इस पेज का अनुवाद Cloud Translation API से किया गया है.

मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) के लिए TLS कॉन्फ़िगर करना

Edge for Private Cloud v4.18.01

डिफ़ॉल्ट रूप से, मैनेजमेंट सर्वर नोड के आईपी पते और पोर्ट 9000 का इस्तेमाल करके, एचटीटीपी पर Edge मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) को ऐक्सेस किया जाता है. उदाहरण के लिए:

http://ms_IP:9000

इसके अलावा, मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) के लिए TLS का ऐक्सेस कॉन्फ़िगर किया जा सकता है, ताकि आप उसे फ़ॉर्म में ऐक्सेस कर सकें:

https://ms_IP:9443

इस उदाहरण में, पोर्ट 9443 का इस्तेमाल करने के लिए, TLS का ऐक्सेस कॉन्फ़िगर किया जा रहा है. हालांकि, Edge के लिए पोर्ट नंबर की ज़रूरत नहीं होती है - दूसरी पोर्ट वैल्यू का इस्तेमाल करने के लिए मैनेजमेंट सर्वर को कॉन्फ़िगर किया जा सकता है. इसके लिए, फ़ायरवॉल को किसी खास पोर्ट पर ट्रैफ़िक की अनुमति देनी होती है.

पक्का करें कि आपका TLS पोर्ट खुला हुआ है

इस सेक्शन में दी गई प्रक्रिया, मैनेजमेंट सर्वर पर पोर्ट 9443 का इस्तेमाल करने के लिए TLS को कॉन्फ़िगर करती है. आप चाहे कोई भी पोर्ट इस्तेमाल करें, आपको यह पक्का करना होगा कि पोर्ट मैनेजमेंट सर्वर पर खुला हो. उदाहरण के लिए, इसे खोलने के लिए आप नीचे दिए गए निर्देश का इस्तेमाल कर सकते हैं:

$ iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose

ध्यान दें: इस उदाहरण में, TLS पोर्ट के लिए पोर्ट 9443 का इस्तेमाल किया गया है, न कि ज़्यादा सामान्य पोर्ट 443 का. इसकी वजह यह है कि 1024 से नीचे के पोर्ट, आम तौर पर ऑपरेटिंग सिस्टम की मदद से सुरक्षित होते हैं. इन पोर्ट को रूट ऐक्सेस करने के लिए, ऐसी प्रोसेस की ज़रूरत होती है जो इन्हें ऐक्सेस कर सके. Edge का यूज़र इंटरफ़ेस (यूआई), "apigee" उपयोगकर्ता के तौर पर चलता है. इसलिए, आम तौर पर इसके पास 1024 से नीचे के पोर्ट का ऐक्सेस नहीं होता.

इसके अलावा, EDGE यूज़र इंटरफ़ेस (यूआई) के साथ लोड बैलेंसर का इस्तेमाल किया जा सकता है और पोर्ट 443 पर लोड बैलेंसर पर TLS को खत्म किया जा सकता है. इसके बाद, लोड बैलेंसर और Edge यूज़र इंटरफ़ेस (यूआई) के बीच एचटीटीपी या एचटीटीपीएस का इस्तेमाल किया जा सकता है.

इसके अलावा, पोर्ट 443 को पोर्ट 9443 पर भेजने के लिए iptables का इस्तेमाल किया जा सकता है. उदाहरण के लिए:

iptables -A PREROUTING -t nat -i eth0 -p tcp --dport 443 -j REDIRECT --to-port 9443

TLS कॉन्फ़िगर करें

ध्यान दें: अगर आपने अलग-अलग नोड पर एक से ज़्यादा यूज़र इंटरफ़ेस (यूआई) इंस्टेंस इंस्टॉल किए हैं, तो आपको TLS के साथ काम करने के लिए दोनों को कॉन्फ़िगर करना होगा. पहले नोड पर TLS को चालू करने के बाद, दूसरे नोड पर TLS को कॉन्फ़िगर करने के बारे में जानकारी के लिए एक से ज़्यादा Edge यूज़र इंटरफ़ेस (यूआई) इंस्टेंस के साथ काम करना देखें.

मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) के लिए TLS के ऐक्सेस को कॉन्फ़िगर करने के लिए, नीचे दी गई प्रक्रिया का इस्तेमाल करें:

अपने TLS सर्टिफ़िकेशन और निजी कुंजी वाली कीस्टोर JKS फ़ाइल जनरेट करें और उसे मैनेजमेंट सर्वर नोड में कॉपी करें. ज़्यादा जानकारी के लिए, Edge On Premises के लिए TLS/एसएसएल को कॉन्फ़िगर करना देखें.
TLS को कॉन्फ़िगर करने के लिए, नीचे दिए गए निर्देश का इस्तेमाल करें:
$ /opt/apigee/apigee-service/bin/apigee-serviceedge-ui connection-SSL
एचटीटीपीएस पोर्ट नंबर डालें, जैसे कि 9443.
तय करें कि क्या आपको मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) के लिए एचटीटीपी ऐक्सेस बंद करना है. डिफ़ॉल्ट रूप से, मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) को पोर्ट 9000 पर एचटीटीपी से ऐक्सेस किया जा सकता है.
कीस्टोर एल्गोरिदम डालें. डिफ़ॉल्ट तौर पर, यह JKS फ़ॉर्मैट में होता है.
कीस्टोर JKS फ़ाइल का ऐब्सलूट पाथ डालें.

