मैनेजमेंट एपीआई के लिए TLS कॉन्फ़िगर करना

Edge for Private Cloud v. 4.16.05

डिफ़ॉल्ट रूप से, management API के लिए TLS की सुविधा बंद रहती है. साथ ही, Edge management API को ऐक्सेस किया जा सकता है मैनेजमेंट सर्वर नोड और पोर्ट 8080 के आईपी पते का इस्तेमाल करके एचटीटीपी को टैग करें. उदाहरण के लिए:

http://ms_IP:8080

इसके अलावा, मैनेजमेंट एपीआई में TLS का ऐक्सेस कॉन्फ़िगर किया जा सकता है, ताकि आप इसे यहां ऐक्सेस कर सकें फ़ॉर्म:

https://ms_IP:8443

इस उदाहरण में, पोर्ट 8443 का इस्तेमाल करने के लिए TLS के ऐक्सेस को कॉन्फ़िगर किया गया है. हालांकि, वह पोर्ट नंबर Edge के लिए ज़रूरी है - अन्य पोर्ट वैल्यू इस्तेमाल करने के लिए, Management Server को कॉन्फ़िगर किया जा सकता है. सिर्फ़ शर्त यह है कि आपका फ़ायरवॉल, बताए गए पोर्ट पर ट्रैफ़िक की अनुमति देता हो.

आपके Management API में और उससे ट्रैफ़िक को एन्क्रिप्ट (सुरक्षित) किया जाना चाहिए, यह पक्का करने के लिए यहां दी गई सेटिंग कॉन्फ़िगर करें /<install_dir>/apigee/customer/application/management-server.properties फ़ाइल से लिए जाते हैं.

TLS कॉन्फ़िगरेशन के अलावा, आप पासवर्ड की पुष्टि (पासवर्ड की लंबाई) को भी कंट्रोल कर सकते हैं और स्ट्रेंथ) के लिए, management-server.properties फ़ाइल में बदलाव करके.

पक्का करें कि आपका TLS पोर्ट खुला हो

इस सेक्शन में दी गई प्रक्रिया, TLS को मैनेजमेंट सर्वर पर पोर्ट 8443 का इस्तेमाल करने के लिए कॉन्फ़िगर करती है. चाहे किसी भी पोर्ट का इस्तेमाल किया जा रहा हो, आपको यह पक्का करना होगा कि पोर्ट, मैनेजमेंट प्लैटफ़ॉर्म पर खुला हो सर्वर. उदाहरण के लिए, इसे खोलने के लिए इस कमांड का इस्तेमाल किया जा सकता है:

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose

TLS को कॉन्फ़िगर करें

/<install_dir>/apigee/customer/application/management-server.properties में बदलाव करें फ़ाइल का इस्तेमाल किया जा सकता है. अगर यह फ़ाइल मौजूद नहीं है, तो उसे बनाएं.

मैनेजमेंट एपीआई में TLS का ऐक्सेस कॉन्फ़िगर करने के लिए, यहां दी गई प्रोसेस का इस्तेमाल करें:

  1. अपने TLS सर्टिफ़िकेशन और निजी कुंजी वाली कीस्टोर JKS फ़ाइल जनरेट करें. ज़्यादा के लिए Edge On के लिए TLS/एसएसएल को कॉन्फ़िगर करना परिसर.
  2. कीस्टोर JKS फ़ाइल को मैनेजमेंट सर्वर नोड पर किसी डायरेक्ट्री में कॉपी करें, जैसे /tmp.
  3. JKS फ़ाइल के मालिकाना हक को apigee में बदलें:
    $ chown apigee:apigee keystore.jks

    अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है जहां keystore.jks, आपकी कीस्टोर फ़ाइल का नाम है.
  4. बदलाव करें /<install_dir>/apigee/customer/application/management-server.properties नीचे दी गई प्रॉपर्टी को सेट करने के लिए. अगर वह फ़ाइल मौजूद नहीं है, तो इसे बनाएं:
    conf_webserver_ssl.enabled=true
    # अगर सभी कम्यूनिकेशन एचटीटीपीएस पर होने चाहिए, तो 'सही' के बगल में सेट करें.
    अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है # इसका सुझाव नहीं दिया जाता, क्योंकि कई एज इंटरनल कॉल एचटीटीपी का इस्तेमाल करते हैं.
    अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है conf_webserver_http.turn.off=false
    conf_webserver_ssl.port=8443
    conf_webserver_keystore.path=/tmp/keystore.jks
    # नीचे अस्पष्ट कीस्टोर पासवर्ड डालें.
    अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है conf_webserver_keystore.password=OBF:obfuscatedPassword
    conf_webserver_cert.alias=apigee-devtest

    अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है जहां keyStore.jks आपकी कीस्टोर फ़ाइल है, और obfuscatedPassword, उलझा हुआ कीस्टोर पासवर्ड है. इसके लिए Edge ऑन परिसर के लिए TLS/एसएसएल को कॉन्फ़िगर करना देखें अस्पष्ट पासवर्ड जनरेट करने के बारे में जानकारी.
  5. निर्देश का इस्तेमाल करके, एज मैनेजमेंट सर्वर को रीस्टार्ट करें:
    $ /<install_der>/apigee/apigee-service/bin/apigee-service Edge-management-server रीस्टार्ट करो

मैनेजमेंट एपीआई अब TLS पर ऐक्सेस करने की सुविधा देता है.

इसे ऐक्सेस करने के लिए, TLS का इस्तेमाल करने के लिए Edge यूज़र इंटरफ़ेस (यूआई) कॉन्फ़िगर करें Edge API

ऊपर दी गई प्रक्रिया में, Apigee ने conf_webserver_http.turn.off=false को छोड़ने का सुझाव दिया है, ताकि Edge यूज़र इंटरफ़ेस (यूआई), एचटीटीपी पर Edge एपीआई कॉल करना जारी रख सकता है. नीचे दी गई प्रक्रिया का इस्तेमाल करके एज यूज़र इंटरफ़ेस (यूआई) को कॉन्फ़िगर करें, ताकि ये कॉल सिर्फ़ एचटीटीपीएस पर किए जा सकें:

  1. ऊपर बताए गए तरीके से, Management API के लिए TLS का ऐक्सेस कॉन्फ़िगर करें.
  2. यह पुष्टि करने के बाद कि टीएलएस, मैनेजमेंट एपीआई के लिए काम कर रहा है, /<install_dr>/apigee/customer/application/management-server.properties में बदलाव करें यह प्रॉपर्टी सेट करें:
    conf_webserver_http.turn.off=true
  3. निर्देश का इस्तेमाल करके, एज मैनेजमेंट सर्वर को रीस्टार्ट करें:
    $ /<install_der>/apigee/apigee-service/bin/apigee-service Edge-management-server रीस्टार्ट करो
  4. /<install_dr>/apigee/customer/application/ui.properties में बदलाव करें नीचे दी गई प्रॉपर्टी को एज यूज़र इंटरफ़ेस (यूआई) के लिए सेट करें. अगर वह फ़ाइल मौजूद नहीं है, तो इसे बनाएं:
    conf_apigee_apigee.mgmt.baseurl=&quot;https://MS_IP:8443/v1&quot;

    अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है जहां MS_IP, मैनेजमेंट सर्वर और पोर्ट का आईपी पता है नंबर वह पोर्ट है जिसे ऊपर conf_webserver_ssl.port में बताया गया है.
  5. सिर्फ़ तब, जब आपने टीएलएस का ऐक्सेस कॉन्फ़िगर करते समय, खुद हस्ताक्षर किए गए सर्टिफ़िकेट का इस्तेमाल किया हो ऊपर दिए गए मैनेजमेंट एपीआई के साथ, इस प्रॉपर्टी को ui.properties में जोड़ें:
    conf/application.conf+ws.acceptAnyCertificate=true

    ऐसा न करने पर, Edge यूज़र इंटरफ़ेस (यूआई) उस सर्टिफ़िकेट को अस्वीकार कर देगा जिस पर आपने खुद हस्ताक्षर किया हुआ है.
  6. निर्देश का इस्तेमाल करके Edge यूज़र इंटरफ़ेस (यूआई) रीस्टार्ट करें:
    $ /<install_di>/apigee/apigee-service/bin/apigee-service Edge-ui रीस्टार्ट

मैनेजमेंट सर्वर के लिए TLS प्रॉपर्टी

नीचे दी गई टेबल में उन सभी TLS/एसएसएल प्रॉपर्टी की सूची दी गई है जिन्हें management-server.properties में सेट किया जा सकता है:

प्रॉपर्टी

जानकारी

conf_webserver_http.port=8080

डिफ़ॉल्ट संख्या 8080 है.

conf_webserver_ssl.enabled=false

TLS/एसएसएल को चालू/बंद करने के लिए. TLS/SSL सक्षम (सही) होने पर, आपको SSL.port को भी सेट करना होगा और keystore.path प्रॉपर्टी.

conf_webserver_http.turn.off=true

एचटीटीपीएस के साथ-साथ एचटीटीपी को चालू/बंद करने के लिए. अगर आप सिर्फ़ एचटीटीपीएस का इस्तेमाल करना चाहते हैं, तो डिफ़ॉल्ट वैल्यू को true पर सेट करें.

conf_webserver_ssl.port=8443

TLS/SSL पोर्ट.

TLS/एसएसएल चालू होने पर ज़रूरी है (conf_webserver_ssl.enabled=true).

conf_webserver_keystore.path=&lt;path&gt;

आपकी कीस्टोर फ़ाइल का पाथ.

TLS/एसएसएल चालू होने पर ज़रूरी है (conf_webserver_ssl.enabled=true).

conf_webserver_keystore.password=

इस फ़ॉर्मैट में अस्पष्ट पासवर्ड का इस्तेमाल करें: OBF:xxxxxxxxxx

conf_webserver_cert.alias=

कीस्टोर सर्टिफ़िकेट का वैकल्पिक नाम

conf_webserver_keymanager.password=

अगर आपके कुंजी मैनेजर के पास पासवर्ड है, तो उसका अस्पष्ट वर्शन यह फ़ॉर्मैट: OBF:xxxxxxxxxx

conf_webserver_trust.all= <गलत | true>

conf_webserver_trust.store.path=&lt;path&gt;

conf_webserver_trust.store.password=

अपने ट्रस्ट स्टोर के लिए सेटिंग कॉन्फ़िगर करें. तय करें कि क्या आप सभी TLS/एसएसएल सर्टिफ़िकेट. उदाहरण के लिए, नॉन-स्टैंडर्ड टाइप स्वीकार करने के लिए. डिफ़ॉल्ट सेटिंग यह है false सेट करें. पाथ डालें को अपने ट्रस्ट स्टोर में जोड़ें और इस फ़ॉर्मैट में अस्पष्ट ट्रस्ट स्टोर पासवर्ड डालें: OBF:xxxxxxxxxx

conf_webserver_exclude.cipher.suites=&lt;CIPHER_SUITE_1 CIPHER_SUITE_2>

conf_webserver_include.cipher.suites=

ऐसे किसी भी साइफ़र सुइट की जानकारी दें जिसे आपको शामिल करना है या बाहर रखना है. उदाहरण के लिए, अगर जोखिम की आशंका का पता चलता है, तो आप उसे यहां छोड़ सकते हैं. एक से ज़्यादा साइफ़र को अलग करना स्पेस बनाएं.

साइफ़र सुइट और क्रिप्टोग्राफ़ी आर्किटेक्चर के बारे में जानकारी के लिए, यहां देखें:

http://docs.oracle.com/javase/8/docs/technotes/
guides/security/SunProviders.html#SunJSSE

conf_webserver_ssl.session.cache.size=

conf_webserver_ssl.session.timeout=

वे पूर्णांक जो तय करते हैं कि:

  • सेशन की जानकारी सेव करने के लिए, TLS/एसएसएल सेशन की कैश मेमोरी का साइज़ (बाइट में) एक से ज़्यादा क्लाइंट के लिए.
  • TLS/एसएसएल सेशन के खत्म होने से पहले इतना समय मिलीसेकंड).