परिसर में Edge के लिए TLS/एसएसएल कॉन्फ़िगर करना

Edge for Private Cloud v. 4.17.09

TLS (ट्रांसपोर्ट लेयर सिक्योरिटी, जिसका नाम एसएसएल से पहले था), स्टैंडर्ड सुरक्षा टेक्नोलॉजी है. यह आपके एपीआई एनवायरमेंट में, ऐप्लिकेशन से लेकर Apigee Edge से लेकर आपकी बैक-एंड सेवाओं तक, एन्क्रिप्ट (सुरक्षित) किए गए मैसेज सेवा को सुरक्षित और एन्क्रिप्ट (सुरक्षित) करने में मदद करती है.

आपके मैनेजमेंट एपीआई के लिए एनवायरमेंट कॉन्फ़िगरेशन चाहे जो भी हो—उदाहरण के लिए, चाहे आपके मैनेजमेंट एपीआई के सामने प्रॉक्सी, राऊटर, और/या लोड बैलेंसर का इस्तेमाल किया जा रहा हो (या नहीं)— Edge आपको TLS को चालू और कॉन्फ़िगर करने की सुविधा देता है. इससे आपको कंपनी की इमारत में मौजूद एपीआई मैनेजमेंट एनवायरमेंट में, मैसेज एन्क्रिप्ट (सुरक्षित) करने का कंट्रोल मिलता है.

किसी कंपनी की इमारत में, Edge Private Cloud को इंस्टॉल करने के लिए, ऐसी कई जगहें हैं जहां TLS को कॉन्फ़िगर किया जा सकता है:

  1. राऊटर और मैसेज प्रोसेसर के बीच
  2. Edge मैनेजमेंट एपीआई को ऐक्सेस करने के लिए
  3. Edge मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) को ऐक्सेस करने के लिए
  4. किसी ऐप्लिकेशन से एपीआई ऐक्सेस करने के लिए
  5. Edge से लेकर बैकएंड सेवाओं को ऐक्सेस करने के लिए

पहले तीन आइटम के लिए TLS को कॉन्फ़िगर करने के बारे में नीचे बताया गया है. ये सभी प्रोसेस मानती हैं कि आपने एक JKS फ़ाइल बनाई है जिसमें आपके TLS सर्टिफ़िकेशन और निजी कुंजी मौजूद है.

किसी ऐप्लिकेशन से अपने एपीआई के ऐक्सेस के लिए TLS को कॉन्फ़िगर करने के लिए, ऊपर #4 नंबर पर, प्राइवेट क्लाउड के लिए, एपीआई के लिए TLS के ऐक्सेस को कॉन्फ़िगर करना देखें. Edge से अपनी बैकएंड सेवाओं तक ऐक्सेस के लिए TLS को कॉन्फ़िगर करने के लिए, ऊपर #5 नंबर पर, TLS को Edge से बैकएंड (क्लाउड और प्राइवेट क्लाउड) में कॉन्फ़िगर करना देखें.

Edge पर TLS को कॉन्फ़िगर करने के बारे में पूरी जानकारी के लिए, TLS/एसएसएल देखें.

JKS फ़ाइल बनाना

आप कीस्टोर को JKS फ़ाइल के रूप में दिखाते हैं, जहां कीस्टोर में आपका TLS सर्टिफ़िकेट और निजी कुंजी होती है. JKS फ़ाइल बनाने के कई तरीके हैं. हालांकि, Openएसएसएल और keytool सुविधाओं का इस्तेमाल करना एक तरीका है.

उदाहरण के लिए, आपके पास server.pem नाम की एक PEM फ़ाइल है, जिसमें आपका TLS सर्टिफ़िकेट है और आपके निजी पासकोड के साथ Private_key.pem नाम की एक PEM फ़ाइल मौजूद है. PKCS12 फ़ाइल बनाने के लिए, इन निर्देशों का इस्तेमाल करें:

> openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12

अगर कुंजी के पास कोई लंबा पासवर्ड है और एक्सपोर्ट करने के लिए पासवर्ड है, तो आपको उसका लंबा पासवर्ड डालना होगा. यह निर्देश, keystore.pkcs12 नाम की एक PKCS12 फ़ाइल बनाता है.

इसे keystore.jks नाम वाली JKS फ़ाइल में बदलने के लिए नीचे दिए गए निर्देश का इस्तेमाल करें:

> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks

आपको JKS फ़ाइल के लिए नया पासवर्ड और PKCS12 फ़ाइल के लिए मौजूदा पासवर्ड डालने के लिए कहा जाएगा. पक्का करें कि JKS फ़ाइल के लिए उसी पासवर्ड का इस्तेमाल किया जाए जो PKCS12 फ़ाइल के लिए इस्तेमाल किया गया था.

अगर आपको कुंजी का नाम तय करना है, जैसे कि राऊटर और मैसेज प्रोसेसर के बीच TLS को कॉन्फ़िगर करते समय, तो Openएसएसएल कमांड में "-name" विकल्प शामिल करें:

>  openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest

इसके बाद, keytool कमांड में "-alias" विकल्प शामिल करें:

> keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest

अस्पष्ट पासवर्ड जनरेट करना

Edge TLS कॉन्फ़िगरेशन प्रक्रिया के कुछ हिस्सों के लिए, आपको कॉन्फ़िगरेशन फ़ाइल में अस्पष्ट पासवर्ड डालना होगा. अस्पष्ट पासवर्ड वाला पासवर्ड, सामान्य टेक्स्ट में पासवर्ड डालने का ज़्यादा सुरक्षित विकल्प है.

आप Edge मैनेजमेंट सर्वर पर दिए गए निर्देश का इस्तेमाल करके, अस्पष्ट पासवर्ड जनरेट कर सकते हैं:

> /opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password

नया पासवर्ड डालें और फिर प्रॉम्प्ट पर उसकी पुष्टि करें. सुरक्षा की वजहों से, पासवर्ड का टेक्स्ट नहीं दिखाया जाता है. यह निर्देश इस फ़ॉर्म में पासवर्ड दिखाता है:

OBF:58fh40h61svy156789gk1saj
MD5:902fobg9d80e6043b394cb2314e9c6

TLS को कॉन्फ़िगर करते समय, OBF की ओर से बताए गए अस्पष्ट पासवर्ड का इस्तेमाल करें.

ज़्यादा जानकारी के लिए, यह लेख पढ़ें.