ভার্চুয়াল হোস্ট এবং রাউটারে সাইফার স্যুট কনফিগার করা হচ্ছে

আপনি Apigee Edge ডকুমেন্টেশন দেখছেন।
Apigee X ডকুমেন্টেশনে যান তথ্য

Apigee Edge-এ ভার্চুয়াল হোস্ট এবং রাউটারগুলিতে সাইফার স্যুটগুলি কীভাবে কনফিগার করা যায় এই নথিটি ব্যাখ্যা করে৷

একটি সাইফার স্যুট হল অ্যালগরিদমের একটি সেট যা TLS ব্যবহার করে এমন একটি নেটওয়ার্ক সংযোগ সুরক্ষিত করতে সাহায্য করে। ক্লায়েন্ট এবং সার্ভারকে অবশ্যই নির্দিষ্ট সাইফার স্যুটে সম্মত হতে হবে যা বার্তা বিনিময়ে ব্যবহার করা হবে। যদি ক্লায়েন্ট এবং সার্ভার একটি সাইফার স্যুটে একমত না হয়, তাহলে অনুরোধগুলি TLS হ্যান্ডশেক ব্যর্থতার সাথে ব্যর্থ হয়৷

Apigee-এ, ক্লায়েন্ট অ্যাপ্লিকেশন এবং রাউটারগুলির মধ্যে সাইফার স্যুটগুলি পারস্পরিকভাবে সম্মত হওয়া উচিত।

আপনি নিম্নলিখিত কারণগুলির জন্য Apigee Edge-এ সাইফার স্যুটগুলি সংশোধন করতে চাইতে পারেন:

  • ক্লায়েন্ট অ্যাপ্লিকেশন এবং Apigee রাউটারগুলির মধ্যে কোনো সাইফার স্যুট অমিল এড়াতে
  • আরো নিরাপদ সাইফার স্যুট ব্যবহার করতে হয় কোনো নিরাপত্তা দুর্বলতা ঠিক করতে বা উন্নত নিরাপত্তার জন্য

সাইফার স্যুটগুলি ভার্চুয়াল হোস্ট বা অ্যাপিজি রাউটারগুলিতে কনফিগার করা যেতে পারে। উল্লেখ্য যে Apigee ভার্চুয়াল হোস্ট এবং রাউটার উভয় ক্ষেত্রেই শুধুমাত্র OpenSSL সাইফার স্ট্রিং বিন্যাসে সাইফার স্যুট গ্রহণ করে। OpenSSL সাইফার ম্যানপেজ প্রাসঙ্গিক স্পেসিফিকেশন এবং তাদের OpenSSL সমতুল্য থেকে SSL বা TLS সাইফার স্যুট প্রদান করে।

যেমন:

আপনি যদি ভার্চুয়াল হোস্ট বা Apigee রাউটারে TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 সাইফার স্যুট কনফিগার করতে চান, তাহলে আপনাকে OpenSSL সাইফার ম্যানপেজ থেকে সংশ্লিষ্ট OpenSSL সাইফার স্ট্রিং সনাক্ত করতে হবে। সাইফার স্যুট TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 এর OpenSSL সাইফার স্ট্রিং হল ECDHE-RSA-AES128-GCM-SHA256. সুতরাং, ভার্চুয়াল হোস্টে বা অ্যাপিজি রাউটারে সাইফার স্যুট কনফিগার করার সময় আপনাকে OpenSSL সাইফার স্ট্রিং ECDHE-RSA-AES128-GCM-SHA256 ব্যবহার করতে হবে।

আপনি শুরু করার আগে

ভার্চুয়াল হোস্টে সাইফার স্যুট কনফিগার করা হচ্ছে

এই বিভাগটি ব্যাখ্যা করে যে কিভাবে একটি প্রতিষ্ঠান এবং পরিবেশের সাথে যুক্ত ভার্চুয়াল হোস্টে সাইফার স্যুট কনফিগার করতে হয়। সাইফার স্যুটগুলি ভার্চুয়াল হোস্টে ssl_ciphers সম্পত্তির মাধ্যমে কনফিগার করা যেতে পারে, যা ভার্চুয়াল হোস্ট দ্বারা সমর্থিত সাইফার স্যুটগুলির তালিকা উপস্থাপন করে।