स्क्रिप्ट, फ़ाइल को मैनेजमेंट सर्वर नोड पर /opt/apigee/customer/conf डायरेक्ट्री में कॉपी करती है और फ़ाइल के मालिकाना हक को apigee में बदल देती है.
टेक्स्ट कीस्टोर का पासवर्ड मिटाएं.
इसके बाद, यह स्क्रिप्ट Edge मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) को रीस्टार्ट करती है. रीस्टार्ट करने के बाद, मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) में TLS पर ऐक्सेस काम करता है.
इन सेटिंग को /opt/apigee/etc/edge-ui.d/SSL.sh में देखा जा सकता है.

आपके पास प्रॉम्प्ट का जवाब देने के बजाय, कॉन्फ़िगरेशन फ़ाइल को कमांड में भेजने का विकल्प भी है. कॉन्फ़िगरेशन फ़ाइल में ये प्रॉपर्टी शामिल होती हैं:

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

इसके बाद, Edge यूज़र इंटरफ़ेस के TLS को कॉन्फ़िगर करने के लिए, नीचे दिए गए निर्देश का इस्तेमाल करें:

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

लोड बैलेंसर पर TLS के खत्म होने पर, Edge यूज़र इंटरफ़ेस (यूआई) को कॉन्फ़िगर करें

अगर आपके पास ऐसा लोड बैलेंसर है जो अनुरोधों को Edge यूज़र इंटरफ़ेस (यूआई) पर फ़ॉरवर्ड करता है, तो आपके पास लोड बैलेंसर पर मौजूद TLS कनेक्शन को खत्म करने का विकल्प है. इसके बाद, लोड बैलेंसर को एचटीटीपी पर एज यूज़र इंटरफ़ेस (यूआई) पर भेजने के लिए, लोड बैलेंसर को फ़ॉरवर्ड करने के अनुरोध भेजे जा सकते हैं. यह कॉन्फ़िगरेशन काम करता है, लेकिन आपको इसके हिसाब से लोड बैलेंसर और Edge यूज़र इंटरफ़ेस (यूआई) को कॉन्फ़िगर करना होगा.

अतिरिक्त कॉन्फ़िगरेशन की ज़रूरत तब होती है, जब Edge यूज़र इंटरफ़ेस (यूआई) उपयोगकर्ताओं को अपना पासवर्ड सेट करने के लिए ईमेल भेजता है. ऐसा तब होता है, जब उपयोगकर्ता अपना पासवर्ड बनाते हैं या जब उपयोगकर्ता खोए हुए पासवर्ड को रीसेट करने का अनुरोध करता है. इस ईमेल में एक यूआरएल होता है, जिसे उपयोगकर्ता पासवर्ड सेट या रीसेट करने के लिए चुनता है. डिफ़ॉल्ट रूप से, अगर EDGE यूज़र इंटरफ़ेस (यूआई) को TLS का इस्तेमाल करने के लिए कॉन्फ़िगर नहीं किया गया है, तो जनरेट किए गए ईमेल में मौजूद यूआरएल, एचटीटीपी प्रोटोकॉल का इस्तेमाल करता है, न कि एचटीटीपीएस का. एचटीटीपीएस का इस्तेमाल करने वाला ईमेल पता जनरेट करने के लिए, आपको लोड बैलेंसर और Edge यूज़र इंटरफ़ेस (यूआई) को कॉन्फ़िगर करना होगा.

लोड बैलेंसर को कॉन्फ़िगर करने के लिए, पक्का करें कि यह Edge यूज़र इंटरफ़ेस (यूआई) पर फ़ॉरवर्ड किए जाने वाले अनुरोधों पर नीचे दिया गया हेडर सेट करता है:

X-Forwarded-Proto: https

Edge यूज़र इंटरफ़ेस (यूआई) को कॉन्फ़िगर करने के लिए:

किसी एडिटर में /opt/apigee/customer/application/ui.properties फ़ाइल खोलें. अगर फ़ाइल मौजूद नहीं है, तो इसे बनाएं:
> vi /opt/apigee/customer/application/ui.properties
इस प्रॉपर्टी को ui.properties में सेट करें:
conf/application.conf+trustxforwarded=true
ui.properties में अपने बदलावों को सेव करें.
Edge यूज़र इंटरफ़ेस (यूआई) को रीस्टार्ट करें:
> /opt/apigee/apigee-service/bin/apigee-service Edge-ui start

Edge यूज़र इंटरफ़ेस (यूआई) पर TLS को बंद करें

Edge यूज़र इंटरफ़ेस (यूआई) पर TLS को बंद करने के लिए, नीचे दिए गए निर्देश का इस्तेमाल करें:

/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl