Edge for Private Cloud v. 4.16.09
TLS (ट्रांसपोर्ट लेयर सिक्योरिटी, जिसका पिछला वर्शन एसएसएल है), सुरक्षा की स्टैंडर्ड टेक्नोलॉजी है. इसका इस्तेमाल करके, ऐप्लिकेशन से लेकर Apigee Edge और आपकी बैक-एंड सेवाओं तक, आपके पूरे एपीआई एनवायरमेंट में सुरक्षित और एन्क्रिप्ट (सुरक्षित) किए गए मैसेज भेजे जा सकते हैं.
आपके मैनेजमेंट एपीआई के लिए, एनवायरमेंट कॉन्फ़िगरेशन चाहे जो भी हो—उदाहरण के लिए, आपने अपने मैनेजमेंट एपीआई के सामने प्रोक्सी, राउटर, और/या लोड बैलेंसर का इस्तेमाल किया है या नहीं—Edge की मदद से, TLS को चालू और कॉन्फ़िगर किया जा सकता है. इससे, आपको अपने ऑन-प्राइमिस एपीआई मैनेजमेंट एनवायरमेंट में मैसेज एन्क्रिप्शन को कंट्रोल करने की सुविधा मिलती है.
कंपनी की इमारत में Edge Private Cloud इंस्टॉल करने के लिए, ऐसी कई जगहें हैं जहां TLS को कॉन्फ़िगर किया जा सकता है:
- राऊटर और मैसेज प्रोसेसर के बीच
- Edge मैनेजमेंट एपीआई को ऐक्सेस करने के लिए
- Edge मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) को ऐक्सेस करने के लिए
- किसी ऐप्लिकेशन से आपके एपीआई को ऐक्सेस करने के लिए
- Edge से आपकी बैकएंड सेवाओं को ऐक्सेस करने के लिए
पहले तीन आइटम के लिए TLS को कॉन्फ़िगर करने के बारे में यहां बताया गया है. इन सभी तरीकों के लिए यह ज़रूरी है कि आपने एक JKS फ़ाइल बनाई हो, जिसमें आपका TLS सर्टिफ़िकेट और निजी पासकोड हो.
ऊपर #4 में बताए गए तरीके से, किसी ऐप्लिकेशन से अपने एपीआई को ऐक्सेस करने के लिए TLS को कॉन्फ़िगर करने के बारे में जानने के लिए, निजी क्लाउड के लिए एपीआई को ऐक्सेस करने के लिए TLS कॉन्फ़िगर करना लेख पढ़ें. Edge से अपनी बैकएंड सेवाओं को ऐक्सेस करने के लिए, ऊपर दिए गए #5 के तौर पर, Edge से बैकएंड (क्लाउड और निजी क्लाउड) के लिए TLS कॉन्फ़िगर करना देखें.
Edge पर टीएलएस को कॉन्फ़िगर करने के बारे में पूरी जानकारी के लिए, टीएलएस/एसएसएल देखें.
JKS फ़ाइल बनाना
आपने पासकोड को JKS फ़ाइल के तौर पर दिखाया है. इसमें पासकोड में आपका TLS सर्टिफ़िकेट और निजी पासकोड शामिल है. JKS फ़ाइल बनाने के कई तरीके हैं. हालांकि, एक तरीका यह है कि openssl और keytool टूल का इस्तेमाल किया जाए.
उदाहरण के लिए, आपके पास server.pem नाम की एक PEM फ़ाइल है, जिसमें आपका TLS सर्टिफ़िकेट है और private_key.pem नाम की एक PEM फ़ाइल है, जिसमें आपकी निजी कुंजी है. PKCS12 फ़ाइल बनाने के लिए, इन निर्देशों का इस्तेमाल करें:
> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12
अगर पासवर्ड है, तो आपको पासवर्ड और एक्सपोर्ट पासवर्ड डालना होगा. यह कमांड, keystore.pkcs12 नाम की एक पीकेसीएस12 फ़ाइल बनाता है.
इसे keystore.jks नाम की JKS फ़ाइल में बदलने के लिए, यह कमांड इस्तेमाल करें:
> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks
आपको JKS फ़ाइल के लिए नया पासवर्ड और PKCS12 फ़ाइल के लिए मौजूदा पासवर्ड डालने के लिए कहा जाएगा. पक्का करें कि आपने JKS फ़ाइल के लिए वही पासवर्ड इस्तेमाल किया हो जो आपने PKCS12 फ़ाइल के लिए इस्तेमाल किया था.
अगर आपको कोई मुख्य उपनाम तय करना है, जैसे कि राऊटर और मैसेज प्रोसेसर के बीच TLS को कॉन्फ़िगर करते समय, तो Openall कमांड में "-name" विकल्प शामिल करें:
> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest
इसके बाद, keytool कमांड में "-alias" विकल्प शामिल करें:
> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest
पासवर्ड को छिपाने के लिए कोड जनरेट करना
Edge के टीएलएस कॉन्फ़िगरेशन प्रोसेस के कुछ हिस्सों में, आपको कॉन्फ़िगरेशन फ़ाइल में बदला गया पासवर्ड डालना पड़ता है. अपने पासवर्ड को सादे टेक्स्ट में डालने के बजाय, उसे बदला गया पासवर्ड डालना ज़्यादा सुरक्षित होता है.
Edge के साथ इंस्टॉल की गई Jetty .jar फ़ाइलों का इस्तेमाल करके, Java में गुप्त पासवर्ड जनरेट किया जा सकता है. इस फ़ॉर्म में दिए गए निर्देश का इस्तेमाल करके, पासवर्ड को छिपाया जा सकता है:
> IFS= read -rsp Password: passvar; echo; java -cp "/opt/apigee/edge-gateway/lib/thirdparty/*" org.eclipse.jetty.util.security.Password $passvar 2>&1 |tail -2; unset passvar
प्रॉम्प्ट पर नया पासवर्ड डालें. सुरक्षा की वजहों से, पासवर्ड का टेक्स्ट नहीं दिखाया जाता. यह आदेश इस रूप में पासवर्ड लौटाता है:
OBF:58fh40h61svy156789gk1saj MD5:902fobg9d80e6043b394cb2314e9c6
TLS कॉन्फ़िगर करते समय, OBF से तय किए गए पासवर्ड का इस्तेमाल करें.
ज़्यादा जानकारी के लिए, यह लेख पढ़ें.