Apigee সমর্থন করে এমন সাইফার স্যুটগুলির একটি তালিকার জন্য সমর্থিত সাইফার স্যুটগুলি দেখুন৷

আপনি নিম্নলিখিত পদ্ধতিগুলির মধ্যে একটি ব্যবহার করে ভার্চুয়াল হোস্ট কনফিগার করতে পারেন:

  • এজ UI ব্যবহার করে
  • এজ এপিআই ব্যবহার করে

এজ UI ব্যবহার করে

এজ UI ব্যবহার করে ভার্চুয়াল হোস্ট কনফিগার করতে, নিম্নলিখিতগুলি করুন:

  1. এজ UI এ লগইন করুন।
  2. অ্যাডমিন > ভার্চুয়াল হোস্টে নেভিগেট করুন।
  3. একটি নির্দিষ্ট পরিবেশ নির্বাচন করুন যেখানে আপনি এই পরিবর্তন করতে চান।
  4. নির্দিষ্ট ভার্চুয়াল হোস্ট নির্বাচন করুন যার জন্য আপনি সাইফার স্যুটগুলি কনফিগার করতে চান।
  5. বৈশিষ্ট্যের অধীনে, OpenSSL সাইফার স্ট্রিংগুলির একটি কোলন-ডিলিমিটেড তালিকা সহ সাইফার মান আপডেট করুন।

    উদাহরণ স্বরূপ, আপনি যদি শুধুমাত্র TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 এবং TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 সাইফার স্যুটগুলিকে অনুমতি দিতে চান, তাহলে নিম্নলিখিত ম্যানপেজে দেখানো OpenSSL সাইফার থেকে সংশ্লিষ্ট OpenSSL সাইফার স্ট্রিংগুলি নির্ধারণ করুন:

    সাইফার স্যুট OpenSSL সাইফার স্ট্রিং
    TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 DHE-RSA-AES128-GCM-SHA256
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256

    নিচের চিত্রে দেখানো হিসাবে কোলন বিচ্ছেদ সহ OpenSSL সাইফার স্ট্রিং যোগ করুন:

    Ciphers example

  6. পরিবর্তন সংরক্ষণ করুন .

এজ এপিআই ব্যবহার করে

এজ এপিআই ব্যবহার করে ভার্চুয়াল হোস্টে সাইফার স্যুটগুলি কনফিগার করতে, নিম্নলিখিতগুলি করুন:

  1. নিচের মত গেট ভার্চুয়াল হোস্ট API ব্যবহার করে বর্তমান ভার্চুয়াল হোস্ট কনফিগারেশন পান:

    পাবলিক ক্লাউড ব্যবহারকারী:

    curl -v -X GET https://api.enterprise.apigee.com/v1/organizations/{organization-name}/environments/{environment-name}/virtualhosts/{virtualhost-name} -u {username}

    ব্যক্তিগত ক্লাউড ব্যবহারকারী:

    curl -v -X GET http://{management_server_IP}:8080/v1/organizations/{organization-name}/environments/{environment-name}/virtualhosts/{virtualhost-name} -u {username}
    {
  "hostAliases": [
    "api.myCompany,com"
  ],
  "interfaces": [],
  "listenOptions": [],
  "name": "secure",
  "port": "443",
  "retryOptions": [],
  "sSLInfo": {
    "ciphers": [],
    "clientAuthEnabled": "false",
    "enabled": "true",
    "ignoreValidationErrors": false,
    "keyAlias": "myCompanyKeyAlias",
    "keyStore": "ref://myCompanyKeystoreref",
    "protocols": []
  },
  "useBuiltInFreeTrialCert": false
}

  2. উপযুক্ত OpenSSL সাইফার স্ট্রিং সহ properties অধীনে বিদ্যমান ভার্চুয়াল হোস্ট কনফিগারেশন JSON পেলোডে প্রপার্টি ssl_ciphers যোগ করুন।

    উদাহরণ স্বরূপ, আপনি যদি শুধুমাত্র TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 এবং TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 সাইফার স্যুটগুলিকে অনুমতি দিতে চান, তাহলে নিম্নলিখিত ম্যানপেজে দেখানো OpenSSL সাইফার থেকে সংশ্লিষ্ট OpenSSL সাইফার স্ট্রিংগুলি নির্ধারণ করুন:

    সাইফার স্যুট OpenSSL সাইফার স্ট্রিং
    TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 DHE-RSA-AES128-GCM-SHA256
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256

    নিম্নলিখিত properties কোড ব্লক যোগ করুন:

    নমুনা আপডেট করা ভার্চুয়াল হোস্ট কনফিগারেশন:

    {
  "hostAliases": [
    "api.myCompany,com",
  ],
  "interfaces": [],
  "listenOptions": [],
  "name": "secure",
  "port": "443",
  "retryOptions": [],
  "properties": {
    "property": [
      {
        "name": "ssl_ciphers",
        "value": "DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256"
      }
    ]
  },
  "sSLInfo": {
    "ciphers": [],
    "clientAuthEnabled": "false",
    "enabled": "true",
    "ignoreValidationErrors": false,
    "keyAlias": "myCompanyKeyAlias",
    "keyStore": "ref://myCompanyKeystoreref",
    "protocols": []
  },
  "useBuiltInFreeTrialCert": false
}
  3. একটি ফাইলে আপডেট করা ভার্চুয়াল হোস্ট কনফিগারেশন সংরক্ষণ করুন। উদাহরণস্বরূপ, virtualhost-payload.json
  4. নিম্নরূপ একটি ভার্চুয়াল হোস্ট API আপডেট করুন ব্যবহার করে পরিবর্তনের সাথে virtualhost কনফিগারেশন আপডেট করুন:

    পাবলিক ক্লাউড ব্যবহারকারী:

    curl -v -X POST Content-Type: application/json
https://api.enterprise.apigee.com/v1/organizations/{organization-name}/environments/{environment-name}/virtualhosts/{virtualhost-name} -d @virtualhost-payload.json -u {username}

    ব্যক্তিগত ক্লাউড ব্যবহারকারী:

    curl -v -X POST Content-Type: application/json
http://{management_server_IP}:8080/v1/organizations/{organization-name}/environments/{environment-name}/virtualhosts/{virtualhost-name} -d @virtualhost-payload.json -u {username}

সমর্থিত সাইফার স্যুট

Apigee নিম্নলিখিত সাইফার স্যুট সমর্থন করে:

ECDHE-RSA-AES256-GCM-SHA384
ECDHE-RSA-AES256-SHA384
ECDHE-RSA-AES256-SHA
DHE-RSA-AES256-GCM-SHA384
DHE-RSA-AES256-SHA256
DHE-RSA-AES256-SHA
DHE-RSA-CAMELLIA256-SHA
AES256-GCM-SHA384
AES256-SHA256  
AES256-SHA
CAMELLIA256-SHA
ECDHE-RSA-AES128-GCM-SHA256
ECDHE-RSA-AES128-SHA256
ECDHE-RSA-AES128-SHA
DHE-RSA-AES128-GCM-SHA256
DHE-RSA-AES128-SHA256
DHE-RSA-AES128-SHA
DHE-RSA-CAMELLIA128-SHA
AES128-GCM-SHA256
AES128-SHA256   
AES128-SHA 
CAMELLIA128-SHA

ভার্চুয়াল হোস্টে সাইফার স্যুট যাচাই করা হচ্ছে

এজ এপিআই ব্যবহার করে ভার্চুয়াল হোস্টে সাইফার স্যুটগুলি সফলভাবে পরিবর্তিত হয়েছে কিনা তা যাচাই করতে এই বিভাগটি ব্যাখ্যা করে।

  1. নীচে দেখানো হিসাবে virtualhost কনফিগারেশন পেতে গেট ভার্চুয়াল হোস্ট API চালান:

