मैनेजमेंट एपीआई के लिए TLS कॉन्फ़िगर करना

Edge for Private Cloud v. 4.17.09

डिफ़ॉल्ट रूप से, management API के लिए TLS की सुविधा बंद रहती है. साथ ही, Edge management API को ऐक्सेस किया जा सकता है मैनेजमेंट सर्वर नोड और पोर्ट 8080 के आईपी पते का इस्तेमाल करके एचटीटीपी को टैग करें. उदाहरण के लिए:

http://ms_IP:8080

इसके अलावा, मैनेजमेंट एपीआई में TLS का ऐक्सेस कॉन्फ़िगर किया जा सकता है, ताकि आप इसे यहां ऐक्सेस कर सकें फ़ॉर्म:

https://ms_IP:8443

इस उदाहरण में, पोर्ट 8443 का इस्तेमाल करने के लिए TLS के ऐक्सेस को कॉन्फ़िगर किया गया है. हालांकि, वह पोर्ट नंबर Edge के लिए ज़रूरी है - अन्य पोर्ट वैल्यू इस्तेमाल करने के लिए, Management Server को कॉन्फ़िगर किया जा सकता है. सिर्फ़ शर्त यह है कि आपका फ़ायरवॉल, बताए गए पोर्ट पर ट्रैफ़िक की अनुमति देता हो.

आपके Management API में और उससे ट्रैफ़िक को एन्क्रिप्ट (सुरक्षित) किया जाना चाहिए, यह पक्का करने के लिए यहां दी गई सेटिंग कॉन्फ़िगर करें /opt/apigee/customer/application/management-server.properties अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है फ़ाइल से लिए जाते हैं.

TLS कॉन्फ़िगरेशन के अलावा, आप पासवर्ड की पुष्टि (पासवर्ड की लंबाई) को भी कंट्रोल कर सकते हैं और ताकत) management-server.properties फ़ाइल में बदलाव करके.

पक्का करें कि आपका TLS पोर्ट खुला हो

इस सेक्शन में दी गई प्रक्रिया, TLS को मैनेजमेंट सर्वर पर पोर्ट 8443 का इस्तेमाल करने के लिए कॉन्फ़िगर करती है. चाहे किसी भी पोर्ट का इस्तेमाल किया जा रहा हो, आपको यह पक्का करना होगा कि पोर्ट, मैनेजमेंट प्लैटफ़ॉर्म पर खुला हो सर्वर. उदाहरण के लिए, इसे खोलने के लिए इस कमांड का इस्तेमाल किया जा सकता है:

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose
अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है

TLS को कॉन्फ़िगर करें

/opt/apigee/customer/application/management-server.properties में बदलाव करें फ़ाइल का इस्तेमाल किया जा सकता है. अगर यह फ़ाइल मौजूद नहीं है, तो उसे बनाएं.

मैनेजमेंट एपीआई में TLS का ऐक्सेस कॉन्फ़िगर करने के लिए, यहां दी गई प्रोसेस का इस्तेमाल करें:

  1. अपने TLS सर्टिफ़िकेशन और निजी कुंजी वाली कीस्टोर JKS फ़ाइल जनरेट करें. ज़्यादा के लिए Edge On के लिए TLS/एसएसएल को कॉन्फ़िगर करना परिसर.
  2. कीस्टोर JKS फ़ाइल को Management Server नोड पर किसी डायरेक्ट्री में कॉपी करें, जैसे /opt/apigee/customer/application के तौर पर.
  3. JKS फ़ाइल के मालिकाना हक को apigee में बदलें: 
    chown apigee:apigee keystore.jks
    अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है जहां keystore.jks आपकी कीस्टोर फ़ाइल का नाम है.
  4. /opt/apigee/customer/application/management-server.properties में बदलाव करें नीचे दी गई प्रॉपर्टी को सेट करने के लिए. अगर वह फ़ाइल मौजूद नहीं है, तो उसे बनाएं: 
    conf_webserver_ssl.enabled=true
# Leave conf_webserver_http.turn.off set to false
# because many Edge internal calls use HTTP.
conf_webserver_http.turn.off=false
conf_webserver_ssl.port=8443
conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks
# Enter the obfuscated keystore password below.
conf_webserver_keystore.password=OBF:obfuscatedPassword
conf_webserver_cert.alias=apigee-devtest
    अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है जहां keyStore.jks आपकी कीस्टोर फ़ाइल है, और obfuscatedPassword, उलझा हुआ कीस्टोर पासवर्ड है. इसके लिए Edge ऑन परिसर के लिए TLS/एसएसएल को कॉन्फ़िगर करना देखें अस्पष्ट पासवर्ड जनरेट करने के बारे में जानकारी.
  5. निर्देश देकर एज मैनेजमेंट सर्वर को रीस्टार्ट करें: 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
    अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है

मैनेजमेंट एपीआई अब TLS पर ऐक्सेस करने की सुविधा देता है.

इसे ऐक्सेस करने के लिए, TLS का इस्तेमाल करने के लिए Edge यूज़र इंटरफ़ेस (यूआई) कॉन्फ़िगर करें Edge API

ऊपर दी गई प्रक्रिया में, Apigee ने conf_webserver_http.turn.off=false को छोड़ने का सुझाव दिया है, ताकि Edge यूज़र इंटरफ़ेस (यूआई), एचटीटीपी पर Edge एपीआई कॉल करना जारी रख सकता है.

Edge यूज़र इंटरफ़ेस (यूआई) को कॉन्फ़िगर करने के लिए नीचे दी गई प्रक्रिया का इस्तेमाल करें, ताकि ये कॉल सिर्फ़ एचटीटीपीएस पर किए जा सकें:

  1. ऊपर बताए गए तरीके से, Management API के लिए TLS का ऐक्सेस कॉन्फ़िगर करें.
  2. यह पुष्टि करने के बाद कि TLS, Management API के लिए काम कर रहा है या नहीं, /opt/apigee/customer/application/management-server.properties में बदलाव करके नीचे दी गई प्रॉपर्टी सेट करें: conf_webserver_http.turn.off=true
  3. निर्देश देकर एज मैनेजमेंट सर्वर को रीस्टार्ट करें: 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
    अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है
  4. /opt/apigee/customer/application/ui.properties में बदलाव करें नीचे दी गई प्रॉपर्टी को एज यूज़र इंटरफ़ेस (यूआई) के लिए सेट करें. अगर वह फ़ाइल मौजूद नहीं है, तो उसे बनाएं: conf_apigee_apigee.mgmt.baseurl="https://FQDN:8443/v1" अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है यहां आपके सर्टिफ़िकेट के मुताबिक, डोमेन का पूरा नाम FQDN है का पता और पोर्ट नंबर वह पोर्ट है जो ऊपर तय किया गया है conf_webserver_ssl.port.
  5. सिर्फ़ तब, जब आपने खुद हस्ताक्षर किए हुए सर्टिफ़िकेट का इस्तेमाल किया हो (प्रोडक्शन में इसका सुझाव नहीं दिया जाता) एनवायरमेंट) में, ऊपर दिए गए मैनेजमेंट एपीआई के लिए TLS के ऐक्सेस को कॉन्फ़िगर करते समय, ui.properties की प्रॉपर्टी को फ़ॉलो किया जा रहा है: conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true ऐसा न करने पर, Edge यूज़र इंटरफ़ेस (यूआई) उस सर्टिफ़िकेट को अस्वीकार कर देगा जिस पर आपने खुद हस्ताक्षर किया हुआ है.
  6. कमांड का इस्तेमाल करके Edge यूज़र इंटरफ़ेस (यूआई) को रीस्टार्ट करें: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart
    अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है

मैनेजमेंट सर्वर के लिए TLS प्रॉपर्टी

नीचे दी गई टेबल में उन सभी TLS/एसएसएल प्रॉपर्टी की सूची दी गई है जिन्हें management-server.properties में सेट किया जा सकता है:

प्रॉपर्टी

जानकारी

conf_webserver_http.port=8080

डिफ़ॉल्ट संख्या 8080 है.

conf_webserver_ssl.enabled=false

TLS/एसएसएल को चालू/बंद करने के लिए. TLS/SSL सक्षम (सही) होने पर, आपको SSL.port को भी सेट करना होगा और keystore.path प्रॉपर्टी.

conf_webserver_http.turn.off=true

एचटीटीपीएस के साथ-साथ एचटीटीपी को चालू/बंद करने के लिए. अगर आप सिर्फ़ एचटीटीपीएस का इस्तेमाल करना चाहते हैं, तो true की डिफ़ॉल्ट वैल्यू.

conf_webserver_ssl.port=8443

TLS/SSL पोर्ट.

TLS/एसएसएल चालू होने पर ज़रूरी है (conf_webserver_ssl.enabled=true).

conf_webserver_keystore.path=<path>

आपकी कीस्टोर फ़ाइल का पाथ.

TLS/एसएसएल चालू होने पर ज़रूरी है (conf_webserver_ssl.enabled=true).

conf_webserver_keystore.password=

इस फ़ॉर्मैट में अस्पष्ट पासवर्ड का इस्तेमाल करें: OBF:xxxxxxxxxx

conf_webserver_cert.alias=

कीस्टोर सर्टिफ़िकेट का वैकल्पिक नाम

conf_webserver_keymanager.password=

अगर आपके कुंजी मैनेजर के पास पासवर्ड है, तो उसका अस्पष्ट वर्शन यह फ़ॉर्मैट: OBF:xxxxxxxxxx

conf_webserver_trust.all= <false | true>

conf_webserver_trust.store.path=<path>

conf_webserver_trust.store.password=

अपने ट्रस्ट स्टोर के लिए सेटिंग कॉन्फ़िगर करें. तय करें कि क्या आप सभी TLS/एसएसएल सर्टिफ़िकेट. उदाहरण के लिए, नॉन-स्टैंडर्ड टाइप स्वीकार करने के लिए. डिफ़ॉल्ट सेटिंग यह है false. पाथ डालें को अपने ट्रस्ट स्टोर में जोड़ें और इस फ़ॉर्मैट में अस्पष्ट ट्रस्ट स्टोर पासवर्ड डालें: OBF:xxxxxxxxxx

conf_webserver_exclude.cipher.suites=<CIPHER_SUITE_1 CIPHER_SUITE_2>

conf_webserver_include.cipher.suites=

ऐसे किसी भी साइफ़र सुइट की जानकारी दें जिसे आपको शामिल करना है या बाहर रखना है. उदाहरण के लिए, अगर जोखिम की आशंका का पता चलता है, तो आप उसे यहां छोड़ सकते हैं. एक से ज़्यादा साइफ़र को अलग करना स्पेस बनाएं.

साइफ़र सुइट और क्रिप्टोग्राफ़ी आर्किटेक्चर के बारे में जानकारी के लिए, यहां देखें:

http://docs.oracle.com/javase/8/docs/technotes/guides/security/SunProviders.html#SunJSSE

conf_webserver_ssl.session.cache.size=

conf_webserver_ssl.session.timeout=

वे पूर्णांक जो तय करते हैं कि:

  • सेशन की जानकारी सेव करने के लिए, TLS/एसएसएल सेशन की कैश मेमोरी का साइज़ (बाइट में) एक से ज़्यादा क्लाइंट के लिए.
  • TLS/एसएसएल सेशन के खत्म होने से पहले इतना समय मिलीसेकंड).