मैनेजमेंट एपीआई के लिए TLS कॉन्फ़िगर करना

Edge for Private Cloud v4.19.01

डिफ़ॉल्ट रूप से, management API के लिए TLS की सुविधा बंद रहती है. साथ ही, Edge management API को ऐक्सेस किया जा सकता है मैनेजमेंट सर्वर नोड और पोर्ट 8080 के आईपी पते का इस्तेमाल करके एचटीटीपी को टैग करें. उदाहरण के लिए:

http://ms_IP:8080

इसके अलावा, मैनेजमेंट एपीआई में TLS का ऐक्सेस कॉन्फ़िगर किया जा सकता है, ताकि आप इसे यहां ऐक्सेस कर सकें फ़ॉर्म:

https://ms_IP:8443

इस उदाहरण में, पोर्ट 8443 का इस्तेमाल करने के लिए TLS के ऐक्सेस को कॉन्फ़िगर किया गया है. हालांकि, वह पोर्ट नंबर Edge के लिए ज़रूरी है - अन्य पोर्ट वैल्यू इस्तेमाल करने के लिए, Management Server को कॉन्फ़िगर किया जा सकता है. सिर्फ़ शर्त यह है कि आपका फ़ायरवॉल, बताए गए पोर्ट पर ट्रैफ़िक की अनुमति देता हो.

आपके Management API में और उससे ट्रैफ़िक को एन्क्रिप्ट (सुरक्षित) किया जाना चाहिए, यह पक्का करने के लिए यहां दी गई सेटिंग कॉन्फ़िगर करें /opt/apigee/customer/application/management-server.properties अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है फ़ाइल से लिए जाते हैं.

TLS कॉन्फ़िगरेशन के अलावा, आप पासवर्ड की पुष्टि (पासवर्ड की लंबाई) को भी कंट्रोल कर सकते हैं और ताकत) management-server.properties फ़ाइल में बदलाव करके.

पक्का करें कि आपका TLS पोर्ट खुला हो

इस सेक्शन में दी गई प्रक्रिया, TLS को मैनेजमेंट सर्वर पर पोर्ट 8443 का इस्तेमाल करने के लिए कॉन्फ़िगर करती है. चाहे किसी भी पोर्ट का इस्तेमाल किया जा रहा हो, आपको यह पक्का करना होगा कि पोर्ट, मैनेजमेंट प्लैटफ़ॉर्म पर खुला हो सर्वर. उदाहरण के लिए, इसे खोलने के लिए इस कमांड का इस्तेमाल किया जा सकता है:

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verbose
अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है

TLS को कॉन्फ़िगर करें

/opt/apigee/customer/application/management-server.properties में बदलाव करें फ़ाइल का इस्तेमाल किया जा सकता है. अगर यह फ़ाइल मौजूद नहीं है, तो उसे बनाएं.

Management API में TLS का ऐक्सेस कॉन्फ़िगर करने के लिए:

  1. अपने TLS सर्टिफ़िकेशन और निजी कुंजी वाली कीस्टोर JKS फ़ाइल जनरेट करें. ज़्यादा के लिए Edge On Premises के लिए TLS/एसएसएल को कॉन्फ़िगर करना को देखें.
  2. कीस्टोर JKS फ़ाइल को Management Server नोड पर किसी डायरेक्ट्री में कॉपी करें, जैसे /opt/apigee/customer/application के तौर पर.
  3. JKS फ़ाइल के मालिकाना हक को "apigee" में बदलें उपयोगकर्ता: 
    chown apigee:apigee keystore.jks
    अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है

    जहां keystore.jks आपकी कीस्टोर फ़ाइल का नाम होता है.

  4. /opt/apigee/customer/application/management-server.properties में बदलाव करें नीचे दी गई प्रॉपर्टी को सेट करने के लिए. अगर वह फ़ाइल मौजूद नहीं है, तो उसे बनाएं: 
    conf_webserver_ssl.enabled=true
# Leave conf_webserver_http.turn.off set to false
# because many Edge internal calls use HTTP.
conf_webserver_http.turn.off=false
conf_webserver_ssl.port=8443
conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks
# Enter the obfuscated keystore password below.
conf_webserver_keystore.password=OBF:obfuscatedPassword
    अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है

    जहां keyStore.jks आपकी कीस्टोर फ़ाइल है, और obfuscatedPassword आपका उलझा हुआ कीस्टोर पासवर्ड है. यहां जाएं: इसके लिए, EDGE ऑन परिसर के लिए TLS/एसएसएल को कॉन्फ़िगर करना अस्पष्ट पासवर्ड जनरेट करने के बारे में जानकारी.

  5. निर्देश देकर एज मैनेजमेंट सर्वर को रीस्टार्ट करें: 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
    अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है

मैनेजमेंट एपीआई अब TLS पर ऐक्सेस करने की सुविधा देता है.

इसे ऐक्सेस करने के लिए, TLS का इस्तेमाल करने के लिए Edge यूज़र इंटरफ़ेस (यूआई) कॉन्फ़िगर करें Edge API

ऊपर दी गई प्रोसेस में, Apigee ने यह सुझाव दिया है कि conf_webserver_http.turn.off=false ताकि Edge यूज़र इंटरफ़ेस (यूआई), एचटीटीपी पर Edge एपीआई कॉल करना जारी रख सकता है.

Edge यूज़र इंटरफ़ेस (यूआई) को कॉन्फ़िगर करने के लिए नीचे दी गई प्रक्रिया का इस्तेमाल करें, ताकि ये कॉल सिर्फ़ एचटीटीपीएस पर किए जा सकें:

  1. ऊपर बताए गए तरीके से, Management API के लिए TLS का ऐक्सेस कॉन्फ़िगर करें.
  2. यह पुष्टि करने के बाद कि TLS, Management API के लिए काम कर रहा है या नहीं, बदलाव करें /opt/apigee/customer/application/management-server.properties से नीचे दी गई प्रॉपर्टी सेट करें: 
    conf_webserver_http.turn.off=true
  3. नीचे दिए गए निर्देश का इस्तेमाल करके, Edge मैनेजमेंट सर्वर को रीस्टार्ट करें: 
    /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
    अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है
  4. /opt/apigee/customer/application/ui.properties में बदलाव करें एज यूज़र इंटरफ़ेस (यूआई) के लिए नीचे दी गई प्रॉपर्टी सेट करने के लिए: 
    conf_apigee_apigee.mgmt.baseurl="https://FQ_domain_name:port/v1"

    आपके सर्टिफ़िकेट के मुताबिक, जहां FQ_domain_name का पूरा डोमेन नेम है का पता और port वह पोर्ट है जो ऊपर तय किया गया है conf_webserver_ssl.port.

    अगर ui.properties मौजूद नहीं है, तो उसे बनाएं.

  5. सिर्फ़ तब, जब आपने खुद हस्ताक्षर किए हुए सर्टिफ़िकेट का इस्तेमाल किया हो (प्रोडक्शन में इसका सुझाव नहीं दिया जाता) एनवायरमेंट) में, ऊपर दिए गए मैनेजमेंट एपीआई के लिए TLS के ऐक्सेस को कॉन्फ़िगर करते समय, प्रॉपर्टी को ui.properties के लिए अपडेट किया जा रहा है: 
    conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true

    ऐसा न करने पर, Edge यूज़र इंटरफ़ेस (यूआई) उस सर्टिफ़िकेट को अस्वीकार कर देगा जिस पर आपने खुद हस्ताक्षर किया हुआ है.

  6. नीचे दिए गए निर्देश को लागू करके, Edge यूज़र इंटरफ़ेस (यूआई) को रीस्टार्ट करें: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart
    अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है

मैनेजमेंट सर्वर के लिए TLS प्रॉपर्टी

नीचे दी गई टेबल में उन सभी TLS/एसएसएल प्रॉपर्टी की सूची दी गई है जिनमें सेट किया जा सकता है management-server.properties:

प्रॉपर्टी ब्यौरा

conf_webserver_http.port=8080

डिफ़ॉल्ट संख्या 8080 है.

conf_webserver_ssl.enabled=false

TLS/एसएसएल को चालू/बंद करने के लिए. TLS/SSL सक्षम (सही) होने पर, आपको SSL.port को भी सेट करना होगा और keystore.path प्रॉपर्टी.

conf_webserver_http.turn.off=true

एचटीटीपीएस के साथ-साथ एचटीटीपी को चालू/बंद करने के लिए. अगर आप सिर्फ़ एचटीटीपीएस का इस्तेमाल करना चाहते हैं, तो true की डिफ़ॉल्ट वैल्यू.

conf_webserver_ssl.port=8443

TLS/SSL पोर्ट.

TLS/एसएसएल चालू होने पर ज़रूरी है (conf_webserver_ssl.enabled=true).

conf_webserver_keystore.path=path

आपकी कीस्टोर फ़ाइल का पाथ.

TLS/एसएसएल चालू होने पर ज़रूरी है (conf_webserver_ssl.enabled=true).

conf_webserver_keystore.password=password

इस फ़ॉर्मैट में अस्पष्ट पासवर्ड का इस्तेमाल करें: OBF:xxxxxxxxxx

conf_webserver_cert.alias=alias

कीस्टोर सर्टिफ़िकेट का वैकल्पिक नाम

conf_webserver_keymanager.password=password

अगर आपके कुंजी मैनेजर के पास पासवर्ड है, तो उसका अस्पष्ट वर्शन यह प्रारूप:

OBF:xxxxxxxxxx

conf_webserver_trust.all=[false | true]

conf_webserver_trust.store.path=path

conf_webserver_trust.store.password=password

अपने ट्रस्ट स्टोर के लिए सेटिंग कॉन्फ़िगर करें. तय करें कि क्या आप सभी TLS/एसएसएल सर्टिफ़िकेट. उदाहरण के लिए, नॉन-स्टैंडर्ड टाइप स्वीकार करने के लिए. डिफ़ॉल्ट सेटिंग यह है false. पाथ डालें को अपने ट्रस्ट स्टोर में जोड़ें और इस फ़ॉर्मैट में अस्पष्ट ट्रस्ट स्टोर पासवर्ड डालें:

OBF:xxxxxxxxxx

conf_webserver_exclude.cipher.suites=CIPHER_SUITE_1 CIPHER_SUITE_2

conf_webserver_include.cipher.suites=

ऐसे किसी भी साइफ़र सुइट की जानकारी दें जिसे आपको शामिल करना है या बाहर रखना है. उदाहरण के लिए, अगर जोखिम की आशंका का पता चलता है, तो आप उसे यहां छोड़ सकते हैं. एक से ज़्यादा साइफ़र को अलग करना स्पेस बनाएं.

साइफ़र सुइट और क्रिप्टोग्राफ़ी आर्किटेक्चर के बारे में जानने के लिए, यहां देखें JDK 8 के लिए, Java क्रिप्टोग्राफ़ी आर्किटेक्चर ओरेकल प्रोवाइडर दस्तावेज़.

conf_webserver_ssl.session.cache.size=

conf_webserver_ssl.session.timeout=

वे पूर्णांक जो तय करते हैं कि:

  • सेशन की जानकारी सेव करने के लिए, TLS/एसएसएल सेशन की कैश मेमोरी का साइज़ (बाइट में) एक से ज़्यादा क्लाइंट के लिए.
  • TLS/एसएसएल सेशन का समय खत्म होने से पहले मिलीसेकंड).