TLS को कॉन्फ़िगर करने के विकल्प

आपको Apigee Edge दस्तावेज़ दिख रहा है.
अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है इस पेज पर जाएं Apigee X दस्तावेज़. जानकारी

इस दस्तावेज़ में यह खास जानकारी दी गई है कि दो फ़ंक्शन के लिए, Edge पर TLS कैसे कॉन्फ़िगर किया जाता है क्षेत्र:

1. एपीआई क्लाइंट से अपने एपीआई प्रॉक्सी को ऐक्सेस करना. Edge पर वर्चुअल होस्ट का इस्तेमाल करें TLS कॉन्फ़िगर करने के लिए राऊटर.
2. Edge से अपनी बैकएंड सेवाओं को ऐक्सेस करें. टारगेट एंडपॉइंट और टारगेट का इस्तेमाल करें सर्वर पर क्लिक करें.

ये दोनों ऐक्सेस टाइप नीचे दिखाए गए हैं:

इसके बारे में जानकारी वर्चुअल होस्ट या टारगेट एंडपॉइंट/टारगेट सर्वर में TLS के विकल्प सेट करना

वर्चुअल होस्ट को किसी एक्सएमएल ऑब्जेक्ट के ज़रिए, इस फ़ॉर्मैट में दिखाया जा सकता है:

<VirtualHost name="secure">
    ...
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>true</ClientAuthEnabled> 
        <KeyStore>ref://myKeystoreRef</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
        <TrustStore>ref://myTruststoreRef</TrustStore> 
        <IgnoreValidationErrors>false</IgnoreValidationErrors>
    </SSLInfo>
</VirtualHost>

वर्चुअल होस्ट का वह हिस्सा जिसे TLS को कॉन्फ़िगर करने के लिए बदला जाता है, <SSLInfo> टैग से तय होता है. आप कॉन्फ़िगर करने के लिए वही <SSLInfo> टैग टारगेट एंडपॉइंट या टारगेट सर्वर से कनेक्ट किया जाता है.

नीचे दी गई टेबल में उन TLS कॉन्फ़िगरेशन एलिमेंट के बारे में बताया गया है जिनका इस्तेमाल <SSLInfo> टैग करता है:

<CommonName wildcardMatch="true">*.myhost.com</CommonName>

सेटिंग के बारे में जानकारी &lt;KeyStore&gt; और <TrustStore> एलिमेंट

ऊपर दिए गए वर्चुअल होस्ट के उदाहरण में, कीस्टोर और ट्रस्टस्टोर रेफ़रंस, फ़ॉर्म में:

<KeyStore>ref://myKeystoreRef</KeyStore>
<TrustStore>ref://myTruststoreRef</TrustStore>

Apigee का सुझाव है कि आप हमेशा कीस्टोर और ट्रस्टस्टोर के रेफ़रंस इस्तेमाल करें. ऐप्लिकेशन संदर्भ एक ऐसा वैरिएबल होता है, जिसमें और सीधे कीस्टोर नाम दर्ज करके. इस उदाहरण में:

• myKeystoreRef एक ऐसी पहचान है जिसमें कीस्टोर पर क्लिक करें. इस उदाहरण में, कीस्टोर का नाम myKeystore है.
• myTruststoreRef एक ऐसी पहचान है जिसमें Truststore. इस उदाहरण में, Truststore का नाम myTruststore है.

सर्टिफ़िकेट की समयसीमा खत्म होने पर, आपको वर्चुअल होस्ट या टारगेट एंडपॉइंट/टारगेट सर्वर को नए सर्टिफ़िकेट वाले कीस्टोर या ट्रस्टस्टोर की जानकारी दें. रेफ़रंस फ़ाइल का यह फ़ायदा होता है कि कीस्टोर या ट्रस्टस्टोर को बदलने के लिए, रेफ़रंस वैल्यू में बदलाव किया जा सकता है. वर्चुअल होस्ट या टारगेट एंडपॉइंट/टारगेट सर्वर में बदलाव करें:

• Cloud ग्राहकों के लिए: पहचान फ़ाइल की वैल्यू बदलने की ज़रूरत नहीं है आपको Apigee Edge की सहायता टीम से संपर्क करना होगा.
• निजी Cloud ग्राहकों के लिए: रेफ़रंस फ़ाइल की वैल्यू बदलने से के लिए आपको Edge कॉम्पोनेंट, जैसे कि राऊटर और मैसेज प्रोसेसर को रीस्टार्ट करना होगा.

इसके अलावा, आपके पास सीधे कीस्टोर और ट्रस्टस्टोर का नाम भी बताने का विकल्प है:

<KeyStore>myKeystore</KeyStore>
<TrustStore>myTruststore</TrustStore> 

अगर सीधे तौर पर कीस्टोर या ट्रस्टस्टोर का नाम बताया जाता है, तो Cloud ग्राहकों को Apigee Edge की सहायता टीम से संपर्क करें और निजी Cloud ग्राहकों को सर्टिफ़िकेट अपडेट करने के लिए, Edge के कुछ कॉम्पोनेंट को रीस्टार्ट करना होगा.

सिर्फ़ टारगेट एंडपॉइंट/टारगेट सर्वर के लिए तीसरा विकल्प, फ़्लो वैरिएबल का इस्तेमाल करना है:

<KeyStore>{ssl.keystore}</KeyStore>
<TrustStore>{ssl.truststore}</TrustStore> 

फ़्लो वैरिएबल, टारगेट एंडपॉइंट/टारगेट सर्वर के लिए काम करते हैं और आपको कीस्टोर अपडेट करने देते हैं या ट्रस्टस्टोर जैसे रेफ़रंस. हालांकि, वे वर्चुअल होस्ट के साथ काम नहीं करते हैं और उनके लिए आपको हर अनुरोध पर कीस्टोर, उपनाम, और ट्रस्टस्टोर की जानकारी दें.

इस्तेमाल करने पर लागू पाबंदियां कीस्टोर और ट्रस्टस्टोर के रेफ़रंस

पैसे चुकाकर इस्तेमाल किए जाने वाले Cloud के ग्राहकों और TLS को कॉन्फ़िगर करने वाले सभी Private Cloud ग्राहकों को, इन बातों का ध्यान रखना होगा कीस्टोर और ट्रस्टस्टोर के रेफ़रंस का इस्तेमाल करते समय ये प्रतिबंध लागू होगा:

• TLS को खत्म करने पर ही, वर्चुअल होस्ट में कीस्टोर और ट्रस्टस्टोर रेफ़रंस इस्तेमाल किए जा सकते हैं पर देखें.

• अगर आपके पास Apigee राऊटर के लिए लोड बैलेंसर है और आपने लोड बैलेंसर को लोड करने का विकल्प होता है, तो आप वर्चुअल होस्ट में कीस्टोर और ट्रस्टस्टोर रेफ़रंस का इस्तेमाल नहीं कर सकते.

अगर आपका मौजूदा वर्चुअल होस्ट, लिटरल कीस्टोर या ट्रस्टस्टोर नाम का इस्तेमाल करता है

Edge पर मौजूद वर्चुअल होस्ट को शायद कीस्टोर के लिए रेफ़रंस का इस्तेमाल करने के लिए कॉन्फ़िगर न किया गया हो और Truststores. ऐसे मामले में, आप संदर्भ का इस्तेमाल करने के लिए वर्चुअल होस्ट को अपडेट कर सकते हैं.

1. क्लाउड के लिए एज

   आपको जिस कीस्टोर के साथ काम करना होगा उसका रेफ़रंस इस्तेमाल करने के लिए, वर्चुअल होस्ट को बदलें Apigee Edge की सहायता टीम.

2. प्राइवेट क्लाउड के लिए एज

   वर्चुअल होस्ट को पहचान फ़ाइल में बदलने के लिए:

   1. रेफ़रंस फ़ाइल का इस्तेमाल करने के लिए, वर्चुअल होस्ट को अपडेट करें.
   2. राऊटर रीस्टार्ट करें.
   "कीस्टोर और ट्रस्टस्टोर के रेफ़रंस इस्तेमाल करने के लिए वर्चुअल होस्ट में बदलाव करना" देखें इन विज्ञापनों के लिए, टीएलएस ऐक्सेस को कॉन्फ़िगर करना ज़्यादा जानकारी के लिए, Private Cloud के लिए एपीआई का इस्तेमाल करें.

