Edge for Private Cloud v. 4.17.01
TLS (ट्रांसपोर्ट लेयर सिक्योरिटी, जिसका पिछला वर्शन एसएसएल है), सुरक्षा की स्टैंडर्ड टेक्नोलॉजी है. इसका इस्तेमाल करके, ऐप्लिकेशन से लेकर Apigee Edge और आपकी बैक-एंड सेवाओं तक, आपके पूरे एपीआई एनवायरमेंट में सुरक्षित और एन्क्रिप्ट (सुरक्षित) किए गए मैसेज भेजे जा सकते हैं.
आपके मैनेजमेंट एपीआई के लिए एनवायरमेंट कॉन्फ़िगरेशन चाहे जो भी हो—जैसे, अपने मैनेजमेंट एपीआई के सामने प्रॉक्सी, राऊटर, और/या लोड बैलेंसर का इस्तेमाल किया जा रहा हो (या न हो), Edge आपको TLS को चालू और कॉन्फ़िगर करने की सुविधा देता है. इससे आपको अपने ऑन-प्रिमाइस एपीआई मैनेजमेंट एनवायरमेंट में मैसेज एन्क्रिप्शन पर कंट्रोल मिलता है.
Edge Private Cloud को ऑन-प्राइमिस इंस्टॉल करने के लिए, ऐसी कई जगहें हैं जहां आपके पास TLS को कॉन्फ़िगर करने का विकल्प है:
- राऊटर और मैसेज प्रोसेसर के बीच
- Edge मैनेजमेंट एपीआई को ऐक्सेस करने के लिए
- Edge मैनेजमेंट के यूज़र इंटरफ़ेस (यूआई) को ऐक्सेस करने के लिए
- किसी ऐप्लिकेशन से अपने एपीआई ऐक्सेस करने के लिए
- Edge से आपकी बैकएंड सेवाओं को ऐक्सेस करने के लिए
पहले तीन आइटम के लिए TLS को कॉन्फ़िगर करने के बारे में यहां बताया गया है. इन सभी तरीकों के लिए यह ज़रूरी है कि आपने एक JKS फ़ाइल बनाई हो, जिसमें आपका TLS सर्टिफ़िकेट और निजी पासकोड हो.
किसी ऐप्लिकेशन से अपने एपीआई ऐक्सेस करने के लिए, TLS को कॉन्फ़िगर करने के लिए ऊपर #4 में, प्राइवेट क्लाउड के लिए एपीआई के लिए TLS का ऐक्सेस कॉन्फ़िगर करना देखें. Edge से अपनी बैकएंड सेवाओं को ऐक्सेस करने के लिए, ऊपर दिए गए #5 के तौर पर, Edge से बैकएंड (क्लाउड और निजी क्लाउड) के लिए TLS कॉन्फ़िगर करना देखें.
Edge पर टीएलएस को कॉन्फ़िगर करने के बारे में पूरी जानकारी के लिए, टीएलएस/एसएसएल देखें.
JKS फ़ाइल बनाना
कीस्टोर को JKS फ़ाइल के तौर पर दिखाया जाता है, जहां कीस्टोर में आपका TLS सर्टिफ़िकेट और निजी पासकोड मौजूद होता है. JKS फ़ाइल बनाने के कई तरीके हैं. हालांकि, एक तरीका यह है कि openssl और keytool टूल का इस्तेमाल किया जाए.
उदाहरण के लिए, आपके पास server.pem नाम की एक PEM फ़ाइल है, जिसमें आपका TLS सर्टिफ़िकेट है और private_key.pem नाम की एक PEM फ़ाइल है, जिसमें आपकी निजी कुंजी है. PKCS12 फ़ाइल बनाने के लिए, इन निर्देशों का इस्तेमाल करें:
> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12
अगर पासवर्ड है, तो आपको पासवर्ड और एक्सपोर्ट पासवर्ड डालना होगा. इस निर्देश से, keystore.pkcs12 नाम की एक PKCS12 फ़ाइल बनती है.
इसे keystore.jks नाम की JKS फ़ाइल में बदलने के लिए, यह कमांड इस्तेमाल करें:
> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks
आपको JKS फ़ाइल के लिए नया पासवर्ड और PKCS12 फ़ाइल के लिए मौजूदा पासवर्ड डालने के लिए कहा जाएगा. देख लें कि आपने JKS फ़ाइल के लिए, उसी पासवर्ड का इस्तेमाल किया है जिसका इस्तेमाल आपने PKCS12 फ़ाइल के लिए किया है.
अगर आपको कोई मुख्य उपनाम तय करना है, जैसे कि राऊटर और मैसेज प्रोसेसर के बीच TLS को कॉन्फ़िगर करते समय, तो Openall कमांड में "-name" विकल्प शामिल करें:
> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest
इसके बाद, keytool कमांड में "-alias" विकल्प शामिल करें:
> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest
पासवर्ड को छिपाने के लिए कोड जनरेट करना
Edge के टीएलएस कॉन्फ़िगरेशन प्रोसेस के कुछ हिस्सों में, आपको कॉन्फ़िगरेशन फ़ाइल में बदला गया पासवर्ड डालना पड़ता है. अपने पासवर्ड को सादे टेक्स्ट में डालने के बजाय, उसे बदला गया पासवर्ड डालना ज़्यादा सुरक्षित होता है.
Edge Management सर्वर पर इस निर्देश का इस्तेमाल करके, अस्पष्ट पासवर्ड जनरेट किया जा सकता है:
> /opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password
नया पासवर्ड डालें. इसके बाद, प्रॉम्प्ट मिलने पर उसकी पुष्टि करें. सुरक्षा की वजहों से, पासवर्ड का टेक्स्ट नहीं दिखाया जाता. यह निर्देश, पासवर्ड को इस फ़ॉर्मैट में दिखाता है:
OBF:58fh40h61svy156789gk1saj MD5:902fobg9d80e6043b394cb2314e9c6
TLS कॉन्फ़िगर करते समय, OBF से तय किए गए पासवर्ड का इस्तेमाल करें.
ज़्यादा जानकारी के लिए, यह लेख पढ़ें.