मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) के लिए TLS कॉन्फ़िगर करना

Edge for Private Cloud v4.19.01

डिफ़ॉल्ट रूप से, एचटीटीपी पर Edge मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) ऐक्सेस करने के लिए, आईपी पते के आईपी पते का इस्तेमाल किया जाता है मैनेजमेंट सर्वर नोड और पोर्ट 9000. उदाहरण के लिए:

http://ms_IP:9000

इसके अलावा, TLS के ऐक्सेस को मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) में कॉन्फ़िगर किया जा सकता है, ताकि आप इसे फ़ॉर्म:

https://ms_IP:9443

इस उदाहरण में, आपको पोर्ट 9443 का इस्तेमाल करने के लिए, TLS का ऐक्सेस कॉन्फ़िगर करना है. हालांकि, वह पोर्ट नंबर Edge के लिए ज़रूरी है - अन्य पोर्ट वैल्यू इस्तेमाल करने के लिए, Management Server को कॉन्फ़िगर किया जा सकता है. सिर्फ़ शर्त यह है कि आपका फ़ायरवॉल, बताए गए पोर्ट पर ट्रैफ़िक की अनुमति देता हो.

पक्का करें कि आपका TLS पोर्ट खुला हो

इस सेक्शन में दी गई प्रक्रिया, TLS को मैनेजमेंट सर्वर पर पोर्ट 9443 का इस्तेमाल करने के लिए कॉन्फ़िगर करती है. चाहे किसी भी पोर्ट का इस्तेमाल किया जा रहा हो, आपको यह पक्का करना होगा कि पोर्ट, मैनेजमेंट प्लैटफ़ॉर्म पर खुला हो सर्वर. उदाहरण के लिए, इसे खोलने के लिए इस कमांड का इस्तेमाल किया जा सकता है:

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose
अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है

TLS को कॉन्फ़िगर करें

मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) में TLS का ऐक्सेस कॉन्फ़िगर करने के लिए, नीचे दी गई प्रोसेस का इस्तेमाल करें:

  1. कीस्टोर JKS फ़ाइल जनरेट करें, जिसमें TLS सर्टिफ़िकेशन, निजी पासकोड, और कॉपी शामिल हों उसे मैनेजमेंट सर्वर नोड में भेजना चाहते हैं. ज़्यादा जानकारी के लिए, इसके परिसर में Edge के लिए TLS/एसएसएल को कॉन्फ़िगर करना देखें.
  2. TLS को कॉन्फ़िगर करने के लिए, यहां दिया गया कमांड चलाएं: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl
    अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है
  3. एचटीटीपीएस पोर्ट नंबर डालें, जैसे कि 9443.
  4. बताएं कि क्या आपको मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) के लिए एचटीटीपी ऐक्सेस को बंद करना है. डिफ़ॉल्ट रूप से, मैनेजमेंट पोर्ट 9000 पर एचटीटीपी से यूज़र इंटरफ़ेस (यूआई) को ऐक्सेस किया जा सकता है.
  5. कीस्टोर एल्गोरिदम डालें. डिफ़ॉल्ट रूप से JKS होता है.
  6. कीस्टोर JKS फ़ाइल का ऐब्सलूट पाथ डालें.

    स्क्रिप्ट फ़ाइल को/opt/apigee/customer/conf मैनेजमेंट सर्वर नोड चालू करता है. साथ ही, फ़ाइल का मालिकाना हक "apigee" में बदल जाता है.

  7. साफ़ टेक्स्ट कीस्टोर पासवर्ड डालें.
  8. इसके बाद, स्क्रिप्ट Edge मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) को रीस्टार्ट करती है. रीस्टार्ट करने के बाद, मैनेजमेंट यूज़र इंटरफ़ेस (यूआई) TLS पर ऐक्सेस का समर्थन करता है.

    /opt/apigee/etc/edge-ui.d/SSL.sh में जाकर, इन सेटिंग को देखा जा सकता है.

TLS को कॉन्फ़िगर करने के लिए, कॉन्फ़िगरेशन फ़ाइल का इस्तेमाल करना

ऊपर दी गई प्रोसेस के विकल्प के तौर पर, किसी कॉन्फ़िगरेशन फ़ाइल को कमांड . अगर आप चाहें, तो वैकल्पिक TLS प्रॉपर्टी सेट करना.

कॉन्फ़िगरेशन फ़ाइल का इस्तेमाल करने के लिए, नई फ़ाइल बनाएं और ये प्रॉपर्टी जोड़ें:

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

फ़ाइल को अपने मनपसंद नाम से लोकल डायरेक्ट्री में सेव करें. इसके बाद, TLS को कॉन्फ़िगर करने के लिए इस कमांड का इस्तेमाल करें:

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

जहां configFile, आपकी सेव की गई फ़ाइल का पूरा पाथ है.

TLS होने पर Edge यूज़र इंटरफ़ेस (यूआई) कॉन्फ़िगर करें लोड बैलेंसर पर बंद हो जाता है

अगर आपके पास ऐसा लोड बैलेंसर है जो अनुरोधों को Edge यूज़र इंटरफ़ेस (यूआई) पर फ़ॉरवर्ड करता है, तो लोड बैलेंसर पर TLS कनेक्शन को खत्म कर दें. इसके बाद, लोड बैलेंसर को फ़ॉरवर्ड करने के लिए ने एचटीटीपी पर Edge यूज़र इंटरफ़ेस (यूआई) के लिए अनुरोध किया है. यह कॉन्फ़िगरेशन समर्थित है, लेकिन आपको लोड बैलेंसर और Edge के यूज़र इंटरफ़ेस (यूआई) की ज़रूरत होती है.

जब Edge का यूज़र इंटरफ़ेस (यूआई) सेट करने के लिए, उपयोगकर्ताओं को ईमेल भेजता है, तो अतिरिक्त कॉन्फ़िगरेशन की ज़रूरत होती है पासवर्ड, जब उपयोगकर्ता बनाया गया हो या जब उपयोगकर्ता अपने खोए हुए पासवर्ड को रीसेट करने का अनुरोध करे. यह ईमेल में ऐसा यूआरएल हो जिसे उपयोगकर्ता, पासवर्ड सेट करने या रीसेट करने के लिए चुनता है. डिफ़ॉल्ट रूप से, अगर Edge यूज़र इंटरफ़ेस (यूआई) है TLS का इस्तेमाल करने के लिए कॉन्फ़िगर नहीं किया गया है, तो जनरेट किए गए ईमेल का यूआरएल, एचटीटीपी प्रोटोकॉल का इस्तेमाल करता है, न कि एचटीटीपीएस का. आपको लोड बैलेंसर और Edge यूज़र इंटरफ़ेस (यूआई) को कॉन्फ़िगर करना होगा, ताकि ऐसा ईमेल पता जनरेट किया जा सके जिसका इस्तेमाल किया जा रहा है एचटीटीपीएस.

लोड बैलेंसर को कॉन्फ़िगर करने के लिए, पक्का करें कि यह फ़ॉरवर्ड किए गए अनुरोधों के लिए यहां दिया गया हेडर सेट करे एज यूज़र इंटरफ़ेस (यूआई) पर:

X-Forwarded-Proto: https

Edge यूज़र इंटरफ़ेस (यूआई) को कॉन्फ़िगर करने के लिए:

  1. /opt/apigee/customer/application/ui.properties खोलें फ़ाइल एडिटर में जाती है. अगर फ़ाइल मौजूद नहीं है, तो इसे बनाएं: 
    vi /opt/apigee/customer/application/ui.properties
    अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है
  2. इस प्रॉपर्टी को ui.properties में सेट करें: 
    conf/application.conf+trustxforwarded=true
  3. ui.properties पर अपने बदलाव सेव करें.
  4. Edge यूज़र इंटरफ़ेस (यूआई) को रीस्टार्ट करें: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart
    अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है

वैकल्पिक TLS प्रॉपर्टी सेट करना

Edge यूज़र इंटरफ़ेस (यूआई), वैकल्पिक TLS कॉन्फ़िगरेशन प्रॉपर्टी के साथ काम करता है. इसका इस्तेमाल, नीचे दी गई चीज़ों को सेट करने के लिए किया जा सकता है:

  • डिफ़ॉल्ट TLS प्रोटोकॉल
  • इस्तेमाल किए जा सकने वाले TLS प्रोटोकॉल की सूची
  • काम करने वाले TLS एल्गोरिदम
  • इस्तेमाल किए जा सकने वाले TLS साइफ़र

ये वैकल्पिक पैरामीटर सिर्फ़ तब उपलब्ध होते हैं, जब इन कॉन्फ़िगरेशन प्रॉपर्टी को सेट किया जाता है कॉन्फ़िगरेशन फ़ाइल में होना चाहिए, जैसा कि TLS को कॉन्फ़िगर करने के लिए, कॉन्फ़िगरेशन फ़ाइल का इस्तेमाल करना:

TLS_CONFIGURE=y
अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है

नीचे दी गई टेबल में इन प्रॉपर्टी के बारे में बताया गया है:

प्रॉपर्टी ब्यौरा
TLS_PROTOCOL Edge यूज़र इंटरफ़ेस (यूआई) के लिए डिफ़ॉल्ट TLS प्रोटोकॉल तय करता है. डिफ़ॉल्ट रूप से, यह TLS 1.2 है. मान्य वैल्यू TLSv1.2, TLSv1.1, TLSv1 हैं.
TLS_ENABLED_PROTOCOL

यह नीति चालू प्रोटोकॉल की सूची को, कॉमा लगाकर अलग किए गए अरे के तौर पर तय करती है. उदाहरण के लिए:

TLS_ENABLED_PROTOCOL=[\"TLSv1.2\", \"TLSv1.1\", \"TLSv1\"]

ध्यान दें कि आपको " वर्ण.

डिफ़ॉल्ट रूप से, सभी प्रोटोकॉल चालू होते हैं.
TLS_DISABLED_ALGO

इस नीति की मदद से, बंद किए गए साइफ़र सुइट के बारे में जानकारी दी जाती है. साथ ही, इसका इस्तेमाल छोटे साइज़ के पासकोड को इस्तेमाल होने से रोकने के लिए भी किया जा सकता है इसका इस्तेमाल TLS हैंडशेकिंग के लिए किया जाता है. कोई डिफ़ॉल्ट मान नहीं है.

TLS_DISABLED_ALGO को पास की गई वैल्यू, इनके लिए मान्य वैल्यू से मेल खाती हैं jdk.tls.disabledAlgorithms, जैसा कि यहां बताया गया है. हालांकि, TLS_DISABLED_ALGO को सेट करते समय आपको स्पेस के वर्णों को एस्केप करना होगा:

TLS_DISABLED_ALGO=EC\ keySize\ <\ 160,RSA\ keySize\ <\ 2048
TLS_ENABLED_CIPHERS

यह नीति, उपलब्ध TLS साइफ़र की सूची को, कॉमा लगाकर अलग किए गए अरे के तौर पर तय करती है. उदाहरण के लिए: 

TLS_ENABLED_CIPHERS=[\"TLS_DHE_RSA_WITH_AES_128_CBC_SHA\",
\"TLS_DHE_DSS_WITH_AES_128_CBC_SHA\"]

ध्यान दें कि आपको " वर्ण.

चालू किए गए साइफ़र की डिफ़ॉल्ट सूची यह है:

"TLS_DHE_RSA_WITH_AES_256_CBC_SHA",
"TLS_DHE_RSA_WITH_AES_128_CBC_SHA",
"TLS_DHE_DSS_WITH_AES_128_CBC_SHA",
"TLS_RSA_WITH_AES_256_CBC_SHA",
"TLS_RSA_WITH_AES_128_CBC_SHA",
"SSL_RSA_WITH_RC4_128_SHA",
"SSL_RSA_WITH_RC4_128_MD5",
"TLS_EMPTY_RENEGOTIATION_INFO_SCSV"

उपलब्ध साइफ़र की सूची देखना यहां पढ़ें.

