TLS কনফিগার করার জন্য বিকল্প

আপনি Apigee Edge ডকুমেন্টেশন দেখছেন।
Apigee X ডকুমেন্টেশনে যান । তথ্য

এই নথিতে আপনি কিভাবে দুটি কার্যকরী এলাকার জন্য এজ-এ TLS কনফিগার করেন তার একটি ওভারভিউ রয়েছে:

1. API ক্লায়েন্টদের দ্বারা আপনার API প্রক্সিগুলিতে অ্যাক্সেস। TLS কনফিগার করতে এজ রাউটারে ভার্চুয়াল হোস্ট ব্যবহার করুন।
2. এজ দ্বারা আপনার ব্যাকএন্ড পরিষেবাগুলিতে অ্যাক্সেস। TLS কনফিগার করতে এজ মেসেজ প্রসেসরে টার্গেট এন্ডপয়েন্ট এবং টার্গেট সার্ভার ব্যবহার করুন।

এই উভয় অ্যাক্সেসের ধরন নীচে দেখানো হয়েছে:

ভার্চুয়াল হোস্ট বা টার্গেট এন্ডপয়েন্ট/টার্গেট সার্ভারে TLS বিকল্পগুলি সেট করার বিষয়ে

একটি ভার্চুয়াল হোস্ট একটি XML বস্তু দ্বারা প্রতিনিধিত্ব করা যেতে পারে, ফর্মে:

<VirtualHost name="secure">
    ...
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>true</ClientAuthEnabled> 
        <KeyStore>ref://myKeystoreRef</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
        <TrustStore>ref://myTruststoreRef</TrustStore> 
        <IgnoreValidationErrors>false</IgnoreValidationErrors>
    </SSLInfo>
</VirtualHost>

ভার্চুয়াল হোস্টের যে ক্ষেত্রটি আপনি TLS কনফিগার করতে পরিবর্তন করেন তা <SSLInfo> ট্যাগ দ্বারা সংজ্ঞায়িত করা হয়। আপনি একটি টার্গেট এন্ডপয়েন্ট বা টার্গেট সার্ভার কনফিগার করতে একই <SSLInfo> ট্যাগ ব্যবহার করেন।

নিম্নলিখিত টেবিলটি <SSLInfo> ট্যাগ দ্বারা ব্যবহৃত TLS কনফিগারেশন উপাদানগুলি বর্ণনা করে:

<CommonName wildcardMatch="true">*.myhost.com</CommonName>

<KeyStore> এবং <TrustStore> উপাদানগুলি সেট করার বিষয়ে

উপরের ভার্চুয়াল হোস্ট উদাহরণে, কীস্টোর এবং ট্রাস্টস্টোর রেফারেন্স ব্যবহার করে নির্দিষ্ট করা হয়েছে, ফর্মটিতে:

<KeyStore>ref://myKeystoreRef</KeyStore>
<TrustStore>ref://myTruststoreRef</TrustStore>

Apigee দৃঢ়ভাবে সুপারিশ করে যে আপনি সবসময় কীস্টোর এবং ট্রাস্টস্টোরের রেফারেন্স ব্যবহার করুন। একটি রেফারেন্স হল একটি পরিবর্তনশীল যা কীস্টোর বা ট্রাস্টস্টোরের নাম ধারণ করে, সরাসরি কীস্টোর নাম উল্লেখ না করে। এই উদাহরণে:

• myKeystoreRef হল একটি রেফারেন্স যাতে কীস্টোরের নাম থাকে। এই উদাহরণে, কীস্টোরের নাম হল myKeystore ।
• myTruststoreRef হল একটি রেফারেন্স যাতে ট্রাস্টস্টোরের নাম থাকে। এই উদাহরণে, ট্রাস্টস্টোরের নাম হল myTruststore ।

একটি শংসাপত্রের মেয়াদ শেষ হলে, নতুন শংসাপত্র ধারণকারী কীস্টোর বা ট্রাস্টস্টোর নির্দিষ্ট করতে আপনাকে ভার্চুয়াল হোস্ট বা টার্গেট এন্ডপয়েন্ট/টার্গেট সার্ভার আপডেট করতে হবে। একটি রেফারেন্সের সুবিধা হল আপনি ভার্চুয়াল হোস্ট বা টার্গেট এন্ডপয়েন্ট/টার্গেট সার্ভার পরিবর্তন না করেই কীস্টোর বা ট্রাস্টস্টোর পরিবর্তন করতে রেফারেন্সের মান পরিবর্তন করতে পারেন:

• ক্লাউড গ্রাহকদের জন্য : রেফারেন্সের মান পরিবর্তন করার জন্য আপনাকে Apigee Edge সাপোর্টের সাথে যোগাযোগ করতে হবে না।
• ব্যক্তিগত ক্লাউড গ্রাহকদের জন্য : রেফারেন্সের মান পরিবর্তন করার জন্য আপনাকে এজ উপাদানগুলি যেমন রাউটার এবং মেসেজ প্রসেসর পুনরায় চালু করার প্রয়োজন নেই।

বিকল্পভাবে, আপনি কীস্টোর নাম এবং ট্রাস্টস্টোর নাম সরাসরি নির্দিষ্ট করতে পারেন:

<KeyStore>myKeystore</KeyStore>
<TrustStore>myTruststore</TrustStore> 

আপনি যদি সরাসরি কীস্টোর বা ট্রাস্টস্টোরের নাম উল্লেখ করেন, তাহলে ক্লাউড গ্রাহকদের অবশ্যই Apigee এজ সাপোর্টের সাথে যোগাযোগ করতে হবে এবং প্রাইভেট ক্লাউড গ্রাহকদের অবশ্যই শংসাপত্র আপডেট করতে নির্দিষ্ট এজ উপাদান পুনরায় চালু করতে হবে।

একটি তৃতীয় বিকল্প, শুধুমাত্র টার্গেট এন্ডপয়েন্ট/টার্গেট সার্ভারের জন্য, ফ্লো ভেরিয়েবল ব্যবহার করা:

<KeyStore>{ssl.keystore}</KeyStore>
<TrustStore>{ssl.truststore}</TrustStore> 

ফ্লো ভেরিয়েবল টার্গেট এন্ডপয়েন্ট/টার্গেট সার্ভারের জন্য কাজ করে এবং আপনাকে রেফারেন্সের মতো কীস্টোর বা ট্রাস্টস্টোর আপডেট করতে দেয়। যাইহোক, তারা ভার্চুয়াল হোস্টের সাথে কাজ করে না এবং প্রতিটি অনুরোধে আপনাকে কীস্টোর, উপনাম এবং ট্রাস্টস্টোর সম্পর্কে তথ্য পাস করতে হবে।

কীস্টোর এবং ট্রাস্টস্টোরের রেফারেন্স ব্যবহারে বিধিনিষেধ

পেইড ক্লাউড গ্রাহক এবং TLS কনফিগার করা সমস্ত ব্যক্তিগত ক্লাউড গ্রাহকদের কীস্টোর এবং ট্রাস্টস্টোরের রেফারেন্স ব্যবহার করার সময় নিম্নলিখিত সীমাবদ্ধতাগুলি অবশ্যই বিবেচনায় নিতে হবে:

• আপনি শুধুমাত্র ভার্চুয়াল হোস্টে কীস্টোর এবং ট্রাস্টস্টোর রেফারেন্স ব্যবহার করতে পারেন যদি আপনি Apigee রাউটারে TLS বন্ধ করেন।

• যদি আপনার Apigee রাউটারের সামনে একটি লোড ব্যালেন্সার থাকে এবং আপনি লোড ব্যালেন্সারে TLS বন্ধ করে দেন, তাহলে আপনি ভার্চুয়াল হোস্টে কীস্টোর এবং ট্রাস্টস্টোর রেফারেন্স ব্যবহার করতে পারবেন না।

যদি আপনার বিদ্যমান ভার্চুয়াল হোস্ট একটি আক্ষরিক কীস্টোর বা ট্রাস্টস্টোর নাম ব্যবহার করে

এজ-এ বিদ্যমান ভার্চুয়াল হোস্টগুলি কীস্টোর এবং ট্রাস্টস্টোরের জন্য রেফারেন্স ব্যবহার করার জন্য কনফিগার করা নাও হতে পারে। এই ক্ষেত্রে, আপনি একটি রেফারেন্স ব্যবহার করার জন্য ভার্চুয়াল হোস্ট আপডেট করতে পারেন।

1. মেঘের জন্য প্রান্ত

   কীস্টোরের একটি রেফারেন্স ব্যবহার করার জন্য ভার্চুয়াল হোস্ট পরিবর্তন করতে আপনাকে অবশ্যই Apigee Edge Support এর সাথে কাজ করতে হবে।

2. প্রাইভেট ক্লাউডের জন্য এজ

   একটি রেফারেন্স ব্যবহার করতে ভার্চুয়াল হোস্ট রূপান্তর করতে:

   1. একটি রেফারেন্স ব্যবহার করতে ভার্চুয়াল হোস্ট আপডেট করুন।
   2. রাউটারগুলি পুনরায় চালু করুন।
   আরও জানতে প্রাইভেট ক্লাউডের জন্য একটি API-তে TLS অ্যাক্সেস কনফিগারিং -এ "কীস্টোর এবং ট্রাস্টস্টোরের রেফারেন্স ব্যবহার করতে একটি ভার্চুয়াল হোস্ট পরিবর্তন করা" দেখুন।

Apigee বিনামূল্যে ট্রায়াল শংসাপত্র এবং কী ব্যবহার সম্পর্কে

যদি আপনার কাছে ক্লাউড অ্যাকাউন্টের জন্য একটি অর্থপ্রদত্ত এজ থাকে এবং এখনও আপনার কাছে একটি TLS শংসাপত্র এবং কী না থাকে, তাহলে আপনি একটি ভার্চুয়াল হোস্ট তৈরি করতে পারেন যা Apigee বিনামূল্যে ট্রায়াল শংসাপত্র এবং কী ব্যবহার করে। এর মানে আপনি প্রথমে একটি কীস্টোর তৈরি না করে ভার্চুয়াল হোস্ট তৈরি করতে পারেন।

একটি XML অবজেক্ট যা Apigee ফ্রি ট্রায়াল শংসাপত্র ব্যবহার করে ভার্চুয়াল হোস্টকে সংজ্ঞায়িত করে এবং কী <KeyStore> এবং <KeyAlias> উপাদানগুলিকে বাদ দেয় এবং তাদের <UseBuiltInFreeTrialCert> উপাদান দিয়ে প্রতিস্থাপন করে, যেমনটি নীচে দেখানো হয়েছে:

<VirtualHost name="myTLSVHost">
    <HostAliases>
        <HostAlias>myapi.apigee.net</HostAlias>
    </HostAliases>
    <Port>443</Port>
    <SSLInfo>
        <Enabled>true</Enabled>
        <ClientAuthEnabled>false</ClientAuthEnabled>
    </SSLInfo>
    <UseBuiltInFreeTrialCert>true</UseBuiltInFreeTrialCert>
</VirtualHost>

আপনি যদি দ্বিমুখী TLS সম্পাদন করেন, তাহলে আপনাকে অবশ্যই <ClientAuthEnabled> উপাদানটিকে true সেট করতে হবে এবং <TrustStore> উপাদানের সাথে একটি রেফারেন্স ব্যবহার করে একটি ট্রাস্টস্টোর নির্দিষ্ট করতে হবে।

আরও জানতে ক্লাউডের জন্য ভার্চুয়াল হোস্ট কনফিগার করা দেখুন।

TLS কনফিগার করার বিষয়ে

দুটি প্রধান কারণ নির্ধারণ করে যে আপনি কীভাবে TLS কনফিগারেশন সম্পাদন করেন:

• আপনি কি এজ ক্লাউড বা প্রাইভেট ক্লাউড গ্রাহক?
• আপনি কিভাবে মেয়াদ উত্তীর্ণ বা মেয়াদোত্তীর্ণ শংসাপত্র আপডেট করতে যাচ্ছেন?

ক্লাউড এবং প্রাইভেট ক্লাউড কনফিগারেশন বিকল্প

নিম্নলিখিত টেবিলটি ক্লাউড এবং ব্যক্তিগত ক্লাউড গ্রাহকদের জন্য বিভিন্ন কনফিগারেশন বিকল্পগুলি দেখায়:

ভার্চুয়াল হোস্ট এবং টার্গেট এন্ডপয়েন্ট/টার্গেট সার্ভার উভয়ের কনফিগারেশনের উপর প্রাইভেট ক্লাউড গ্রাহকদের সম্পূর্ণ নিয়ন্ত্রণ রয়েছে। এই নিয়ন্ত্রণের মধ্যে ভার্চুয়াল হোস্ট তৈরি এবং মুছে ফেলার ক্ষমতা রয়েছে এবং একটি ভার্চুয়াল হোস্টে সমস্ত বৈশিষ্ট্য সেট করা রয়েছে।

সমস্ত ক্লাউড গ্রাহকদের, অর্থপ্রদান এবং মূল্যায়ন উভয়ই, টার্গেট এন্ডপয়েন্ট/টার্গেট সার্ভারের কনফিগারেশনের উপর সম্পূর্ণ নিয়ন্ত্রণ রয়েছে। এছাড়াও, পেইড ক্লাউড গ্রাহকদের ভার্চুয়াল হোস্টের সম্পূর্ণ নিয়ন্ত্রণ রয়েছে, যার মধ্যে TLS বৈশিষ্ট্য রয়েছে।

মেয়াদোত্তীর্ণ শংসাপত্র পরিচালনা করা

যদি একটি TLS শংসাপত্রের মেয়াদ শেষ হয়ে যায়, বা যদি আপনার সিস্টেম কনফিগারেশন এমনভাবে পরিবর্তিত হয় যে শংসাপত্রটি আর বৈধ নয়, তাহলে আপনাকে শংসাপত্রটি আপডেট করতে হবে। ভার্চুয়াল হোস্ট বা টার্গেট এন্ডপয়েন্ট/টার্গেট সার্ভারের জন্য TLS কনফিগার করার সময়, কোন কনফিগারেশন করার আগে আপনি কীভাবে সেই আপডেটটি সম্পাদন করতে যাচ্ছেন তা নির্ধারণ করা উচিত।

যখন একটি শংসাপত্রের মেয়াদ শেষ হয়

এজ-এ, আপনি দুটি জায়গার একটিতে শংসাপত্র সঞ্চয় করেন:

• কীস্টোর - TLS হ্যান্ডশেকিংয়ের সময় সত্তাকে সনাক্ত করতে ব্যবহৃত TLS শংসাপত্র এবং ব্যক্তিগত কী রয়েছে৷
• ট্রাস্টস্টোর - ক্লায়েন্টের কাছে উপস্থাপিত একটি TLS সার্ভারের শংসাপত্র যাচাই করতে ব্যবহৃত TLS ক্লায়েন্টে বিশ্বস্ত শংসাপত্র রয়েছে। এই শংসাপত্রগুলি সাধারণত স্ব-স্বাক্ষরিত শংসাপত্র, একটি বিশ্বস্ত CA দ্বারা স্বাক্ষরিত শংসাপত্র, বা দ্বিমুখী TLS-এর অংশ হিসাবে ব্যবহৃত শংসাপত্র।

যখন একটি কীস্টোরে একটি শংসাপত্রের মেয়াদ শেষ হয়ে যায়, এবং আপনি কীস্টোরের একটি রেফারেন্স ব্যবহার করছেন , আপনি কীস্টোরে একটি নতুন শংসাপত্র আপলোড করতে পারবেন না৷ পরিবর্তে, আপনি:

1. একটি নতুন কীস্টোর তৈরি করুন।
2. পুরানো কীস্টোরের মতো একই নাম ব্যবহার করে নতুন কীস্টোরে নতুন শংসাপত্র আপলোড করুন।
3. নতুন কীস্টোর ব্যবহার করতে আপনার ভার্চুয়াল হোস্ট বা টার্গেট সার্ভার/টার্গেট এন্ডপয়েন্টে রেফারেন্স আপডেট করুন।

যখন একটি ট্রাস্টস্টোরে একটি শংসাপত্রের মেয়াদ শেষ হয়ে যায় এবং আপনি ট্রাস্টস্টোরের একটি রেফারেন্স ব্যবহার করছেন , তখন আপনি:

1. একটি নতুন ট্রাস্টস্টোর তৈরি করুন।
2. নতুন ট্রাস্টস্টোরে নতুন শংসাপত্র আপলোড করুন। ট্রাস্টস্টোরের জন্য উপনাম নামটি গুরুত্বপূর্ণ নয়। দ্রষ্টব্য : যদি একটি শংসাপত্র একটি চেইনের অংশ হয়, তাহলে আপনাকে অবশ্যই সমস্ত শংসাপত্র সহ একটি একক ফাইল তৈরি করতে হবে এবং সেই ফাইলটিকে একটি একক উপনামে আপলোড করতে হবে, অথবা প্রতিটি শংসাপত্রের জন্য আলাদা উপনাম ব্যবহার করে চেইনের সমস্ত শংসাপত্র আলাদাভাবে ট্রাস্টস্টোরে আপলোড করতে হবে। .
3. নতুন ট্রাস্টস্টোর ব্যবহার করতে আপনার ভার্চুয়াল হোস্ট বা টার্গেট সার্ভার/টার্গেট এন্ডপয়েন্টে রেফারেন্স আপডেট করুন।

মেয়াদোত্তীর্ণ শংসাপত্র আপডেট করার পদ্ধতির সারাংশ

ভার্চুয়াল হোস্ট বা টার্গেট এন্ডপয়েন্ট/টার্গেট সার্ভারে কীস্টোর এবং ট্রাস্টস্টোরের নাম নির্দিষ্ট করতে আপনি যে পদ্ধতিটি ব্যবহার করেন তা নির্ধারণ করে যে আপনি কীভাবে শংসাপত্র আপডেট করবেন। আপনি ব্যবহার করতে পারেন:

• তথ্যসূত্র
• সরাসরি নাম
• ফ্লো ভেরিয়েবল

এই পদ্ধতিগুলির প্রতিটির আপডেট প্রক্রিয়ার উপর বিভিন্ন প্রতিক্রিয়া রয়েছে, যা নিম্নলিখিত সারণীতে বর্ণিত হয়েছে। আপনি দেখতে পাচ্ছেন, রেফারেন্সগুলি ক্লাউড এবং ব্যক্তিগত ক্লাউড উভয় গ্রাহকদের জন্য সর্বাধিক নমনীয়তা প্রদান করে: