मैनेजमेंट एपीआई के लिए TLS कॉन्फ़िगर करना

Edge for Private Cloud v. 4.17.05

डिफ़ॉल्ट रूप से, management API के लिए TLS की सुविधा बंद रहती है. साथ ही, Edge management API को ऐक्सेस किया जा सकता है मैनेजमेंट सर्वर नोड और पोर्ट 8080 के आईपी पते का इस्तेमाल करके एचटीटीपी को टैग करें. उदाहरण के लिए:

http://ms_IP:8080

इसके अलावा, मैनेजमेंट एपीआई में TLS का ऐक्सेस कॉन्फ़िगर किया जा सकता है, ताकि आप इसे यहां ऐक्सेस कर सकें फ़ॉर्म:

https://ms_IP:8443

इस उदाहरण में, पोर्ट 8443 का इस्तेमाल करने के लिए TLS के ऐक्सेस को कॉन्फ़िगर किया गया है. हालांकि, वह पोर्ट नंबर Edge के लिए ज़रूरी है - अन्य पोर्ट वैल्यू इस्तेमाल करने के लिए, Management Server को कॉन्फ़िगर किया जा सकता है. सिर्फ़ शर्त यह है कि आपका फ़ायरवॉल, बताए गए पोर्ट पर ट्रैफ़िक की अनुमति देता हो.

आपके Management API में और उससे ट्रैफ़िक को एन्क्रिप्ट (सुरक्षित) किया जाना चाहिए, यह पक्का करने के लिए यहां दी गई सेटिंग कॉन्फ़िगर करें /opt/apigee/customer/application/management-server.properties फ़ाइल से लिए जाते हैं.

TLS कॉन्फ़िगरेशन के अलावा, आप पासवर्ड की पुष्टि (पासवर्ड की लंबाई) को भी कंट्रोल कर सकते हैं और स्ट्रेंथ) के लिए, management-server.properties फ़ाइल में बदलाव करके.

पक्का करें कि आपका TLS पोर्ट खुला हो

इस सेक्शन में दी गई प्रक्रिया, TLS को मैनेजमेंट सर्वर पर पोर्ट 8443 का इस्तेमाल करने के लिए कॉन्फ़िगर करती है. चाहे किसी भी पोर्ट का इस्तेमाल किया जा रहा हो, आपको यह पक्का करना होगा कि पोर्ट, मैनेजमेंट प्लैटफ़ॉर्म पर खुला हो सर्वर. उदाहरण के लिए, इसे खोलने के लिए इस कमांड का इस्तेमाल किया जा सकता है:

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose

TLS को कॉन्फ़िगर करें

/opt/apigee/customer/application/management-server.properties में बदलाव करें फ़ाइल का इस्तेमाल किया जा सकता है. अगर यह फ़ाइल मौजूद नहीं है, तो उसे बनाएं.

मैनेजमेंट एपीआई में TLS का ऐक्सेस कॉन्फ़िगर करने के लिए, यहां दी गई प्रोसेस का इस्तेमाल करें:

  1. अपने TLS सर्टिफ़िकेशन और निजी कुंजी वाली कीस्टोर JKS फ़ाइल जनरेट करें. ज़्यादा के लिए Edge On के लिए TLS/एसएसएल को कॉन्फ़िगर करना परिसर.
  2. कीस्टोर JKS फ़ाइल को Management Server नोड पर किसी डायरेक्ट्री में कॉपी करें, जैसे के रूप में कॉन्फ़िगर करें /opt/apigee/customer/application.
  3. JKS फ़ाइल के मालिकाना हक को apigee में बदलें:
    $ chown apigee:apigee keystore.jks

    अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है जहां keystore.jks, आपकी कीस्टोर फ़ाइल का नाम है.
  4. /opt/apigee/customer/application/management-server.properties में बदलाव करें नीचे दी गई प्रॉपर्टी को सेट करने के लिए. अगर वह फ़ाइल मौजूद नहीं है, तो इसे बनाएं:
    conf_webserver_ssl.enabled=true
    # conf_webserver_http.turn.off को गलत पर सेट रहने दें
    # क्योंकि ज़्यादातर Edge इंटरनल कॉल, एचटीटीपी का इस्तेमाल करते हैं.
    अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है conf_webserver_http.turn.off=false
    conf_webserver_ssl.port=8443
    conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks
    # नीचे अस्पष्ट कीस्टोर पासवर्ड डालें.
    अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है conf_webserver_keystore.password=OBF:obfuscatedPassword
    conf_webserver_cert.alias=apigee-devtest

    अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है जहां keyStore.jks आपकी कीस्टोर फ़ाइल है, और obfuscatedPassword, उलझा हुआ कीस्टोर पासवर्ड है. इसके लिए Edge ऑन परिसर के लिए TLS/एसएसएल को कॉन्फ़िगर करना देखें अस्पष्ट पासवर्ड जनरेट करने के बारे में जानकारी.
  5. निर्देश का इस्तेमाल करके, एज मैनेजमेंट सर्वर को रीस्टार्ट करें:
    $ /opt/apigee/apigee-service/bin/apigee-service Edge-management-सर्वर रीस्टार्ट

मैनेजमेंट एपीआई अब TLS पर ऐक्सेस करने की सुविधा देता है.

यह सुनिश्चित करने के बाद कि TLS ठीक से काम कर रहा है, जिसमें यह सुनिश्चित करना भी शामिल है कि वह Edge यूज़र इंटरफ़ेस (यूआई), तो मैनेजमेंट एपीआई के लिए एचटीटीपी ऐक्सेस को बंद किया जा सकता है. इसका तरीका अगले लेख में बताया गया है सेक्शन में जाएं.

इसे ऐक्सेस करने के लिए, TLS का इस्तेमाल करने के लिए Edge यूज़र इंटरफ़ेस (यूआई) कॉन्फ़िगर करें Edge API

ऊपर दी गई प्रक्रिया में, Apigee ने conf_webserver_http.turn.off=false को छोड़ने का सुझाव दिया है, ताकि Edge यूज़र इंटरफ़ेस (यूआई), एचटीटीपी पर Edge एपीआई कॉल करना जारी रख सकता है.

Edge यूज़र इंटरफ़ेस (यूआई) को कॉन्फ़िगर करने के लिए नीचे दी गई प्रक्रिया का इस्तेमाल करें, ताकि ये कॉल सिर्फ़ एचटीटीपीएस पर किए जा सकें:

  1. ऊपर बताए गए तरीके से, Management API के लिए TLS का ऐक्सेस कॉन्फ़िगर करें.
  2. यह पुष्टि करने के बाद कि TLS, Management API के लिए काम कर रहा है या नहीं, /opt/apigee/customer/application/management-server.properties में बदलाव करें यह प्रॉपर्टी सेट करें:
    conf_webserver_http.turn.off=true
  3. निर्देश का इस्तेमाल करके, एज मैनेजमेंट सर्वर को रीस्टार्ट करें:
    $ /opt/apigee/apigee-service/bin/apigee-service Edge-management-सर्वर रीस्टार्ट करना
  4. /opt/apigee/customer/application/ui.properties में बदलाव करें नीचे दी गई प्रॉपर्टी को एज यूज़र इंटरफ़ेस (यूआई) के लिए सेट करें. अगर वह फ़ाइल मौजूद नहीं है, तो इसे बनाएं:
    conf_apigee_apigee.mgmt.baseurl="https://FQDN:8443/v1"

    अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है यहां आपके सर्टिफ़िकेट के मुताबिक, FQDN का पूरा डोमेन नेम होता है का पता और पोर्ट नंबर वह पोर्ट है जो ऊपर तय किया गया है conf_webserver_ssl.port.
  5. सिर्फ़ तब, जब आपने खुद हस्ताक्षर किए हुए सर्टिफ़िकेट का इस्तेमाल किया हो (प्रोडक्शन में इसका सुझाव नहीं दिया जाता) एनवायरमेंट) में, ऊपर दिए गए मैनेजमेंट एपीआई के लिए TLS के ऐक्सेस को कॉन्फ़िगर करते समय, प्रॉपर्टी को ui.properties से लिंक करें:
    conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true

    ऐसा न करने पर, Edge यूज़र इंटरफ़ेस (यूआई) उस सर्टिफ़िकेट को अस्वीकार कर देगा जिस पर आपने खुद हस्ताक्षर किया हुआ है.
  6. निर्देश का इस्तेमाल करके Edge यूज़र इंटरफ़ेस (यूआई) रीस्टार्ट करें:
    $ /opt/apigee/apigee-service/bin/apigee-service Edge-UI रीस्टार्ट

मैनेजमेंट सर्वर के लिए TLS प्रॉपर्टी

नीचे दी गई टेबल में उन सभी TLS/एसएसएल प्रॉपर्टी की सूची दी गई है जिन्हें management-server.properties में सेट किया जा सकता है:

प्रॉपर्टी

जानकारी

conf_webserver_http.port=8080

डिफ़ॉल्ट संख्या 8080 है.

conf_webserver_ssl.enabled=false

TLS/एसएसएल को चालू/बंद करने के लिए. TLS/SSL सक्षम (सही) होने पर, आपको SSL.port को भी सेट करना होगा और keystore.path प्रॉपर्टी.

conf_webserver_http.turn.off=true

एचटीटीपीएस के साथ-साथ एचटीटीपी को चालू/बंद करने के लिए. अगर आप सिर्फ़ एचटीटीपीएस का इस्तेमाल करना चाहते हैं, तो डिफ़ॉल्ट वैल्यू को true पर सेट करें.

conf_webserver_ssl.port=8443

TLS/SSL पोर्ट.

TLS/एसएसएल चालू होने पर ज़रूरी है (conf_webserver_ssl.enabled=true).

conf_webserver_keystore.path=<path>

आपकी कीस्टोर फ़ाइल का पाथ.

TLS/एसएसएल चालू होने पर ज़रूरी है (conf_webserver_ssl.enabled=true).

conf_webserver_keystore.password=

इस फ़ॉर्मैट में अस्पष्ट पासवर्ड का इस्तेमाल करें: OBF:xxxxxxxxxx

conf_webserver_cert.alias=

कीस्टोर सर्टिफ़िकेट का वैकल्पिक नाम

conf_webserver_keymanager.password=

अगर आपके कुंजी मैनेजर के पास पासवर्ड है, तो उसका अस्पष्ट वर्शन यह फ़ॉर्मैट: OBF:xxxxxxxxxx

conf_webserver_trust.all= <गलत | true>

conf_webserver_trust.store.path=&lt;path&gt;

conf_webserver_trust.store.password=

अपने ट्रस्ट स्टोर के लिए सेटिंग कॉन्फ़िगर करें. तय करें कि क्या आप सभी TLS/एसएसएल सर्टिफ़िकेट. उदाहरण के लिए, नॉन-स्टैंडर्ड टाइप स्वीकार करने के लिए. डिफ़ॉल्ट सेटिंग यह है false सेट करें. पाथ डालें को अपने ट्रस्ट स्टोर में जोड़ें और इस फ़ॉर्मैट में अस्पष्ट ट्रस्ट स्टोर पासवर्ड डालें: OBF:xxxxxxxxxx

conf_webserver_exclude.cipher.suites=&lt;CIPHER_SUITE_1 CIPHER_SUITE_2>

conf_webserver_include.cipher.suites=

ऐसे किसी भी साइफ़र सुइट की जानकारी दें जिसे आपको शामिल करना है या बाहर रखना है. उदाहरण के लिए, अगर जोखिम की आशंका का पता चलता है, तो आप उसे यहां छोड़ सकते हैं. एक से ज़्यादा साइफ़र को अलग करना स्पेस बनाएं.

साइफ़र सुइट और क्रिप्टोग्राफ़ी आर्किटेक्चर के बारे में जानकारी के लिए, यहां देखें:

http://docs.oracle.com/javase/8/docs/technotes/
guides/security/SunProviders.html#SunJSSE

conf_webserver_ssl.session.cache.size=

conf_webserver_ssl.session.timeout=

वे पूर्णांक जो तय करते हैं कि:

  • सेशन की जानकारी सेव करने के लिए, TLS/एसएसएल सेशन की कैश मेमोरी का साइज़ (बाइट में) एक से ज़्यादा क्लाइंट के लिए.
  • TLS/एसएसएल सेशन के खत्म होने से पहले इतना समय मिलीसेकंड).