TLS प्रोटोकॉल बंद करना

TLS प्रोटोकॉल बंद करने के लिए, आपको कॉन्फ़िगरेशन फ़ाइल में बदलाव करना होगा. इसके बारे में यहां बताया गया है टीएलएस को कॉन्फ़िगर करने के लिए, कॉन्फ़िगरेशन फ़ाइल का इस्तेमाल करना, इस तरह से:

  1. कॉन्फ़िगरेशन फ़ाइल को एडिटर में खोलें.
  2. किसी एक TLS प्रोटोकॉल को बंद करने के लिए—जैसे, TLSv1.0—को जोड़ें कॉन्फ़िगरेशन फ़ाइल में: 
    TLS_CONFIGURE=y
TLS_DISABLED_ALGO="tlsv1"
    अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है

    एक से ज़्यादा प्रोटोकॉल बंद करने के लिए—उदाहरण के लिए, TLSv1.0 और TLSv1.1— कॉन्फ़िगरेशन फ़ाइल में इसे जोड़ें:

    TLS_CONFIGURE=y
TLS_DISABLED_ALGO="tlsv1, tlsv1.1"
  3. कॉन्फ़िगरेशन फ़ाइल में अपने बदलाव सेव करें.
  4. TLS को कॉन्फ़िगर करने के लिए, यहां दिया गया कमांड चलाएं: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile
    अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है

    जहां configFile, कॉन्फ़िगरेशन फ़ाइल का पूरा पाथ है.

  5. Edge यूज़र इंटरफ़ेस (यूआई) को रीस्टार्ट करें: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart
    अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है

सुरक्षित कुकी इस्तेमाल करें

प्राइवेट क्लाउड के लिए Apigee Edge, इसके लिए Set-Cookie हेडर में secure फ़्लैग जोड़ने की सुविधा देता है एज यूज़र इंटरफ़ेस (यूआई) से रिस्पॉन्स. अगर यह फ़्लैग मौजूद है, तो कुकी सिर्फ़ उस पर भेजी जा सकती है TLS की सुविधा वाले चैनल. अगर यह मौजूद नहीं है, तो कुकी को किसी भी चैनल पर भेजा जा सकता है, चाहे यह सुरक्षित है या नहीं.

जिन कुकी पर secure फ़्लैग नहीं होता है वे संभावित रूप से किसी हमलावर को कुकी का फिर से इस्तेमाल करना या किसी ऐक्टिव सेशन को हाइजैक करना. इसलिए, सबसे सही तरीका यह है कि सेटिंग.

Edge यूज़र इंटरफ़ेस (यूआई) कुकी के लिए secure फ़्लैग सेट करने के लिए:

  1. इस फ़ाइल को टेक्स्ट एडिटर में खोलें: 
    /opt/apigee/customer/application/ui.properties
    अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है

    अगर फ़ाइल मौजूद नहीं है, तो उसे बनाएं.

  2. इसमें conf_application_session.secure प्रॉपर्टी को true पर सेट करें ui.properties फ़ाइल, जैसा कि नीचे दिया गया उदाहरण दिखाता है: 
    conf_application_session.secure=true
  3. बदलावों को सेव करें.
  4. apigee-serice यूटिलिटी का इस्तेमाल करके Edge यूज़र इंटरफ़ेस (यूआई) को रीस्टार्ट करें. इसका उदाहरण नीचे दिया गया है दिखाता है: 
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

यह पक्का करने के लिए कि बदलाव काम कर रहा है, Edge यूज़र इंटरफ़ेस (यूआई) से रिस्पॉन्स हेडर की जांच करें. इसके लिए, curl जैसी कोई उपयोगिता; उदाहरण के लिए:

curl -i -v https://edge_UI_URL

हेडर में एक लाइन होनी चाहिए, जो इस तरह दिखती है:

Set-Cookie: secure; ...

Edge यूज़र इंटरफ़ेस (यूआई) पर TLS को बंद करें

Edge यूज़र इंटरफ़ेस (यूआई) पर TLS को बंद करने के लिए, नीचे दिए गए कमांड का इस्तेमाल करें:

/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl