Edge यूज़र इंटरफ़ेस (यूआई) का इस्तेमाल करके कीस्टोर और ट्रस्टस्टोर बनाना

Apigee Edge का दस्तावेज़ देखा जा रहा है.
Apigee X के दस्तावेज़ पर जाएं. जानकारी

इस दस्तावेज़ में, Cloud के लिए Edge और प्राइवेट क्लाउड के वर्शन 4.18.01 और उसके बाद के वर्शन के लिए Edge के लिए, पासकोड और ट्रस्टस्टोर बनाने, उनमें बदलाव करने, और उन्हें मिटाने का तरीका बताया गया है.

Edge Cloud के लिए पासकोड/ट्रस्टस्टोर और वर्चुअल होस्ट के बारे में जानकारी

Edge Cloud के लिए पासकोड/ट्रस्टस्टोर बनाने की प्रोसेस में, आपको वर्चुअल होस्ट इस्तेमाल करने के सभी नियमों का पालन करना होगा. उदाहरण के लिए, Cloud में वर्चुअल होस्ट के साथ:

  • वर्चुअल होस्ट को टीएलएस का इस्तेमाल करना होगा.
  • वर्चुअल होस्ट सिर्फ़ पोर्ट 443 का इस्तेमाल कर सकते हैं.
  • आपको हस्ताक्षर किए गए TLS सर्टिफ़िकेट का इस्तेमाल करना होगा. Cloud में वर्चुअल होस्ट के साथ, बिना हस्ताक्षर वाले सर्टिफ़िकेट का इस्तेमाल नहीं किया जा सकता.
  • TLS सर्टिफ़िकेट में दिया गया डोमेन नेम, वर्चुअल होस्ट के होस्ट के उपनाम से मेल खाना चाहिए.

ज़्यादा जानें:

Edge में कीस्टोर और ट्रस्टस्टोर लागू करना

TLS जैसे पब्लिक की इंफ़्रास्ट्रक्चर पर आधारित फ़ंक्शन को कॉन्फ़िगर करने के लिए, आपको ऐसे पासकोड और ट्रस्टस्टोर बनाने होंगे जिनमें ज़रूरी पासकोड और डिजिटल सर्टिफ़िकेट शामिल हों.

Edge में, कीस्टोर और ट्रस्टस्टोर, दोनों को कीस्टोर इकाई से दिखाया जाता है. इसमें एक या उससे ज़्यादा उपनाम होते हैं. इसका मतलब है कि Edge पर, पासकोड और ट्रस्टस्टोर को लागू करने में कोई अंतर नहीं है.

पासकोड और ट्रस्टस्टोर के बीच का फ़र्क़, उनमें मौजूद एंट्री के टाइप और टीएलएस हैंडशेक में उनके इस्तेमाल के तरीके से तय होता है:

  • keystore - एक keystore इकाई, जिसमें एक या उससे ज़्यादा अन्य नाम होते हैं. हर अन्य नाम में सर्टिफ़िकेट/कुंजी का एक जोड़ा होता है.
  • truststore - एक keystore इकाई, जिसमें एक या एक से ज़्यादा उपनाम होते हैं. हर उपनाम में सिर्फ़ एक सर्टिफ़िकेट होता है.

किसी वर्चुअल होस्ट या टारगेट एंडपॉइंट के लिए TLS कॉन्फ़िगर करते समय, पासकोड के स्टोर और ट्रस्ट के स्टोर, TLS हैंडशेक प्रोसेस में अलग-अलग भूमिकाएं निभाते हैं. किसी वर्चुअल होस्ट या टारगेट एंडपॉइंट को कॉन्फ़िगर करते समय, <SSLInfo> टैग में अलग-अलग कीस्टोर और ट्रस्टस्टोर तय किए जाते हैं. जैसे, वर्चुअल होस्ट के लिए यहां दिखाया गया है:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>false</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
    </SSLInfo>
</VirtualHost>

इस उदाहरण में, वर्चुअल होस्ट के TLS पासकोड के लिए इस्तेमाल किए गए पासकोड और उपनाम का नाम दिया गया है. पासकोड का नाम बताने के लिए, रेफ़रंस का इस्तेमाल किया जाता है, ताकि सर्टिफ़िकेट की समयसीमा खत्म होने पर, उसे बाद में बदला जा सके. उपनाम में एक सर्टिफ़िकेट/कुंजी जोड़ी होती है. इसका इस्तेमाल, वर्चुअल होस्ट को ऐक्सेस करने वाले टीएलएस क्लाइंट के लिए, वर्चुअल होस्ट की पहचान करने के लिए किया जाता है. इस उदाहरण में, ट्रस्टस्टोर की ज़रूरत नहीं है.

अगर ट्रस्टस्टोर ज़रूरी है, तो ट्रस्टस्टोर की जानकारी देने के लिए, <TrustStore> टैग का इस्तेमाल करें. उदाहरण के लिए, दो-तरफ़ा टीएलएस कॉन्फ़िगरेशन के लिए:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>true</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
        <TrustStore>ref://truststoreref</TrustStore>
    </SSLInfo>
</VirtualHost>

इस उदाहरण में, <TrustStore> टैग सिर्फ़ एक पासकोड की जानकारी देता है. इसमें किसी खास उपनाम की जानकारी नहीं दी जाती. पासकोड में मौजूद हर उपनाम में एक सर्टिफ़िकेट या सर्टिफ़िकेट चेन होती है. इसका इस्तेमाल, TLS हैंडशेक प्रोसेस के हिस्से के तौर पर किया जाता है.

सर्टिफ़िकेट के लिए इस्तेमाल किए जा सकने वाले फ़ॉर्मैट

फ़ॉर्मैट एपीआई और यूज़र इंटरफ़ेस (यूआई) अपलोड की सुविधा काम करती है नॉर्थबाउंड के साथ काम करता है पुष्टि की गई
PEM हां हां हां
* PKCS12 हां हां हां
ध्यान दें: Apigee,
PKCS12 को PEM में बदल देता है.
* DER नहीं नहीं हां
* PKCS7 नहीं नहीं नहीं

* हमारा सुझाव है कि अगर हो सके, तो PEM का इस्तेमाल करें.

Edge for Private Cloud 4.53.00 या उसके बाद के वर्शन के साथ PKCS12 पासकोड स्टोर का इस्तेमाल करना

अगर Edge for Private Cloud 4.53.00 या इसके बाद के वर्शन का इस्तेमाल किया जा रहा है, तो आपको Apigee में कुंजियों और उनसे जुड़े सर्टिफ़िकेट अपलोड करने के लिए, सिर्फ़ PKCS12 पासकोड स्टोर का इस्तेमाल करना चाहिए. अपनी मौजूदा कुंजियों और सर्टिफ़िकेट को PKCS12/PFX फ़ॉर्मैट में बदलने के लिए, सर्टिफ़िकेट को काम करने वाले फ़ॉर्मैट में बदलना लेख पढ़ें.

उपनाम लागू करने के बारे में जानकारी

Edge पर, कीस्टोर में एक या एक से ज़्यादा उपनाम होते हैं. हर उपनाम में ये चीज़ें होती हैं:

  • PEM या PKCS12/PFX फ़ाइल के तौर पर TLS सर्टिफ़िकेट - सर्टिफ़िकेट देने वाली संस्था (CA) का हस्ताक्षर वाला सर्टिफ़िकेट, सर्टिफ़िकेट की चेन वाली फ़ाइल, जिसमें आखिरी सर्टिफ़िकेट पर CA का हस्ताक्षर हो या फिर खुद का हस्ताक्षर वाला सर्टिफ़िकेट.
  • निजी पासकोड, PEM या PKCS12/PFX फ़ाइल के तौर पर. Edge में, 2048 बिट तक की कुंजियों का इस्तेमाल किया जा सकता है. लंबा पासवर्ड डालना ज़रूरी नहीं है.

Edge पर, ट्रस्टस्टोर में एक या उससे ज़्यादा उपनाम होते हैं. यहां हर उपनाम में ये चीज़ें होती हैं:

  • PEM फ़ाइल के तौर पर TLS सर्टिफ़िकेट - सर्टिफ़िकेट देने वाली संस्था (सीए) का हस्ताक्षर वाला सर्टिफ़िकेट, सर्टिफ़िकेट की चेन, जिसमें आखिरी सर्टिफ़िकेट पर सीए का हस्ताक्षर हो या फिर खुद का हस्ताक्षर वाला सर्टिफ़िकेट.

Edge, यूज़र इंटरफ़ेस (यूआई) और एपीआई उपलब्ध कराता है. इनका इस्तेमाल करके, कीस्टोर बनाए जा सकते हैं, उपनाम बनाए जा सकते हैं, सर्टिफ़िकेट/कुंजी के जोड़े अपलोड किए जा सकते हैं, और सर्टिफ़िकेट अपडेट किए जा सकते हैं. ट्रस्टस्टोर बनाने के लिए इस्तेमाल किया जाने वाला यूज़र इंटरफ़ेस (यूआई) और एपीआई, वही होता है जिसका इस्तेमाल पासकोड बनाने के लिए किया जाता है. अंतर यह है कि ट्रस्टस्टोर बनाने पर, ऐसे उपनाम बनाए जाते हैं जिनमें सिर्फ़ सर्टिफ़िकेट होता है.

सर्टिफ़िकेट और पासकोड वाली फ़ाइलों के फ़ॉर्मैट के बारे में जानकारी

सर्टिफ़िकेट और पासकोड को PEM फ़ाइलों या PKCS12/PFX फ़ाइलों के तौर पर दिखाया जा सकता है. PEM फ़ाइलें, X.509 फ़ॉर्मैट के मुताबिक होती हैं. अगर आपका सर्टिफ़िकेट या निजी कुंजी, PEM फ़ाइल के तौर पर सेट नहीं है, तो openssl जैसी सुविधाओं का इस्तेमाल करके, इसे PEM फ़ाइल में बदला जा सकता है.

हालांकि, कई .crt फ़ाइलें और .key फ़ाइलें पहले से ही PEM फ़ॉर्मैट में होती हैं. अगर ये फ़ाइलें टेक्स्ट वाली फ़ाइलें हैं और इनमें ये शामिल हैं:

-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----

या:

-----BEGIN ENCRYPTED PRIVATE KEY-----
-----END ENCRYPTED PRIVATE KEY-----

इसके बाद, फ़ाइलें PEM फ़ॉर्मैट के साथ काम करती हैं. साथ ही, इन्हें PEM फ़ाइल में बदले बिना, इन्हें पासकोड या ट्रस्टस्टोर में इस्तेमाल किया जा सकता है.

सर्टिफ़िकेट चेन के बारे में जानकारी

अगर कोई सर्टिफ़िकेट किसी चेन का हिस्सा है, तो उसे अलग-अलग तरीके से मैनेज किया जाता है. यह इस बात पर निर्भर करता है कि सर्टिफ़िकेट का इस्तेमाल, कीस्टोर में किया गया है या ट्रस्टस्टोर में:

  • Keystore - अगर कोई सर्टिफ़िकेट किसी चेन का हिस्सा है, तो आपको एक ऐसी फ़ाइल बनानी होगी जिसमें चेन के सभी सर्टिफ़िकेट शामिल हों. सर्टिफ़िकेट क्रम में होने चाहिए और आखिरी सर्टिफ़िकेट, रूट सर्टिफ़िकेट या रूट सर्टिफ़िकेट पर हस्ताक्षर किया गया इंटरमीडिएट सर्टिफ़िकेट होना चाहिए.
  • ट्रस्टस्टोर - अगर कोई सर्टिफ़िकेट किसी चेन का हिस्सा है, तो आपको सभी सर्टिफ़िकेट वाली एक फ़ाइल बनानी होगी और उस फ़ाइल को किसी अन्य नाम से अपलोड करना होगा. इसके अलावा, हर सर्टिफ़िकेट के लिए अलग-अलग नाम का इस्तेमाल करके, चेन में मौजूद सभी सर्टिफ़िकेट को ट्रस्टस्टोर में अलग-अलग अपलोड किया जा सकता है. अगर इन्हें एक ही सर्टिफ़िकेट के तौर पर अपलोड किया जाता है, तो सर्टिफ़िकेट क्रम में होने चाहिए. साथ ही, आखिरी सर्टिफ़िकेट, रूट सर्टिफ़िकेट या रूट सर्टिफ़िकेट से हस्ताक्षर किया गया इंटरमीडियरी सर्टिफ़िकेट होना चाहिए.
  • अगर आपने एक ऐसी फ़ाइल बनाई है जिसमें एक से ज़्यादा सर्टिफ़िकेट शामिल हैं, तो आपको हर सर्टिफ़िकेट के बीच एक खाली लाइन डालनी होगी.

उदाहरण के लिए, सभी सर्टिफ़िकेट को एक ही PEM फ़ाइल में जोड़ा जा सकता है. सर्टिफ़िकेट का क्रम सही होना चाहिए. आखिरी सर्टिफ़िकेट, रूट सर्टिफ़िकेट या रूट सर्टिफ़िकेट से हस्ताक्षर किया गया इंटरमीडिएट सर्टिफ़िकेट होना चाहिए:

-----BEGIN CERTIFICATE----- 
(Your Primary TLS certificate) 
-----END CERTIFICATE----- 

-----BEGIN CERTIFICATE----- 
(Intermediate certificate) 
-----END CERTIFICATE-----
 
-----BEGIN CERTIFICATE----- 
(Root certificate or intermediate certificate signed by a root certificate) 
-----END CERTIFICATE-----

अगर आपके सर्टिफ़िकेट, पीकेसीएस12/पीएफ़एक्स फ़ाइलों के तौर पर दिखाए जाते हैं, तो सर्टिफ़िकेट की चेन से पीकेसीएस12/पीएफ़एक्स फ़ाइल बनाने के लिए, openssl कमांड का इस्तेमाल किया जा सकता है. इसका तरीका यहां बताया गया है:

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

ट्रस्टस्टोर में सर्टिफ़िकेट की चेन के साथ काम करते समय, आपको हमेशा चेन में मौजूद सभी सर्टिफ़िकेट अपलोड करने की ज़रूरत नहीं होती. उदाहरण के लिए, आपने क्लाइंट सर्टिफ़िकेट, client_cert_1 और क्लाइंट सर्टिफ़िकेट जारी करने वाले का सर्टिफ़िकेट, ca_cert अपलोड किया है.

दोतरफ़ा TLS पुष्टि के दौरान, क्लाइंट की पुष्टि तब होती है, जब सर्वर, TLS हैंडशेक प्रोसेस के तहत क्लाइंट को client_cert_1 भेजता है.

इसके अलावा, आपके पास एक दूसरा सर्टिफ़िकेट client_cert_2 है, जिस पर उसी सर्टिफ़िकेट ca_cert ने हस्ताक्षर किया है. हालांकि, आपको ट्रस्टस्टोर में client_cert_2 अपलोड नहीं करना है. ट्रस्टस्टोर में अब भी सिर्फ़ client_cert_1 और ca_cert शामिल हैं.

जब सर्वर, टीएलएस हैंडशेक के हिस्से के तौर पर client_cert_2 पास करता है, तो अनुरोध पूरा हो जाता है. ऐसा इसलिए होता है, क्योंकि Edge, TLS की पुष्टि करने की अनुमति तब देता है, जब client_cert_2 ट्रस्टस्टोर में मौजूद न हो, लेकिन उस पर ट्रस्टस्टोर में मौजूद किसी सर्टिफ़िकेट का हस्ताक्षर किया गया हो. अगर ट्रस्टस्टोर से सीए सर्टिफ़िकेट, ca_cert को हटाया जाता है, तो टीएलएस की पुष्टि नहीं की जा सकती.

एफ़आईपीएस से जुड़ी बातें

अगर FIPS की सुविधा वाले ऑपरेटिंग सिस्टम पर, Edge for Private Cloud 4.53.00 या उसके बाद के वर्शन का इस्तेमाल किया जा रहा है, तो Apigee में कुंजियों और उनसे जुड़े सर्टिफ़िकेट अपलोड करने के लिए, सिर्फ़ PKCS12 पासकोड स्टोर का इस्तेमाल करें.

TLS पासकोड स्टोर पेज को एक्सप्लोर करना

यहां बताए गए तरीके से, TLS पासकोड स्टोर पेज को ऐक्सेस करें.

Edge

Edge के यूज़र इंटरफ़ेस (यूआई) का इस्तेमाल करके, टीएलएस पासकोड स्टोर पेज को ऐक्सेस करने के लिए:

  1. संगठन के एडमिन के तौर पर, https://apigee.com/edge पर साइन इन करें.
  2. अपना संगठन चुनें.
  3. एडमिन > एनवायरमेंट > TLS पासकोड चुनें.

क्लासिक Edge (निजी क्लाउड)

Edge के क्लासिक यूज़र इंटरफ़ेस (यूआई) का इस्तेमाल करके, टीएलएस पासकोड स्टोर पेज को ऐक्सेस करने के लिए:

  1. http://ms-ip:9000 में संगठन के एडमिन के तौर पर साइन इन करें. यहां ms-ip, मैनेजमेंट सर्वर नोड का आईपी पता या डीएनएस नेम है.
  2. अपना संगठन चुनें.
  3. एडमिन > एनवायरमेंट कॉन्फ़िगरेशन > TLS पासकोड चुनें.

TLS पासकोड स्टोर पेज दिखता है:

पिछले फ़ोटो में हाइलाइट किए गए अनुसार, TLS पासकोड स्टोर पेज पर ये काम किए जा सकते हैं:

कोई उपनाम देखना

कोई उपनाम देखने के लिए:

  1. TLS पासकोड स्टोर पेज को ऐक्सेस करें.
  2. एनवायरमेंट चुनें (आम तौर पर prod या test).
  3. आपको जिस उपनाम को देखना है उससे जुड़ी लाइन पर क्लिक करें.

    इसके बाद, आपको उपनाम वाले सर्टिफ़िकेट और पासकोड की जानकारी दिखेगी.

    आपके पास उपनाम की सारी जानकारी देखने का विकल्प होता है. इसमें, उपनाम के खत्म होने की तारीख भी शामिल है.

  4. पेज पर सबसे ऊपर मौजूद बटन का इस्तेमाल करके सर्टिफ़िकेट मैनेज करें, ताकि:
    • सर्टिफ़िकेट को PEM फ़ाइल के तौर पर डाउनलोड करें.
    • सीएसआर जनरेट करें. अगर आपके पास समयसीमा खत्म हो चुके सर्टिफ़िकेट है और आपको उसे रिन्यू करना है, तो आपके पास सर्टिफ़िकेट साइनिंग रिक्वेस्ट (सीएसआर) डाउनलोड करने का विकल्प है. इसके बाद, नया सर्टिफ़िकेट पाने के लिए, सीएसआर को सीए को भेजा जाता है.
    • कोई सर्टिफ़िकेट अपडेट करें. चेतावनी: अगर किसी ऐसे सर्टिफ़िकेट को अपडेट किया जाता है जिसका इस्तेमाल फ़िलहाल किसी वर्चुअल होस्ट या टारगेट सर्वर/टारगेट एंडपॉइंट कर रहा है, तो आपको राउटर और मैसेज प्रोसेसर को फिर से शुरू करने के लिए, Apigee Edge की सहायता टीम से संपर्क करना होगा. सर्टिफ़िकेट को अपडेट करने का सुझाया गया तरीका यह है:
      1. नया पासकोड या ट्रस्टस्टोर बनाएं.
      2. नए पासकोड या ट्रस्टस्टोर में नया सर्टिफ़िकेट जोड़ें.
      3. वर्चुअल होस्ट या टारगेट सर्वर/टारगेट एंडपॉइंट में, रेफ़रंस को पासकोड या ट्रस्टस्टोर में अपडेट करें. ज़्यादा जानकारी के लिए, Cloud के लिए TLS सर्टिफ़िकेट अपडेट करना लेख पढ़ें.
      4. उपनाम मिटाएं. ध्यान दें: अगर किसी उपनाम को मिटाया जाता है और उसका इस्तेमाल, फ़िलहाल किसी वर्चुअल होस्ट या टारगेट एंडपॉइंट के लिए किया जा रहा है, तो वर्चुअल होस्ट या टारगेट एंडपॉइंट काम नहीं करेगा.

कीस्टोर/ट्रस्टस्टोर और उपनाम बनाना

टीएलएस पासकोड या टीएलएस ट्रस्टस्टोर के तौर पर इस्तेमाल करने के लिए, कुंजी का स्टोर बनाया जा सकता है. कीस्टोर, आपके संगठन के किसी खास एनवायरमेंट के लिए होता है. उदाहरण के लिए, टेस्ट या प्रोडक्शन एनवायरमेंट. इसलिए, अगर आपको अपने प्रोडक्शन एनवायरमेंट में डिप्लॉय करने से पहले, किसी टेस्ट एनवायरमेंट में पासकोड की जांच करनी है, तो आपको इसे दोनों एनवायरमेंट में बनाना होगा.

किसी एनवायरमेंट में पासकोड सेव करने के लिए, आपको सिर्फ़ पासकोड का नाम बताना होगा. किसी एनवायरमेंट में नाम वाला कीस्टोर बनाने के बाद, आपके पास कोई दूसरा नाम बनाने का विकल्प होता है. साथ ही, उसमें सर्टिफ़िकेट/कुंजी का जोड़ा (कीस्टोर) या सिर्फ़ सर्टिफ़िकेट (ट्रस्टस्टोर) अपलोड किया जा सकता है.

पासकोड बनाने के लिए:

  1. TLS पासकोड स्टोर पेज को ऐक्सेस करें.
  2. एनवायरमेंट चुनें (आम तौर पर prod या test).
  3. + पासकोड पर क्लिक करें.
  4. पासकोड का नाम बताएं. नाम में सिर्फ़ अक्षर और अंक हो सकते हैं.
  5. कीस्टोर जोड़ें पर क्लिक करें. नई कीस्टोर, सूची में दिखती है.
  6. कोई दूसरा नाम जोड़ने के लिए, इनमें से कोई एक तरीका अपनाएं. यह भी देखें सर्टिफ़िकेट के लिए इस्तेमाल किए जा सकने वाले फ़ाइल फ़ॉर्मैट.

सर्टिफ़िकेट से उपनाम बनाना (सिर्फ़ ट्रस्टस्टोर के लिए)

सर्टिफ़िकेट से कोई दूसरा नाम बनाने के लिए:

  1. TLS पासकोड स्टोर पेज को ऐक्सेस करें.
  2. ऐक्शन मेन्यू दिखाने के लिए, कर्सर को पासवर्ड स्टोर में ले जाएं और + पर क्लिक करें.
  3. उपनाम बताएं.
  4. सर्टिफ़िकेट की जानकारी में जाकर, टाइप ड्रॉप-डाउन में सिर्फ़ सर्टिफ़िकेट चुनें.
  5. सर्टिफ़िकेट फ़ाइल के बगल में मौजूद, फ़ाइल चुनें पर क्लिक करें. इसके बाद, सर्टिफ़िकेट वाली PEM फ़ाइल पर जाएं और खोलें पर क्लिक करें.
  6. डिफ़ॉल्ट रूप से, एपीआई यह पक्का करता है कि सर्टिफ़िकेट की समयसीमा खत्म न हुई हो. पुष्टि करने की प्रक्रिया को छोड़ने के लिए, वैकल्पिक तौर पर समयसीमा खत्म हो चुके सर्टिफ़िकेट को अनुमति दें को चुनें.
  7. सर्टिफ़िकेट अपलोड करने और उपनाम बनाने के लिए, सेव करें को चुनें.

JAR फ़ाइल से कोई दूसरा नाम बनाना (सिर्फ़ कीस्टोर के लिए)

JAR फ़ाइल से कोई उपनाम बनाने के लिए:

  1. TLS पासकोड स्टोर पेज को ऐक्सेस करें.
  2. ऐक्शन मेन्यू दिखाने के लिए, कर्सर को पासवर्ड स्टोर में ले जाएं और + पर क्लिक करें.
  3. उपनाम बताएं.
  4. सर्टिफ़िकेट की जानकारी में जाकर, टाइप ड्रॉप-डाउन में JAR फ़ाइल चुनें.
  5. JAR फ़ाइल के बगल में मौजूद, फ़ाइल चुनें पर क्लिक करें. इसके बाद, सर्टिफ़िकेट और पासकोड वाली JAR फ़ाइल पर जाएं और खोलें पर क्लिक करें.
  6. अगर पासकोड में पासवर्ड है, तो पासवर्ड डालें. अगर पासकोड में पासवर्ड नहीं है, तो इस फ़ील्ड को खाली छोड़ दें.
  7. डिफ़ॉल्ट रूप से, एपीआई यह पक्का करता है कि सर्टिफ़िकेट की समयसीमा खत्म न हुई हो. पुष्टि करने की प्रक्रिया को छोड़ने के लिए, वैकल्पिक तौर पर समयसीमा खत्म हो चुके सर्टिफ़िकेट को अनुमति दें को चुनें.
  8. कुंजी और सर्टिफ़िकेट अपलोड करने और उपनाम बनाने के लिए, सेव करें को चुनें.

सर्टिफ़िकेट और पासकोड (सिर्फ़ कीस्टोर) से कोई दूसरा नाम बनाना

सर्टिफ़िकेट और पासकोड से कोई दूसरा नाम बनाने के लिए:

  1. TLS पासकोड स्टोर पेज को ऐक्सेस करें.
  2. ऐक्शन मेन्यू दिखाने के लिए, कर्सर को पासवर्ड स्टोर में ले जाएं और + पर क्लिक करें.
  3. उपनाम बताएं.
  4. सर्टिफ़िकेट की जानकारी में जाकर, टाइप ड्रॉप-डाउन में सर्टिफ़िकेट और पासकोड चुनें.
  5. सर्टिफ़िकेट फ़ाइल के बगल में मौजूद, फ़ाइल चुनें पर क्लिक करें. इसके बाद, सर्टिफ़िकेट वाली PEM फ़ाइल पर जाएं और खोलें पर क्लिक करें.
  6. अगर पासकोड की कुंजी है, तो पासकोड की कुंजी डालें. अगर पासकोड की कुंजी नहीं है, तो इस फ़ील्ड को खाली छोड़ दें.
  7. कुंजी फ़ाइल के बगल में मौजूद, फ़ाइल चुनें पर क्लिक करें. इसके बाद, कुंजी वाली PEM फ़ाइल पर जाएं और खोलें पर क्लिक करें.
  8. डिफ़ॉल्ट रूप से, एपीआई यह जांच करता है कि सर्टिफ़िकेट की समयसीमा खत्म तो नहीं हुई है. पुष्टि करने की प्रक्रिया को छोड़ने के लिए, वैकल्पिक तौर पर समयसीमा खत्म हो चुके सर्टिफ़िकेट को अनुमति दें को चुनें.
  9. कुंजी और सर्टिफ़िकेट अपलोड करने और उपनाम बनाने के लिए, सेव करें को चुनें.

किसी PKCS12/PFX फ़ाइल (सिर्फ़ पासकोड) से कोई दूसरा नाम बनाना

सर्टिफ़िकेट और पासकोड वाली पीकेसीएस12 फ़ाइल से कोई दूसरा नाम बनाने के लिए:

  1. TLS पासकोड स्टोर पेज को ऐक्सेस करें.
  2. ऐक्शन मेन्यू दिखाने के लिए, कर्सर को पासवर्ड स्टोर में ले जाएं और + पर क्लिक करें.
  3. उपनाम बताएं.
  4. सर्टिफ़िकेट की जानकारी में जाकर, टाइप ड्रॉप-डाउन में PKCS12/PFX चुनें.
  5. PKCS12/PFX के बगल में मौजूद फ़ाइल चुनें पर क्लिक करें. इसके बाद, पासकोड और सर्टिफ़िकेट वाली फ़ाइल पर जाएं और खोलें पर क्लिक करें.
  6. अगर पासकोड की गई कुंजी है, तो PKCS12/PFX फ़ाइल के लिए पासवर्ड डालें. अगर पासवर्ड नहीं है, तो इस फ़ील्ड को खाली छोड़ दें.
  7. डिफ़ॉल्ट रूप से, एपीआई यह जांच करता है कि सर्टिफ़िकेट की समयसीमा खत्म तो नहीं हुई है. पुष्टि करने की प्रक्रिया को छोड़ने के लिए, वैकल्पिक रूप से समयसीमा खत्म हो चुके सर्टिफ़िकेट को अनुमति दें को चुनें.
  8. फ़ाइल अपलोड करने और दूसरा नाम बनाने के लिए, सेव करें को चुनें.

खुद हस्ताक्षर किए गए सर्टिफ़िकेट से कोई दूसरा नाम बनाना (सिर्फ़ कीस्टोर के लिए)

अगर आपको कोई ऐसा उपनाम बनाना है जिसमें आपने खुद हस्ताक्षर किया हो, तो आपको एक फ़ॉर्म भरना होगा. इसमें, सर्टिफ़िकेट बनाने के लिए ज़रूरी जानकारी देनी होगी. इसके बाद, Edge सर्टिफ़िकेट और निजी कुंजी का एक जोड़ा बनाता है और उन्हें उपनाम पर अपलोड करता है.

खुद से हस्ताक्षर किए गए सर्टिफ़िकेट से कोई दूसरा नाम बनाने के लिए:

  1. TLS पासकोड स्टोर पेज को ऐक्सेस करें.
  2. ऐक्शन मेन्यू दिखाने के लिए, कर्सर को पासवर्ड स्टोर में ले जाएं और + पर क्लिक करें.
  3. उपनाम बताएं.
  4. सर्टिफ़िकेट की जानकारी में जाकर, टाइप ड्रॉप-डाउन में खुद हस्ताक्षर किया हुआ सर्टिफ़िकेट चुनें.
  5. नीचे दी गई टेबल का इस्तेमाल करके, फ़ॉर्म भरें.
  6. सर्टिफ़िकेट और निजी कुंजी का जोड़ा बनाने और उन्हें उपनाम पर अपलोड करने के लिए, सेव करें को चुनें.

जनरेट किए गए सर्टिफ़िकेट में, आपको ये अतिरिक्त फ़ील्ड दिखेंगे:

  • सर्टिफ़िकेट जारी करने वाली संस्था
    वह इकाई जिसने सर्टिफ़िकेट पर हस्ताक्षर किया है और उसे जारी किया है. खुद हस्ताक्षर किए गए सर्टिफ़िकेट के लिए, यह वह सीएन है जिसे आपने सर्टिफ़िकेट बनाते समय बताया था.
  • मान्यता
    सर्टिफ़िकेट की मान्य अवधि को दो तारीखों के तौर पर दिखाया जाता है: सर्टिफ़िकेट की मान्य अवधि शुरू होने की तारीख और सर्टिफ़िकेट की मान्य अवधि खत्म होने की तारीख. दोनों को UTCTime या GeneralizedTime वैल्यू के तौर पर एन्कोड किया जा सकता है.

इस टेबल में फ़ॉर्म फ़ील्ड के बारे में बताया गया है:

फ़ॉर्म फ़ील्ड ब्यौरा डिफ़ॉल्ट ज़रूरी है
उपनाम उपनाम. ज़्यादा से ज़्यादा 128 वर्ण इस्तेमाल किए जा सकते हैं. लागू नहीं हां
पासकोड का साइज़ कुंजी का साइज़, बिट में. डिफ़ॉल्ट और ज़्यादा से ज़्यादा वैल्यू 2048 बिट होती है. 2048 नहीं
हस्ताक्षर एल्गोरिदम निजी कुंजी जनरेट करने के लिए, हस्ताक्षर करने का एल्गोरिदम. मान्य वैल्यू "SHA512withRSA", "SHA384withRSA", और "SHA256withRSA" (डिफ़ॉल्ट) हैं. SHA256withRSA नहीं
सर्टिफ़िकेट की समयसीमा (दिनों में) सर्टिफ़िकेट की समयसीमा, दिनों में. यह शून्य से बड़ी पॉज़िटिव वैल्यू स्वीकार करता है. 365 नहीं
सामान्य नाम संगठन का कॉमन नेम (सीएन), सर्टिफ़िकेट से जुड़े पूरी तरह क्वालिफ़ाइड डोमेन नेम की पहचान करता है. आम तौर पर, इसमें होस्ट और डोमेन नेम शामिल होता है. उदाहरण के लिए, api.enterprise.apigee.com, www.apigee.com वगैरह. ज़्यादा से ज़्यादा 64 वर्ण इस्तेमाल किए जा सकते हैं.

सर्टिफ़िकेट टाइप के आधार पर, सीएन एक ही डोमेन (जैसे, example.com, www.example.com) से जुड़े एक या उससे ज़्यादा होस्टनेम, वाइल्डकार्ड नेम (जैसे, *.example.com) या डोमेन की सूची हो सकती है. प्रोटोकॉल (http:// या https://), पोर्ट नंबर या रिसॉर्स पाथ शामिल न करें.

सर्टिफ़िकेट सिर्फ़ तब मान्य होता है, जब अनुरोध का होस्टनेम, सर्टिफ़िकेट के कम से कम एक कॉमन नेम से मैच करता हो.

 लागू नहीं हां
ईमेल ईमेल पता. इसमें 255 से ज़्यादा वर्ण नहीं होने चाहिए. लागू नहीं नहीं
संगठन की इकाई का नाम संगठन की टीम का नाम. इसमें 64 से ज़्यादा वर्ण नहीं हो सकते. लागू नहीं नहीं
संगठन का नाम संगठन का नाम. इसमें 64 से ज़्यादा वर्ण नहीं हो सकते. लागू नहीं नहीं
शहर शहर/कस्बे का नाम. ज़्यादा से ज़्यादा 128 वर्ण इस्तेमाल किए जा सकते हैं. लागू नहीं नहीं
राज्य/प्रांत राज्य/प्रांत का नाम. ज़्यादा से ज़्यादा 128 वर्ण इस्तेमाल किए जा सकते हैं. लागू नहीं नहीं
देश देश का दो अक्षर वाला कोड. उदाहरण के लिए, भारत के लिए IN, अमेरिका के लिए US. लागू नहीं नहीं
अन्य नाम होस्ट के अन्य नामों की सूची. इससे सर्टिफ़िकेट के विषय के साथ, अन्य पहचानों को भी जोड़ा जा सकता है. तय किए गए विकल्पों में इंटरनेट इलेक्ट्रॉनिक मेल पता, डीएनएस नाम, आईपी पता, और यूनिफ़ॉर्म रिसॉर्स आइडेंटिफ़ायर (यूआरआई) शामिल हैं.

हर वैल्यू के लिए ज़्यादा से ज़्यादा 255 वर्ण. नामों को कॉमा लगाकर अलग किया जा सकता है या हर नाम के बाद Enter दबाया जा सकता है.

 लागू नहीं नहीं

पासकोड या ट्रस्टस्टोर की जांच करना

Edge के यूज़र इंटरफ़ेस (यूआई) में अपने ट्रस्टस्टोर और पासकोड स्टोर की जांच करके, यह पुष्टि की जा सकती है कि उन्हें सही तरीके से कॉन्फ़िगर किया गया है या नहीं. टेस्ट यूज़र इंटरफ़ेस (यूआई), Edge से बैकएंड सेवा के लिए किए गए टीएलएस अनुरोध की पुष्टि करता है. बैकएंड सेवा को एकतरफ़ा या दोतरफ़ा TLS के साथ काम करने के लिए कॉन्फ़िगर किया जा सकता है.

एकतरफ़ा TLS की जांच करने के लिए:

  1. TLS पासकोड स्टोर पेज को ऐक्सेस करें.
  2. एनवायरमेंट चुनें (आम तौर पर prod या test).
  3. कार्रवाइयों का मेन्यू दिखाने के लिए, अपने कर्सर को उस TLS पासकोड स्टोर पर ले जाएं जिसकी आपको जांच करनी है. इसके बाद, जांच करें पर क्लिक करें. इसके बाद, आपको यह डायलॉग बॉक्स दिखेगा, जिसमें ट्रस्टस्टोर का नाम दिखेगा:
  4. बैकएंड सेवा का होस्टनेम डालें.
  5. TLS पोर्ट नंबर डालें. आम तौर पर, यह 443 होता है.
  6. इसके अलावा, किसी भी प्रोटोकॉल या सिफर के बारे में बताएं.
  7. जांचें को चुनें.

दोतरफ़ा TLS की जांच करने के लिए:

  1. अपनी पसंद के ट्रस्टस्टोर के लिए, जांच करें बटन चुनें.
  2. डायलॉग बॉक्स में, एसएसएल टेस्ट टाइप के लिए दोतरफ़ा चुनें. आपको यह डायलॉग बॉक्स दिखेगा:
  3. दोतरफ़ा TLS में इस्तेमाल किए गए पासकोड के स्टोर का नाम बताएं.
  4. सर्टिफ़िकेट और पासकोड वाले पासकोड स्टोर में, उपनाम का नाम डालें.
  5. बैकएंड सेवा का होस्टनेम डालें.
  6. TLS पोर्ट नंबर डालें. आम तौर पर, यह 443 होता है.
  7. इसके अलावा, किसी भी प्रोटोकॉल या सिफर के बारे में बताएं.
  8. जांचें को चुनें.

दोतरफ़ा टीएलएस के लिए, ट्रस्टस्टोर में सर्टिफ़िकेट जोड़ना

इनबाउंड कनेक्शन के लिए, दोतरफ़ा टीएलएस का इस्तेमाल करने पर, यानी Edge में एपीआई अनुरोध करने पर, ट्रस्टस्टोर में हर उस क्लाइंट के लिए सर्टिफ़िकेट या सीए चेन होती है जिसे Edge को अनुरोध करने की अनुमति होती है.

ट्रस्टस्टोर को शुरू में कॉन्फ़िगर करते समय, जाने-पहचाने क्लाइंट के सभी सर्टिफ़िकेट जोड़े जा सकते हैं. हालांकि, समय के साथ, नए क्लाइंट जोड़ते समय, हो सकता है कि आप ट्रस्टस्टोर में अतिरिक्त सर्टिफ़िकेट जोड़ना चाहें.

दोतरफ़ा टीएलएस के लिए इस्तेमाल किए जाने वाले ट्रस्टस्टोर में नए सर्टिफ़िकेट जोड़ने के लिए:

  1. पक्का करें कि आप वर्चुअल होस्ट में ट्रस्टस्टोर के रेफ़रंस का इस्तेमाल कर रहे हों.
  2. ट्रस्टस्टोर में नया सर्टिफ़िकेट अपलोड करें. इसके लिए, ऊपर बताए गए तरीके का इस्तेमाल करें. सर्टिफ़िकेट से कोई दूसरा नाम बनाना (सिर्फ़ ट्रस्टस्टोर के लिए).

  3. ट्रस्टस्टोर रेफ़रंस को अपडेट करके, उसे एक जैसी वैल्यू पर सेट करें. इस अपडेट की वजह से, Edge, ट्रस्टस्टोर और नया सर्टिफ़िकेट रीलोड करेगा.

    ज़्यादा जानकारी के लिए, रेफ़रंस में बदलाव करना लेख पढ़ें.

कोई पासकोड/ट्रस्टस्टोर या उपनाम मिटाना

पासकोड/ट्रस्टस्टोर या उपनाम मिटाते समय सावधानी बरतें. अगर किसी ऐसे पासकोड कोड, ट्रस्टस्टोर या किसी ऐसे उपनाम को मिटाया जाता है जिसका इस्तेमाल किसी वर्चुअल होस्ट, टारगेट एंडपॉइंट या टारगेट सर्वर के ज़रिए किया जा रहा है, तो वर्चुअल होस्ट या टारगेट एंडपॉइंट/टारगेट सर्वर के ज़रिए किए जाने वाले सभी एपीआई कॉल काम नहीं करेंगे.

आम तौर पर, किसी पासकोड/ट्रस्टस्टोर या किसी अन्य नाम को मिटाने के लिए, यह तरीका अपनाया जाता है:

  1. ऊपर बताए गए तरीके से, नया कीस्टोर/ट्रस्टस्टोर या कोई दूसरा नाम बनाएं.
  2. इनबाउंड कनेक्शन के लिए, नए पासकोड और पासकोड के दूसरे नाम का रेफ़रंस देने के लिए, वर्चुअल होस्ट कॉन्फ़िगरेशन को अपडेट करें. इनबाउंड कनेक्शन का मतलब है, Edge में एपीआई का अनुरोध.
  3. आउटबाउंड कनेक्शन के लिए, यानी Apigee से बैकएंड सर्वर पर:
    1. नए पासकोड और पासकोड के उपनाम का रेफ़रंस देने के लिए, उन सभी एपीआई प्रॉक्सी के लिए TargetEndpoint कॉन्फ़िगरेशन अपडेट करें जिन्होंने पुराने पासकोड और पासकोड के उपनाम का रेफ़रंस दिया था. अगर आपका TargetEndpoint, TargetServer का रेफ़रंस देता है, तो नए कीस्टोर और कुंजी के उपनाम का रेफ़रंस देने के लिए, TargetServer की परिभाषा अपडेट करें.
    2. अगर TargetEndpoint की परिभाषा से सीधे तौर पर पासकोड और ट्रस्टस्टोर का रेफ़रंस दिया गया है, तो आपको प्रॉक्सी को फिर से डिप्लॉय करना होगा. अगर TargetEndpoint, TargetServer की परिभाषा का रेफ़रंस देता है और TargetServer की परिभाषा, पासकोड और ट्रस्टस्टोर का रेफ़रंस देती है, तो फिर प्रॉक्सी को फिर से डिप्लॉय करने की ज़रूरत नहीं है.
  4. पुष्टि करें कि आपके एपीआई प्रॉक्सी सही तरीके से काम कर रहे हैं.
  5. पासकोड/ट्रस्टस्टोर या उपनाम मिटाएं.

कोई पासकोड स्टोर मिटाना

किसी पासकोड या ट्रस्टस्टोर को मिटाने के लिए, सूची में मौजूद पासकोड या ट्रस्टस्टोर पर कर्सर घुमाएं. इससे कार्रवाइयों का मेन्यू दिखेगा. इसके बाद, पर क्लिक करें. अगर किसी ऐसे पासकोड या ट्रस्टस्टोर को मिटाया जाता है जिसका इस्तेमाल वर्चुअल होस्ट या टारगेट एंडपॉइंट/टारगेट सर्वर कर रहा है, तो वर्चुअल होस्ट या टारगेट एंडपॉइंट/टारगेट सर्वर के ज़रिए किए जाने वाले सभी एपीआई कॉल काम नहीं करेंगे.

चेतावनी: आपको किसी पासकोड को तब तक नहीं मिटाना चाहिए, जब तक आपने अपने वर्चुअल होस्ट और टारगेट एंडपॉइंट/टारगेट सर्वर को नए पासकोड का इस्तेमाल करने के लिए बदल न दिया हो.

कोई उपनाम मिटाना

किसी उपनाम को मिटाने के लिए, सूची में उपनाम पर कर्सर घुमाएं. इसके बाद, कार्रवाइयों का मेन्यू दिखाने के लिए, पर क्लिक करें. अगर किसी ऐसे उपनाम को मिटाया जाता है जिसका इस्तेमाल किसी वर्चुअल होस्ट या टारगेट एंडपॉइंट/टारगेट सर्वर से किया जा रहा है, तो वर्चुअल होस्ट या टारगेट एंडपॉइंट/टारगेट सर्वर के ज़रिए किए गए सभी एपीआई कॉल काम नहीं करेंगे.

चेतावनी: आपको किसी भी उपनाम को तब तक नहीं मिटाना चाहिए, जब तक कि आपने अपने वर्चुअल होस्ट और टारगेट एंडपॉइंट/टारगेट सर्वर को नए पासकोड और उपनाम का इस्तेमाल करने के लिए बदल न दिया हो.