Edge for Private Cloud v4.18.05
TLS (ट्रांसपोर्ट लेयर सिक्योरिटी, जिसका पिछला वर्शन एसएसएल है), सुरक्षा की स्टैंडर्ड टेक्नोलॉजी है. इसका इस्तेमाल करके, ऐप्लिकेशन से लेकर Apigee Edge और आपकी बैक-एंड सेवाओं तक, आपके पूरे एपीआई एनवायरमेंट में सुरक्षित और एन्क्रिप्ट (सुरक्षित) किए गए मैसेज भेजे जा सकते हैं.
आपके मैनेजमेंट एपीआई के लिए, एनवायरमेंट कॉन्फ़िगरेशन चाहे जो भी हो, Edge की मदद से TLS को चालू और कॉन्फ़िगर किया जा सकता है. उदाहरण के लिए, इससे कोई फ़र्क़ नहीं पड़ता कि आपने अपने मैनेजमेंट एपीआई के सामने प्रोक्सी, राउटर, और/या लोड बैलेंसर का इस्तेमाल किया है या नहीं. इससे आपको अपने ऑन-प्राइमिस एपीआई मैनेजमेंट एनवायरमेंट में मैसेज एन्क्रिप्शन को कंट्रोल करने की सुविधा मिलती है.
Edge Private Cloud को ऑन-प्राइमिस इंस्टॉल करने के लिए, ऐसी कई जगहें हैं जहां आपके पास TLS को कॉन्फ़िगर करने का विकल्प है:
- राऊटर और मैसेज प्रोसेसर के बीच
- Edge मैनेजमेंट एपीआई को ऐक्सेस करने के लिए
- Edge मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) को ऐक्सेस करने के लिए
- किसी ऐप्लिकेशन से आपके एपीआई को ऐक्सेस करने के लिए
- Edge से आपकी बैकएंड सेवाओं को ऐक्सेस करने के लिए
पहले तीन आइटम के लिए TLS को कॉन्फ़िगर करने के बारे में यहां बताया गया है. इन सभी तरीकों के लिए यह ज़रूरी है कि आपने एक JKS फ़ाइल बनाई हो, जिसमें आपका TLS सर्टिफ़िकेट और निजी पासकोड हो.
ऊपर #4 में बताए गए तरीके से, किसी ऐप्लिकेशन से अपने एपीआई को ऐक्सेस करने के लिए TLS को कॉन्फ़िगर करने के बारे में जानने के लिए, निजी क्लाउड के लिए एपीआई को ऐक्सेस करने के लिए TLS कॉन्फ़िगर करना लेख पढ़ें. Edge से अपनी बैकएंड सेवाओं को ऐक्सेस करने के लिए, ऊपर दिए गए #5 के तौर पर, Edge से बैकएंड (क्लाउड और निजी क्लाउड) के लिए TLS कॉन्फ़िगर करना देखें.
Edge पर टीएलएस को कॉन्फ़िगर करने के बारे में पूरी जानकारी के लिए, टीएलएस/एसएसएल देखें.
JKS फ़ाइल बनाना
आपने पासकोड को JKS फ़ाइल के तौर पर दिखाया है. इसमें पासकोड में आपका TLS सर्टिफ़िकेट और निजी पासकोड शामिल है. JKS फ़ाइल बनाने के कई तरीके हैं. हालांकि, एक तरीका यह है कि openssl और keytool टूल का इस्तेमाल किया जाए.
उदाहरण के लिए, आपके पास server.pem नाम की एक PEM फ़ाइल है, जिसमें आपका TLS सर्टिफ़िकेट है और private_key.pem नाम की एक PEM फ़ाइल है, जिसमें आपकी निजी कुंजी है. PKCS12 फ़ाइल बनाने के लिए, इन निर्देशों का इस्तेमाल करें:
openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12
अगर पासवर्ड है, तो आपको पासवर्ड और एक्सपोर्ट पासवर्ड डालना होगा. यह कमांड, keystore.pkcs12 नाम की एक PKCS12 फ़ाइल बनाता है.
इसे keystore.jks नाम की JKS फ़ाइल में बदलने के लिए, यह कमांड इस्तेमाल करें:
keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks
आपको JKS फ़ाइल के लिए नया पासवर्ड और PKCS12 फ़ाइल के लिए मौजूदा पासवर्ड डालने के लिए कहा जाएगा. पक्का करें कि आपने JKS फ़ाइल के लिए वही पासवर्ड इस्तेमाल किया हो जो आपने PKCS12 फ़ाइल के लिए इस्तेमाल किया था.
अगर आपको किसी कुंजी का दूसरा नाम बताना है, जैसे कि राउटर और मैसेज प्रोसेसर के बीच टीएलएस कॉन्फ़िगर करते समय, तो openssl कमांड में -name विकल्प शामिल करें:
openssl pkcs12 -export -clcerts -in server.pem -inkey private_key.pem -out keystore.pkcs12 -name devtest
इसके बाद, keytool निर्देश में -alias विकल्प शामिल करें:
keytool -importkeystore -srckeystore keystore.pkcs12 -srcstoretype pkcs12 -destkeystore keystore.jks -deststoretype jks -alias devtest
पासवर्ड को छिपाने के लिए कोड जनरेट करना
Edge के टीएलएस कॉन्फ़िगरेशन प्रोसेस के कुछ हिस्सों में, आपको कॉन्फ़िगरेशन फ़ाइल में बदला गया पासवर्ड डालना पड़ता है. अपने पासवर्ड को सादे टेक्स्ट में डालने के बजाय, उसे बदला गया पासवर्ड डालना ज़्यादा सुरक्षित होता है.
Edge Management सर्वर पर इस कमांड का इस्तेमाल करके, बदला गया पासवर्ड जनरेट किया जा सकता है:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server generate-obfuscated-password
नया पासवर्ड डालें. इसके बाद, प्रॉम्प्ट मिलने पर उसकी पुष्टि करें. सुरक्षा की वजहों से, पासवर्ड का टेक्स्ट नहीं दिखाया जाता. यह निर्देश, पासवर्ड को इस फ़ॉर्मैट में दिखाता है:
OBF:58fh40h61svy156789gk1saj MD5:902fobg9d80e6043b394cb2314e9c6
TLS कॉन्फ़िगर करते समय, OBF से तय किए गए पासवर्ड का इस्तेमाल करें.
ज़्यादा जानकारी के लिए, यह लेख पढ़ें.