    পাবলিক ক্লাউড ব্যবহারকারী: 

    curl -v -X GET https://api.enterprise.apigee.com/v1/organizations/{organization-name}/environments/{environment-name}/virtualhosts/{virtualhost-name} -u {username}

    ব্যক্তিগত ক্লাউড ব্যবহারকারী: 

    curl -v -X GET http://{management_server_IP}:8080/v1/organizations/{organization-name}/environments/{environment-name}/virtualhosts/{virtualhost-name} -u {username}
  2. যাচাই করুন যে সম্পত্তি ssl_ciphers নতুন মান সেট করা হয়েছে।

    নমুনা আপডেট করা ভার্চুয়াল হোস্ট কনফিগারেশন: 

    {
  "hostAliases": [
    "api.myCompany,com",
  ],
  "interfaces": [],
  "listenOptions": [],
  "name": "secure",
  "port": "443",
  "retryOptions": [],
  "properties": {
    "property": [
      {
        "name": "ssl_ciphers",
        "value": "DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256"
      }
    ]
  },
  "sSLInfo": {
    "ciphers": [],
    "clientAuthEnabled": "false",
    "enabled": "true",
    "ignoreValidationErrors": false,
    "keyAlias": "myCompanyKeyAlias",
    "keyStore": "ref://myCompanyKeystoreref",
    "protocols": []
  },
  "useBuiltInFreeTrialCert": false
}

    উপরের উদাহরণে, মনে রাখবেন যে ssl_ciphers নতুন মান দিয়ে সেট করা হয়েছে।

  3. আপনি যদি এখনও ssl_ciphers এর জন্য পুরানো মান দেখতে পান, তাহলে যাচাই করুন যে আপনি ভার্চুয়াল হোস্টগুলিতে সাইফার স্যুট কনফিগার করার ক্ষেত্রে বর্ণিত সমস্ত পদক্ষেপ সঠিকভাবে অনুসরণ করেছেন। আপনি যদি কোনো ধাপ মিস করে থাকেন তবে সবগুলো ধাপ সঠিকভাবে পুনরাবৃত্তি করুন।
  4. আপনি যদি এখনও ভার্চুয়াল হোস্টে সাইফার স্যুট আপডেট বা যোগ করতে না পারেন, তাহলে Apigee Edge Support-এর সাথে যোগাযোগ করুন।

রাউটারে সাইফার স্যুট কনফিগার করা হচ্ছে

এই বিভাগটি ব্যাখ্যা করে কিভাবে রাউটারে সাইফার স্যুট কনফিগার করতে হয়। সাইফার স্যুটগুলি রাউটার প্রপার্টি conf_load_balancing_load.balancing.driver.server.ssl.ciphers এর মাধ্যমে কনফিগার করা যেতে পারে, যা কোলন-বিচ্ছিন্ন গৃহীত সাইফার স্যুটগুলির প্রতিনিধিত্ব করে।

রাউটারগুলিতে সাইফার স্যুটগুলি কনফিগার করতে, নিম্নলিখিতগুলি করুন:

  1. রাউটার মেশিনে, একটি সম্পাদকে নিম্নলিখিত ফাইলটি খুলুন। যদি এটি ইতিমধ্যে বিদ্যমান না থাকে তবে এটি তৈরি করুন। 

    /opt/apigee/customer/application/router.properties

    উদাহরণস্বরূপ, vi দিয়ে ফাইলটি খুলতে, নিম্নলিখিতটি লিখুন: 

    vi /opt/apigee/customer/application/router.properties
  2. colon_separated_cipher_suites এর জন্য একটি মান প্রতিস্থাপন করে properties ফাইলে নিম্নলিখিত বিন্যাসে একটি লাইন যোগ করুন:
    conf_load_balancing_load.balancing.driver.server.ssl.ciphers=colon_separated_cipher_suites

    উদাহরণ স্বরূপ, আপনি যদি শুধুমাত্র TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 এবং TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 সাইফার স্যুটগুলিকে অনুমতি দিতে চান, তাহলে নিম্নলিখিত ম্যানপেজে দেখানো OpenSSL সাইফার থেকে সংশ্লিষ্ট OpenSSL সাইফার স্ট্রিংগুলি নির্ধারণ করুন:

    সাইফার স্যুট OpenSSL সাইফার স্ট্রিং
    TLS_DHE_RSA_WITH_AES_128_GCM_SHA256 DHE-RSA-AES128-GCM-SHA256
    TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256 ECDHE-RSA-AES128-GCM-SHA256

    এবং তারপর নিম্নলিখিত লাইন যোগ করুন: 

    conf_load_balancing_load.balancing.driver.server.ssl.ciphers=DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256
  3. আপনার পরিবর্তন সংরক্ষণ করুন.
  4. নিশ্চিত করুন যে এই প্রপার্টি ফাইলটি নীচে দেখানো হিসাবে apigee ব্যবহারকারীর মালিকানাধীন: 
    chown apigee:apigee /opt/apigee/customer/application/router.properties
  5. নীচে দেখানো হিসাবে রাউটার পুনরায় চালু করুন: 
    /opt/apigee/apigee-service/bin/apigee-service edge-router restart
  6. আপনার যদি একাধিক রাউটার থাকে তবে সমস্ত রাউটারে উপরের ধাপগুলি পুনরাবৃত্তি করুন।

রাউটারে সাইফার স্যুট যাচাই করা হচ্ছে

এই বিভাগটি ব্যাখ্যা করে কিভাবে যাচাই করা যায় যে রাউটারগুলিতে সাইফার স্যুট সফলভাবে পরিবর্তন করা হয়েছে।

  1. রাউটারে, /opt/apigee ফোল্ডার থেকে Apigee সার্চ ইউটিলিটি ব্যবহার করে conf_load_balancing_load.balancing.driver.server.ssl.ciphers প্রপার্টি অনুসন্ধান করুন এবং নিচের মত নতুন মান দিয়ে সেট করা হয়েছে কিনা তা পরীক্ষা করুন: 
    /opt/apigee/apigee-service/bin/apigee-service edge-router configure -search conf_load_balancing_load.balancing.driver.server.ssl.ciphers
  2. যদি নতুন সাইফার স্যুট রাউটারে সফলভাবে সেট করা হয়, তাহলে উপরের কমান্ডটি নতুন মান দেখায়।

    যখন সাইফার স্যুটগুলি DHE-RSA-AES128-GCM-SHA256 এবং ECDHE-RSA-AES128-GCM-SHA256 এ আপডেট করা হয়েছিল তখন উপরের search কমান্ড থেকে নিম্নলিখিত নমুনা ফলাফল রয়েছে: 

    Found key conf_load_balancing_load.balancing.driver.server.ssl.ciphers, with value, DHE-RSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256, in /opt/apigee/customer//application/router.properties

    উপরের উদাহরণের আউটপুটে, লক্ষ্য করুন যে প্রপার্টি conf_load_balancing_load.balancing.driver.server.ssl.ciphers নতুন সাইফার স্যুট মান সহ সেট করা হয়েছে। এটি নির্দেশ করে যে সাইফার স্যুটটি রাউটারের OpenSSL সাইফার স্ট্রিং DHE-RSA-AES128-GCM-SHA25 এবং ECDHE-RSA-AES128-GCM-SHA256 এ সফলভাবে আপডেট করা হয়েছে।

  3. আপনি যদি এখনও সাইফার স্যুট conf_load_balancing_load.balancing.driver.server.ssl.ciphers এর পুরানো মানগুলি দেখতে পান, তাহলে যাচাই করুন যে আপনি রাউটারে সাইফার স্যুট কনফিগার করার ক্ষেত্রে বর্ণিত সমস্ত পদক্ষেপ সঠিকভাবে অনুসরণ করেছেন৷ আপনি যদি কোনো ধাপ মিস করে থাকেন তবে সবগুলো ধাপ সঠিকভাবে পুনরাবৃত্তি করুন।
  4. আপনি যদি এখনও রাউটারে সাইফার স্যুটগুলি সংশোধন করতে না পারেন, তাহলে Apigee Edge Support-এর সাথে যোগাযোগ করুন।