Apigee के मुफ़्त में आज़माने की सुविधा के सर्टिफ़िकेट और कुंजी को इस्तेमाल करने के बारे में जानकारी

अगर आपके पास Cloud खाते के लिए, पैसे चुकाकर इस्तेमाल किया जाने वाला Edge है और अब तक आपके पास TLS सर्टिफ़िकेट और कुंजी नहीं है, तो एक वर्चुअल होस्ट, जो Apigee के मुफ़्त में आज़माने की सुविधा के सर्टिफ़िकेट और कुंजी का इस्तेमाल करता है. इसका मतलब है कि आप वर्चुअल होस्ट बना सकते हैं और बिना किसी कीस्टोर बनाए.

एक एक्सएमएल ऑब्जेक्ट जो Apigee के मुफ़्त में आज़माने वाले सर्टिफ़िकेट और कुंजी का इस्तेमाल करके वर्चुअल होस्ट को परिभाषित करता है, वह <KeyStore> और <KeyAlias> एलिमेंट शामिल करता है और उन्हें <UseBuiltInFreeTrialCert> एलिमेंट, जैसा कि नीचे दिखाया गया है:

<VirtualHost name="myTLSVHost">
    <HostAliases>
        <HostAlias>myapi.apigee.net</HostAlias>
    </HostAliases>
    <Port>443</Port>
    <SSLInfo>
        <Enabled>true</Enabled>
        <ClientAuthEnabled>false</ClientAuthEnabled>
    </SSLInfo>
    <UseBuiltInFreeTrialCert>true</UseBuiltInFreeTrialCert>
</VirtualHost>

अगर दो-तरफ़ा TLS परफ़ॉर्म किया जा रहा है, तो आपको अब भी <ClientAuthEnabled> एलिमेंट को true, और <TrustStore> एलिमेंट के साथ रेफ़रंस का इस्तेमाल करके ट्रस्टस्टोर तय करें.

क्लाउड के लिए वर्चुअल होस्ट कॉन्फ़िगर करना देखें देखें.

TLS को कॉन्फ़िगर करने के बारे में जानकारी

इन दो मुख्य बातों से यह तय होता है कि TLS कॉन्फ़िगरेशन किस तरह से किए जाएंगे:

• क्या आप Edge Cloud या Private Cloud के ग्राहक हैं?
• उन सर्टिफ़िकेट को कैसे अपडेट किया जाएगा जिनकी समयसीमा खत्म हो गई है या जिनकी समयसीमा खत्म होने वाली है?

क्लाउड और Private Cloud का कॉन्फ़िगरेशन विकल्प

नीचे दी गई टेबल में, क्लाउड और प्राइवेट क्लाउड के लिए कॉन्फ़िगरेशन के अलग-अलग विकल्प दिखाए गए हैं ग्राहक:

निजी क्लाउड के ग्राहकों के पास वर्चुअल होस्ट और वर्चुअल होस्ट, दोनों के कॉन्फ़िगरेशन पर पूरा कंट्रोल होता है टारगेट एंडपॉइंट/टारगेट सर्वर. इस कंट्रोल में, वर्चुअल फ़ाइलें बनाने और मिटाने की सुविधा शामिल है होस्ट और सभी प्रॉपर्टी को वर्चुअल होस्ट पर सेट करें.

Cloud के सभी ग्राहकों के पास, टारगेट एंडपॉइंट/टारगेट सर्वर. इसके अलावा, पैसे चुकाकर सेवाएं इस्तेमाल करने वाले Cloud के ग्राहकों के पास वर्चुअल होस्ट, जिनमें TLS प्रॉपर्टी शामिल हैं.

जिन सर्टिफ़िकेट की समयसीमा खत्म हो चुकी है उन्हें मैनेज करना

अगर TLS सर्टिफ़िकेट की समयसीमा खत्म हो जाती है या अगर आपके सिस्टम का कॉन्फ़िगरेशन इस तरह बदल जाता है कि प्रमाणपत्र अब मान्य नहीं है, तो आपको प्रमाणपत्र अपडेट करना होगा. इनके लिए TLS कॉन्फ़िगर करते समय एक वर्चुअल होस्ट या टारगेट एंडपॉइंट/टारगेट सर्वर है, तो आपको तय करना होगा कि अपनी परफ़ॉर्मेंस को अपडेट कर सकता है.

सर्टिफ़िकेट की समयसीमा खत्म होने पर

Edge पर, सर्टिफ़िकेट को इन दो में से किसी एक जगह पर सेव किया जाता है:

• कीस्टोर - इसमें TLS सर्टिफ़िकेट और निजी कुंजी शामिल होती है. इसका इस्तेमाल, उन आइटम की पहचान करने के लिए किया जाता है टीएलएस हैंडशेकिंग के दौरान इकाई के बारे में बताता है.
• Truststore - इसमें, ऐसे TLS क्लाइंट पर भरोसेमंद सर्टिफ़िकेट शामिल हैं जिसका इस्तेमाल करके क्लाइंट को दिए गए TLS सर्वर के सर्टिफ़िकेट की पुष्टि करना. आम तौर पर, ये सर्टिफ़िकेट खुद हस्ताक्षर किए हुए सर्टिफ़िकेट, भरोसेमंद सीए के हस्ताक्षर वाले सर्टिफ़िकेट या दो-तरफ़ा यात्रा के लिए इस्तेमाल किए जाने वाले सर्टिफ़िकेट TLS.

जब कीस्टोर में किसी सर्टिफ़िकेट की समयसीमा खत्म हो जाती है और आपने कीस्टोर में, आप कीस्टोर में नया प्रमाणपत्र अपलोड नहीं कर सकते हैं. इसके बजाय, आप:

1. नया कीस्टोर बनाएं.
2. उसी उपनाम नाम का इस्तेमाल करके, नए कीस्टोर में नया सर्टिफ़िकेट अपलोड करें पुराना कीस्टोर.
3. नए वर्शन का इस्तेमाल करने के लिए, अपने वर्चुअल होस्ट या टारगेट सर्वर/टारगेट एंडपॉइंट में रेफ़रंस को अपडेट करें कीस्टोर पर क्लिक करें.

जब ट्रस्टस्टोर में किसी सर्टिफ़िकेट की समयसीमा खत्म हो जाती है और आप Truststore, आपको:

1. एक नया ट्रस्ट स्टोर बनाएं.
2. नए ट्रस्टस्टोर में नया सर्टिफ़िकेट अपलोड करें. ट्रस्टस्टोर के लिए उपनाम का नाम कोई मायने नहीं रखता है. ध्यान दें: अगर कोई सर्टिफ़िकेट किसी चेन का हिस्सा है, तो आपको या तो एक फ़ाइल बनानी होगी जिसमें सभी प्रमाणपत्र शामिल हैं और उस फ़ाइल को किसी एक उपनाम पर अपलोड किया जा सकता है या हर सर्टिफ़िकेट के लिए अलग-अलग उपनाम का इस्तेमाल करके ट्रस्टस्टोर से अलग चेन बनाना चाहिए.
3. नए वर्शन का इस्तेमाल करने के लिए, अपने वर्चुअल होस्ट या टारगेट सर्वर/टारगेट एंडपॉइंट में रेफ़रंस को अपडेट करें Truststore.

जिस अवधि की समयसीमा खत्म हो चुकी है उसे अपडेट करने के तरीकों की खास जानकारी सर्टिफ़िकेट

वह तरीका जिसका इस्तेमाल वर्चुअल होस्ट में, कीस्टोर और ट्रस्टस्टोर का नाम बताने के लिए किया जाता है या टारगेट एंडपॉइंट/टारगेट सर्वर से यह तय होता है कि सर्टिफ़िकेट को अपडेट कैसे किया जाएगा. आप इसका उपयोग कर सकते हैं:

• रेफ़रंस
• सीधे तौर पर इस्तेमाल होने वाले नाम
• फ़्लो वैरिएबल

अपडेट की प्रोसेस पर इन तरीकों के अलग-अलग नतीजे हो सकते हैं. इनके बारे में, नीचे दी गई टेबल में शामिल करें. यह देखा जा सकता है कि रेफ़रंस फ़ाइलें, Cloud और प्राइवेट Cloud के ग्राहक: