर पेज दिखता है:

जैसा कि पिछले चित्र में बताया गया है, TLS कीस्टोर पेज आपको ये काम करने की सुविधा देता है:

कोई उपनाम देखें

उपनाम देखने के लिए:

  1. TLS कीस्टोर पेज ऐक्सेस करें.
  2. एनवायरमेंट चुनें (आम तौर पर, prod या test).
  3. जिस उपनाम को देखना है उससे जुड़ी पंक्ति पर क्लिक करें.

    उपनाम सर्टिफ़िकेट और कुंजी की जानकारी दिखेगी.

    आपके पास उपनाम की पूरी जानकारी देखने का विकल्प है. इसमें, खत्म होने की तारीख की जानकारी भी शामिल है.

  4. पेज पर सबसे ऊपर दिए गए बटन का इस्तेमाल करके, सर्टिफ़िकेट को मैनेज करें:
    • सर्टिफ़िकेट को PEM फ़ाइल के तौर पर डाउनलोड करें.
    • सीएसआर जनरेट करें. अगर आपके सर्टिफ़िकेट की समयसीमा खत्म हो चुकी है और आपको उसे रिन्यू करना है, तो सर्टिफ़िकेट पर हस्ताक्षर का अनुरोध (सीएसआर) डाउनलोड किया जा सकता है. इसके बाद, नया सर्टिफ़िकेट पाने के लिए, अपने सीए को सीएसआर भेजें.
    • सर्टिफ़िकेट अपडेट करें. चेतावनी: अगर किसी ऐसे सर्टिफ़िकेट को अपडेट किया जाता है जिसका इस्तेमाल फ़िलहाल वर्चुअल होस्ट या टारगेट सर्वर/टारगेट एंडपॉइंट में किया जा रहा है, तो राऊटर और मैसेज प्रोसेसर को रीस्टार्ट करने के लिए, आपको Apigee Edge की सहायता टीम से संपर्क करना होगा. सर्टिफ़िकेट को अपडेट करने के लिए, नीचे दिया गया तरीका अपनाएं:
      1. नया कीस्टोर या ट्रस्टस्टोर बनाएं.
      2. नए कीस्टोर या ट्रस्टस्टोर में नया सर्टिफ़िकेट जोड़ें.
      3. वर्चुअल होस्ट या टारगेट सर्वर/टारगेट एंडपॉइंट में रेफ़रंस को कीस्टोर या ट्रस्टस्टोर में अपडेट करें. ज़्यादा जानकारी के लिए, क्लाउड के लिए TLS सर्टिफ़िकेट अपडेट करना देखें.
      4. उपनाम मिटाएं. ध्यान दें: अगर किसी उपनाम को मिटाया जाता है और फ़िलहाल उसका इस्तेमाल कोई वर्चुअल होस्ट या टारगेट एंडपॉइंट कर रहा है, तो वर्चुअल होस्ट या टारगेट एंडपॉइंट काम नहीं करेगा.

कीस्टोर/ट्रस्टस्टोर और उपनाम बनाना

TLS कीस्टोर या TLS ट्रस्टस्टोर के तौर पर इस्तेमाल करने के लिए, कीस्टोर बनाया जा सकता है. कीस्टोर, खास तौर पर आपके संगठन के किसी एनवायरमेंट के लिए होता है. उदाहरण के लिए, टेस्ट या प्रोडक्शन एनवायरमेंट. इसलिए, अगर आपको अपने प्रोडक्शन एनवायरमेंट में लागू करने से पहले, कीस्टोर को टेस्ट एनवायरमेंट में टेस्ट करना है, तो आपको इसे दोनों एनवायरमेंट में बनाना होगा.

किसी एनवायरमेंट में कीस्टोर बनाने के लिए, आपको सिर्फ़ कीस्टोर का नाम बताना होगा. किसी एनवायरमेंट में नाम वाला कीस्टोर बनाने के बाद, उपनाम बनाए जा सकते हैं. साथ ही, सर्टिफ़िकेट/कुंजी का जोड़ा (कीस्टोर) अपलोड किया जा सकता है या उपनाम में सिर्फ़ सर्टिफ़िकेट (ट्रस्टस्टोर) अपलोड किया जा सकता है.

कीस्टोर बनाने के लिए:

  1. TLS कीस्टोर पेज ऐक्सेस करें.
  2. एनवायरमेंट चुनें (आम तौर पर, prod या test).
  3. + कीस्टोर पर क्लिक करें.
  4. कीस्टोर का नाम तय करें. नाम में सिर्फ़ अक्षर और अंक हो सकते हैं.
  5. कीस्टोर जोड़ें पर क्लिक करें. नया कीस्टोर सूची में दिखाई देगा.
  6. उपनाम जोड़ने के लिए नीचे दी गई प्रक्रियाओं में से किसी एक का इस्तेमाल करें. काम करने वाले सर्टिफ़िकेट फ़ाइल फ़ॉर्मैट भी देखें.

किसी सर्टिफ़िकेट से उपनाम बनाना (सिर्फ़ ट्रस्टस्टोर)

किसी सर्टिफ़िकेट से उपनाम बनाने के लिए:

  1. TLS कीस्टोर पेज ऐक्सेस करें.
  2. ऐक्शन मेन्यू देखने के लिए, कर्सर को कीस्टोर पर रखें और + पर क्लिक करें.
  3. उपनाम बताएं.
  4. सर्टिफ़िकेट की जानकारी वाले सेक्शन में, 'टाइप' ड्रॉप-डाउन में सिर्फ़ सर्टिफ़िकेट चुनें.
  5. सर्टिफ़िकेट फ़ाइल के बगल में मौजूद फ़ाइल चुनें पर क्लिक करें. इसके बाद, उस PEM फ़ाइल पर जाएं जिसमें सर्टिफ़िकेट है और खोलें पर क्लिक करें.
  6. डिफ़ॉल्ट रूप से, एपीआई जांच करके यह पक्का करता है कि सर्टिफ़िकेट की समयसीमा खत्म तो नहीं हुई है. पुष्टि की प्रक्रिया को स्किप करने के लिए, सर्टिफ़िकेट की समयसीमा खत्म होने की अनुमति दें को चुनें.
  7. सर्टिफ़िकेट अपलोड करने और उपनाम बनाने के लिए, सेव करें चुनें.

JAR फ़ाइल से उपनाम बनाना (सिर्फ़ कीस्टोर के लिए)

किसी JAR फ़ाइल से उपनाम बनाने के लिए:

  1. TLS कीस्टोर पेज ऐक्सेस करें.
  2. ऐक्शन मेन्यू देखने के लिए, कर्सर को कीस्टोर पर रखें और + पर क्लिक करें.
  3. उपनाम बताएं.
  4. सर्टिफ़िकेट की जानकारी में जाकर, 'टाइप' ड्रॉप-डाउन में JAR फ़ाइल चुनें.
  5. JAR फ़ाइल के बगल में मौजूद फ़ाइल चुनें पर क्लिक करें. इसके बाद, उस JAR फ़ाइल पर जाएं जिसमें सर्टिफ़िकेट और कुंजी मौजूद है. इसके बाद, खोलें पर क्लिक करें.
  6. अगर कुंजी पर पासवर्ड है, तो पासवर्ड बताएं. अगर कुंजी में पासवर्ड नहीं है, तो इस फ़ील्ड को खाली छोड़ दें.
  7. डिफ़ॉल्ट रूप से, एपीआई जांच करके यह पक्का करता है कि सर्टिफ़िकेट की समयसीमा खत्म तो नहीं हुई है. पुष्टि की प्रक्रिया को स्किप करने के लिए, सर्टिफ़िकेट की समयसीमा खत्म होने की अनुमति दें को चुनें.
  8. कुंजी और सर्टिफ़िकेट अपलोड करने और उपनाम बनाने के लिए, सेव करें चुनें.

किसी सर्टिफ़िकेट और कुंजी से उपनाम बनाना (सिर्फ़ कीस्टोर के लिए)

किसी सर्टिफ़िकेट और कुंजी की मदद से उपनाम बनाने के लिए:

  1. TLS कीस्टोर पेज ऐक्सेस करें.
  2. ऐक्शन मेन्यू देखने के लिए, कर्सर को कीस्टोर पर रखें और + पर क्लिक करें.
  3. उपनाम बताएं.
  4. 'सर्टिफ़िकेट की जानकारी' सेक्शन में, 'टाइप' ड्रॉप-डाउन में सर्टिफ़िकेट और कुंजी चुनें.
  5. सर्टिफ़िकेट फ़ाइल के बगल में मौजूद फ़ाइल चुनें पर क्लिक करें. इसके बाद, उस PEM फ़ाइल पर जाएं जिसमें सर्टिफ़िकेट है और खोलें पर क्लिक करें.
  6. अगर कुंजी में पासवर्ड है, तो कुंजी पासवर्ड बताएं. अगर कुंजी में कोई पासवर्ड नहीं है, तो इस फ़ील्ड को खाली छोड़ दें.
  7. मुख्य फ़ाइल के बगल में मौजूद, फ़ाइल चुनें पर क्लिक करें. इसके बाद, उस PEM फ़ाइल पर जाएं जिसमें कुंजी मौजूद है और खोलें पर क्लिक करें.
  8. डिफ़ॉल्ट रूप से, एपीआई जांच करके यह पक्का करता है कि सर्टिफ़िकेट की समयसीमा खत्म तो नहीं हुई है. पुष्टि की प्रक्रिया को स्किप करने के लिए, सर्टिफ़िकेट की समयसीमा खत्म होने की अनुमति दें को चुनें.
  9. कुंजी और सर्टिफ़िकेट अपलोड करने और उपनाम बनाने के लिए, सेव करें चुनें.

किसी PKCS12/PFX फ़ाइल से उपनाम बनाना (सिर्फ़ कीस्टोर के लिए)

सर्टिफ़िकेट और कुंजी वाली PKCS12 फ़ाइल से उपनाम बनाने के लिए:

  1. TLS कीस्टोर पेज ऐक्सेस करें.
  2. ऐक्शन मेन्यू देखने के लिए, कर्सर को कीस्टोर पर रखें और + पर क्लिक करें.
  3. उपनाम बताएं.
  4. 'सर्टिफ़िकेट की जानकारी' में जाकर, 'टाइप' ड्रॉप-डाउन में PKCS12/PFX चुनें.
  5. PKCS12/PFX के बगल में मौजूद फ़ाइल चुनें पर क्लिक करें. इसके बाद, कुंजी और सर्टिफ़िकेट वाली फ़ाइल पर जाएं और खोलें पर क्लिक करें.
  6. अगर कुंजी पर पासवर्ड है, तो PKCS12/PFX फ़ाइल के लिए पासवर्ड तय करें. अगर कुंजी में कोई पासवर्ड नहीं है, तो इस फ़ील्ड को खाली छोड़ दें.
  7. डिफ़ॉल्ट रूप से, एपीआई जांच करके यह पक्का करता है कि सर्टिफ़िकेट की समयसीमा खत्म तो नहीं हुई है. पुष्टि की प्रक्रिया को स्किप करने के लिए, सर्टिफ़िकेट की समयसीमा खत्म होने की अनुमति दें को चुनें.
  8. फ़ाइल अपलोड करने और उपनाम बनाने के लिए, सेव करें चुनें.

खुद हस्ताक्षर किए गए सर्टिफ़िकेट से उपनाम बनाना (सिर्फ़ कीस्टोर के लिए)

खुद हस्ताक्षर किए जाने वाले सर्टिफ़िकेट का इस्तेमाल करने वाला उपनाम बनाने के लिए, आपको सर्टिफ़िकेट बनाने के लिए ज़रूरी जानकारी वाला फ़ॉर्म भरना होगा. इसके बाद, Edge सर्टिफ़िकेट और निजी कुंजी का जोड़ा बनाता है और उन्हें उपनाम पर अपलोड करता है.

खुद किए गए हस्ताक्षर वाले सर्टिफ़िकेट से उपनाम बनाने के लिए:

  1. TLS कीस्टोर पेज ऐक्सेस करें.
  2. ऐक्शन मेन्यू देखने के लिए, कर्सर को कीस्टोर पर रखें और + पर क्लिक करें.
  3. उपनाम बताएं.
  4. सर्टिफ़िकेट की जानकारी में जाकर, 'टाइप' ड्रॉप-डाउन में खुद से हस्ताक्षर किया गया सर्टिफ़िकेट चुनें.
  5. नीचे दी गई टेबल का इस्तेमाल करके फ़ॉर्म भरें.
  6. सर्टिफ़िकेट और निजी पासकोड का जोड़ा बनाने और उन्हें उपनाम पर अपलोड करने के लिए, सेव करें चुनें.

जनरेट किए गए सर्टिफ़िकेट में, आपको ये अतिरिक्त फ़ील्ड दिखेंगे:

  • जारी करने वाला
    वह इकाई जिसने सर्टिफ़िकेट पर हस्ताक्षर किया और उसे जारी किया. खुद हस्ताक्षर किए गए सर्टिफ़िकेट के लिए, यह वह सीएन है जिसे आपने सर्टिफ़िकेट बनाते समय तय किया था.
  • वैलिडिटी
    सर्टिफ़िकेट की वैधता की अवधि को दो तारीखों के तौर पर दिखाया जाता है: सर्टिफ़िकेट की वैधता अवधि शुरू होने और सर्टिफ़िकेट की वैधता अवधि खत्म होने की तारीख. दोनों को UTCTime या GeneralizedTime की वैल्यू के तौर पर एन्कोड किया जा सकता है.

नीचे दी गई टेबल में, फ़ॉर्म फ़ील्ड के बारे में बताया गया है:

फ़ॉर्म फ़ील्ड जानकारी डिफ़ॉल्ट ज़रूरी है
उपनाम उपनाम का नाम. ज़्यादा से ज़्यादा 128 वर्ण इस्तेमाल किए जा सकते हैं. लागू नहीं हां
कुंजी का साइज़ कुंजी का साइज़, बिट में. डिफ़ॉल्ट और ज़्यादा से ज़्यादा वैल्यू, 2048 बिट है. 2048 नहीं
सिग्नेचर एल्गोरिदम निजी पासकोड जनरेट करने के लिए सिग्नेचर एल्गोरिदम. मान्य वैल्यू "SHA512withRSA", "SHA384withRSA", और "SHA256withRSA" (डिफ़ॉल्ट) हैं. आरएसए के साथ SHA256 नहीं
सर्टिफ़िकेट की समयसीमा (दिनों में) सर्टिफ़िकेट की समयसीमा (दिनों में). धनात्मक गैर शून्य मान स्वीकार करता है. 365 नहीं
सामान्य नाम संगठन के सामान्य नाम (सीएन) से, सर्टिफ़िकेट से जुड़े पूरी तरह क्वालिफ़ाइड डोमेन नेम की पहचान होती है. आम तौर पर, इसे होस्ट और डोमेन नेम से बनाया जाता है. उदाहरण के लिए, api.enterprise.apigee.com, www.apigee.com वगैरह) ज़्यादा से ज़्यादा 64 वर्ण इस्तेमाल किए जा सकते हैं.

सर्टिफ़िकेट किस तरह का है के आधार पर, सीएन एक ही डोमेन (जैसे कि example.com, www.example.com), वाइल्डकार्ड नाम (जैसे कि *.example.com) या डोमेन की सूची से जुड़े एक या एक से ज़्यादा होस्टनेम हो सकता है. कोई भी प्रोटोकॉल (http:// या https://), पोर्ट नंबर या रिसॉर्स पाथ शामिल न करें.

यह सर्टिफ़िकेट सिर्फ़ तब मान्य होता है, जब अनुरोध वाला होस्टनेम, सर्टिफ़िकेट के कम से कम एक सामान्य नाम से मेल खाता हो.

 लागू नहीं हां
ईमेल ईमेल पता. ज़्यादा से ज़्यादा 255 वर्ण इस्तेमाल किए जा सकते हैं. लागू नहीं नहीं
संगठन इकाई का नाम संगठन की टीम का नाम. ज़्यादा से ज़्यादा 64 वर्ण इस्तेमाल किए जा सकते हैं. लागू नहीं नहीं
संगठन का नाम संगठन का नाम. ज़्यादा से ज़्यादा 64 वर्ण इस्तेमाल किए जा सकते हैं. लागू नहीं नहीं
शहर शहर/कस्बे का नाम. ज़्यादा से ज़्यादा 128 वर्ण इस्तेमाल किए जा सकते हैं. लागू नहीं नहीं
राज्य/प्रांत राज्य/प्रांत का नाम. ज़्यादा से ज़्यादा 128 वर्ण इस्तेमाल किए जा सकते हैं. लागू नहीं नहीं
देश दो अक्षरों वाला देश का कोड. जैसे, भारत के लिए IN और अमेरिका के लिए अमेरिका. लागू नहीं नहीं
वैकल्पिक नाम वैकल्पिक होस्ट नामों की सूची. सर्टिफ़िकेट के विषय से जुड़ी अतिरिक्त पहचानों को जोड़े जाने की अनुमति देता है. इंटरनेट इलेक्ट्रॉनिक मेल पता, डीएनएस नाम, आईपी पता, और एक यूनिफ़ॉर्म रिसॉर्स आइडेंटिफ़ायर (यूआरआई) के विकल्प तय किए गए हैं.

हर वैल्यू के लिए ज़्यादा से ज़्यादा 255 वर्ण. नामों को कॉमा से अलग किया जा सकता है. इसके अलावा, हर नाम के बाद Enter बटन दबाकर भी ऐसा किया जा सकता है.

 लागू नहीं नहीं

कीस्टोर या ट्रस्टस्टोर की जांच करें

Edge यूज़र इंटरफ़ेस (यूआई) में अपने ट्रस्टस्टोर और कीस्टोर की जांच की जा सकती है, ताकि यह पुष्टि की जा सके कि वे सही तरीके से कॉन्फ़िगर किए गए हैं या नहीं. टेस्ट यूज़र इंटरफ़ेस (यूआई), Edge से बैकएंड सेवा पर TLS के अनुरोध की पुष्टि करता है. बैकएंड सेवा को इस तरह कॉन्फ़िगर किया जा सकता है कि वह एकतरफ़ा या दो-तरफ़ा TLS के साथ काम करे.

एकतरफ़ा TLS की जांच करने के लिए:

  1. TLS कीस्टोर पेज ऐक्सेस करें.
  2. एनवायरमेंट चुनें (आम तौर पर, prod या test).
  3. ऐक्शन मेन्यू को दिखाने के लिए, अपने कर्सर को TLS कीस्टोर पर ले जाएं, ताकि आपको उसकी जांच करनी हो और जांच करें पर क्लिक करें. यह डायलॉग बॉक्स ट्रस्टस्टोर का नाम दिखाता है:
  4. बैकएंड सेवा का होस्टनेम डालें.
  5. TLS पोर्ट नंबर (आम तौर पर 443) डालें.
  6. हालांकि, किसी प्रोटोकॉल या साइफ़र के बारे में बताने का विकल्प भी आपके पास होता है.
  7. जांचें को चुनें.

दो-तरफ़ा TLS की जांच करने के लिए:

  1. अपनी पसंद के ट्रस्टस्टोर के लिए, जांच करें बटन को चुनें.
  2. डायलॉग बॉक्स में, एसएसएल टेस्ट टाइप के लिए दो तरीका चुनें. यह डायलॉग बॉक्स दिखता है:
  3. दो-तरफ़ा TLS में इस्तेमाल किए गए कीस्टोर का नाम बताएं.
  4. उस कीस्टोर में उपनाम का नाम बताएं जिसमें सर्टिफ़िकेट और कुंजी शामिल है.
  5. बैकएंड सेवा का होस्टनेम डालें.
  6. TLS पोर्ट नंबर (आम तौर पर 443) डालें.
  7. हालांकि, किसी प्रोटोकॉल या साइफ़र के बारे में बताने का विकल्प भी आपके पास होता है.
  8. जांचें को चुनें.

दो-तरफ़ा TLS के लिए, ट्रस्टस्टोर में सर्टिफ़िकेट जोड़ें

इनबाउंड कनेक्शन के लिए, दो-तरफ़ा TLS यानी Edge में एपीआई अनुरोध का इस्तेमाल करते समय, Truststore में हर उस क्लाइंट के लिए एक सर्टिफ़िकेट या CA चेन शामिल होती है जिसे Edge को अनुरोध करने की अनुमति है.

जब आप पहली बार में ट्रस्टस्टोर को कॉन्फ़िगर करते हैं, तो आप जाने-पहचाने क्लाइंट के लिए सभी सर्टिफ़िकेट जोड़ सकते हैं. हालांकि, समय के साथ जैसे-जैसे आप नए क्लाइंट जोड़ते हैं, हो सकता है कि आप ट्रस्टस्टोर में अतिरिक्त सर्टिफ़िकेट जोड़ना चाहें.

दो-तरफ़ा TLS के लिए इस्तेमाल किए गए ट्रस्टस्टोर में नए सर्टिफ़िकेट जोड़ने के लिए:

  1. पक्का करें कि आप वर्चुअल होस्ट में ट्रस्टस्टोर के रेफ़रंस का इस्तेमाल कर रहे हैं.
  2. ऊपर बताए गए तरीके के मुताबिक, ट्रस्टस्टोर में नया सर्टिफ़िकेट अपलोड करें. इसके लिए, सर्टिफ़िकेट से उपनाम बनाना (सिर्फ़ ट्रस्टस्टोर) में बताया गया है.

  3. ट्रस्टस्टोर रेफ़रंस को एक ही वैल्यू पर सेट करने के लिए उसे अपडेट करें. इस अपडेट की वजह से Edge, ट्रस्टस्टोर और नए सर्टिफ़िकेट को फिर से लोड करता है.

    ज़्यादा जानकारी के लिए, रेफ़रंस में बदलाव करना देखें.

कीस्टोर/ट्रस्टस्टोर या उपनाम को मिटाना

किसी कीस्टोर/ट्रस्टस्टोर या उपनाम को मिटाते समय आपको सावधानी बरतनी चाहिए. अगर किसी ऐसे कीस्टोर, ट्रस्टस्टोर या उपनाम को मिटाया जाता है जिसका इस्तेमाल वर्चुअल होस्ट, टारगेट एंडपॉइंट या टारगेट सर्वर कर रहा है, तो वर्चुअल होस्ट या टारगेट एंडपॉइंट/टारगेट सर्वर से किए जाने वाले सभी एपीआई कॉल काम नहीं करेंगे.

आम तौर पर, किसी कीस्टोर/ट्रस्टस्टोर या उपनाम को मिटाने के लिए, जिस प्रोसेस का इस्तेमाल किया जाता है:

  1. ऊपर बताए गए तरीके से, नया कीस्टोर/ट्रस्टस्टोर या उपनाम बनाएं.
  2. इनबाउंड कनेक्शन यानी Edge में एपीआई अनुरोध के लिए, वर्चुअल होस्ट कॉन्फ़िगरेशन को अपडेट करें. इससे, नए कीस्टोर और कुंजी के उपनाम का रेफ़रंस दिया जा सकेगा.
  3. आउटबाउंड कनेक्शन के लिए, Apigee से बैकएंड सर्वर पर:
    1. किसी भी एपीआई प्रॉक्सी के लिए TargetEndpoint कॉन्फ़िगरेशन अपडेट करें, जिसमें नए कीस्टोर और कुंजी के उपनाम की जानकारी देने के लिए, पुराने कीस्टोर और कुंजी के उपनाम का रेफ़रंस दिया हो. अगर आपका TargetEndpoint किसी TargetServer है, तो नए कीस्टोर और कुंजी के उपनाम का रेफ़रंस देने के लिए, TargetServer परिभाषा अपडेट करें.
    2. अगर कीस्टोर और ट्रस्टस्टोर का रेफ़रंस सीधे TargetEndpoint डेफ़िनिशन से लिया गया है, तो आपको प्रॉक्सी को फिर से डिप्लॉय करना होगा. अगर TargetEndpoint टारगेट सर्वर परिभाषा का रेफ़रंस है और TargetServer परिभाषा, कीस्टोर और ट्रस्टस्टोर का है, तो प्रॉक्सी को फिर से डिप्लॉय करने की ज़रूरत नहीं होती.
  4. पुष्टि करें कि आपकी एपीआई प्रॉक्सी सही तरीके से काम कर रही हैं.
  5. कीस्टोर/ट्रस्टस्टोर या उपनाम मिटाएं.

कीस्टोर मिटाएं

ऐक्शन मेन्यू दिखाने के लिए, सूची में कीस्टोर या ट्रस्टोर पर अपना कर्सर ले जाकर और पर क्लिक करके, कीस्टोर या ट्रस्टस्टोर को मिटाया जा सकता है. अगर किसी ऐसे कीस्टोर या ट्रस्टस्टोर को मिटाया जाता है जिसका इस्तेमाल वर्चुअल होस्ट या टारगेट एंडपॉइंट/टारगेट सर्वर कर रहा है, तो वर्चुअल होस्ट या टारगेट एंडपॉइंट/टारगेट सर्वर से इस्तेमाल किए जा रहे सभी एपीआई कॉल काम नहीं करेंगे.

चेतावनी: जब तक आप अपने वर्चुअल होस्ट और टारगेट एंडपॉइंट/टारगेट सर्वर को नए कीस्टोर इस्तेमाल करने के लिए न बदल दें, तब तक आपको कीस्टोर को नहीं मिटाना चाहिए.

उपनाम मिटाना

कार्रवाइयों मेन्यू को दिखाने और पर क्लिक करने के लिए, सूची में मौजूद उपनाम पर कर्सर ले जाते हुए किसी उपनाम को मिटाया जा सकता है. अगर कोई ऐसा उपनाम मिटाया जाता है जिसका इस्तेमाल किसी वर्चुअल होस्ट या टारगेट एंडपॉइंट/टारगेट सर्वर के लिए किया जा रहा है, तो वर्चुअल होस्ट या टारगेट एंडपॉइंट/टारगेट सर्वर से होने वाले सभी एपीआई कॉल काम नहीं करेंगे.

चेतावनी: आपको तब तक उपनाम नहीं मिटाना चाहिए, जब तक कि आप अपने वर्चुअल होस्ट और टारगेट एंडपॉइंट/टारगेट सर्वर को नए कीस्टोर और उपनाम का इस्तेमाल करने के लिए न बदल दें.