ব্যবস্থাপনা UI এর জন্য TLS কনফিগার করা হচ্ছে

ডিফল্টরূপে, আপনি ম্যানেজমেন্ট সার্ভার নোড এবং পোর্ট 9000 এর আইপি ঠিকানা ব্যবহার করে HTTP-এর মাধ্যমে এজ UI অ্যাক্সেস করতে পারেন। উদাহরণস্বরূপ:

http://ms_IP:9000

বিকল্পভাবে, আপনি এজ UI-তে TLS অ্যাক্সেস কনফিগার করতে পারেন যাতে আপনি ফর্মটিতে এটি অ্যাক্সেস করতে পারেন:

https://ms_IP:9443

এই উদাহরণে, আপনি পোর্ট 9443 ব্যবহার করার জন্য TLS অ্যাক্সেস কনফিগার করেন। যাইহোক, এই পোর্ট নম্বরটি এজ-এর দ্বারা প্রয়োজন হয় না - আপনি অন্যান্য পোর্ট মান ব্যবহার করতে ম্যানেজমেন্ট সার্ভার কনফিগার করতে পারেন। শুধুমাত্র প্রয়োজন হল যে আপনার ফায়ারওয়াল নির্দিষ্ট পোর্টের উপর ট্রাফিকের অনুমতি দেয়।

আপনার TLS পোর্ট খোলা আছে তা নিশ্চিত করুন

এই বিভাগের পদ্ধতিটি ম্যানেজমেন্ট সার্ভারে পোর্ট 9443 ব্যবহার করার জন্য TLS-কে কনফিগার করে। আপনি যে পোর্ট ব্যবহার করেন না কেন, আপনাকে অবশ্যই নিশ্চিত করতে হবে যে পোর্টটি ম্যানেজমেন্ট সার্ভারে খোলা আছে। উদাহরণস্বরূপ, আপনি এটি খুলতে নিম্নলিখিত কমান্ড ব্যবহার করতে পারেন:

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose

TLS কনফিগার করুন

ব্যবস্থাপনা UI-তে TLS অ্যাক্সেস কনফিগার করতে নিম্নলিখিত পদ্ধতিটি ব্যবহার করুন:

  1. আপনার TLS সার্টিফিকেশন এবং ব্যক্তিগত কী সম্বলিত কীস্টোর JKS ফাইল তৈরি করুন এবং ম্যানেজমেন্ট সার্ভার নোডে অনুলিপি করুন। আরও তথ্যের জন্য, এজ অন প্রিমিসেসের জন্য TLS/SSL কনফিগার করা দেখুন।
  2. TLS কনফিগার করতে নিম্নলিখিত কমান্ডটি চালান:
    /opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl
  3. HTTPS পোর্ট নম্বর লিখুন, উদাহরণস্বরূপ, 9443।
  4. আপনি ম্যানেজমেন্ট UI-তে HTTP অ্যাক্সেস অক্ষম করতে চান কিনা তা নির্দিষ্ট করুন। ডিফল্টরূপে, ব্যবস্থাপনা UI পোর্ট 9000-এ HTTP-এর মাধ্যমে অ্যাক্সেসযোগ্য।
  5. কীস্টোর অ্যালগরিদম লিখুন। ডিফল্ট JKS.
  6. কীস্টোর JKS ফাইলের পরম পথ প্রবেশ করান।

    স্ক্রিপ্ট ম্যানেজমেন্ট সার্ভার নোডের /opt/apigee/customer/conf ডিরেক্টরিতে ফাইলটিকে কপি করে এবং ফাইলের মালিকানা "apigee" এ পরিবর্তন করে।

  7. পরিষ্কার পাঠ্য কীস্টোর পাসওয়ার্ড লিখুন।
  8. স্ক্রিপ্ট তারপর এজ ম্যানেজমেন্ট UI পুনরায় আরম্ভ করে। পুনঃসূচনা করার পরে, ব্যবস্থাপনা UI টিএলএস-এ অ্যাক্সেস সমর্থন করে।

    আপনি এই সেটিংস /opt/apigee/etc/edge-ui.d/SSL.sh এ দেখতে পারেন।

TLS কনফিগার করার জন্য একটি কনফিগার ফাইল ব্যবহার করে

উপরের পদ্ধতির বিকল্প হিসাবে, আপনি পদ্ধতির ধাপ 2 এ কমান্ডে একটি কনফিগার ফাইল পাস করতে পারেন। আপনি যদি ঐচ্ছিক TLS বৈশিষ্ট্য সেট করতে চান তাহলে আপনাকে এই পদ্ধতিটি ব্যবহার করতে হবে।

একটি কনফিগার ফাইল ব্যবহার করতে, একটি নতুন ফাইল তৈরি করুন এবং নিম্নলিখিত বৈশিষ্ট্য যোগ করুন:

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

আপনি চান যে কোনো নাম দিয়ে একটি স্থানীয় ডিরেক্টরিতে ফাইল সংরক্ষণ করুন। তারপর TLS কনফিগার করতে নিম্নলিখিত কমান্ডটি ব্যবহার করুন:

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

যেখানে configFile হল আপনার সেভ করা ফাইলের সম্পূর্ণ পথ।

লোড ব্যালেন্সারে TLS বন্ধ হয়ে গেলে এজ UI কনফিগার করুন

যদি আপনার কাছে একটি লোড ব্যালেন্সার থাকে যা এজ UI-তে অনুরোধগুলি ফরোয়ার্ড করে, আপনি লোড ব্যালেন্সারে TLS সংযোগ বন্ধ করতে বেছে নিতে পারেন এবং তারপর HTTP-এর মাধ্যমে এজ UI-তে লোড ব্যালেন্সার ফরোয়ার্ড করার অনুরোধ করতে পারেন। এই কনফিগারেশনটি সমর্থিত কিন্তু আপনাকে সেই অনুযায়ী লোড ব্যালেন্সার এবং এজ UI কনফিগার করতে হবে।

অতিরিক্ত কনফিগারেশনের প্রয়োজন হয় যখন এজ UI ব্যবহারকারীদের তাদের পাসওয়ার্ড সেট করার জন্য ইমেল পাঠায় যখন ব্যবহারকারী তৈরি হয় বা যখন ব্যবহারকারী একটি হারিয়ে যাওয়া পাসওয়ার্ড পুনরায় সেট করার অনুরোধ করে। এই ইমেলটিতে একটি URL রয়েছে যা ব্যবহারকারী একটি পাসওয়ার্ড সেট বা রিসেট করতে নির্বাচন করে। ডিফল্টরূপে, যদি TLS ব্যবহার করার জন্য Edge UI কনফিগার করা না থাকে, তাহলে জেনারেট করা ইমেলের URL HTTP প্রোটোকল ব্যবহার করে, HTTPS নয়। HTTPS ব্যবহার করে এমন একটি ইমেল ঠিকানা তৈরি করতে আপনাকে অবশ্যই লোড ব্যালেন্সার এবং এজ UI কনফিগার করতে হবে।

লোড ব্যালেন্সার কনফিগার করতে, নিশ্চিত করুন যে এটি এজ UI-তে ফরোয়ার্ড করা অনুরোধের উপর নিম্নলিখিত শিরোনাম সেট করে:

X-Forwarded-Proto: https

এজ UI কনফিগার করতে:

  1. একটি সম্পাদকে /opt/apigee/customer/application/ui.properties ফাইলটি খুলুন। ফাইলটি বিদ্যমান না থাকলে, এটি তৈরি করুন:
    vi /opt/apigee/customer/application/ui.properties
  2. ui.properties এ নিম্নলিখিত সম্পত্তি সেট করুন:
    conf/application.conf+trustxforwarded=true
  3. ui.properties এ আপনার পরিবর্তনগুলি সংরক্ষণ করুন।
  4. এজ UI পুনরায় চালু করুন:
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

ঐচ্ছিক TLS বৈশিষ্ট্য সেট করা হচ্ছে

এজ UI ঐচ্ছিক TLS কনফিগারেশন বৈশিষ্ট্য সমর্থন করে যা আপনি নিম্নলিখিত সেট করতে ব্যবহার করতে পারেন:

  • ডিফল্ট TLS প্রোটোকল
  • সমর্থিত TLS প্রোটোকলের তালিকা
  • সমর্থিত TLS অ্যালগরিদম
  • সমর্থিত TLS সাইফার

এই ঐচ্ছিক পরামিতিগুলি শুধুমাত্র তখনই পাওয়া যায় যখন আপনি একটি কনফিগারেশন ফাইলে নিম্নলিখিত কনফিগারেশন প্রপার্টি সেট করেন, যেমনটি TLS কনফিগার করার জন্য একটি কনফিগারেশন ফাইল ব্যবহার করে বর্ণনা করা হয়েছে:

TLS_CONFIGURE=y

নিম্নলিখিত সারণী এই বৈশিষ্ট্যগুলি বর্ণনা করে:

সম্পত্তি বর্ণনা
TLS_PROTOCOL এজ UI এর জন্য ডিফল্ট TLS প্রোটোকল সংজ্ঞায়িত করে। ডিফল্টরূপে, এটি TLS 1.2। বৈধ মান হল TLSv1.2, TLSv1.1, TLSv1।
TLS_ENABLED_PROTOCOL

একটি কমা-বিচ্ছিন্ন অ্যারে হিসাবে সক্রিয় প্রোটোকলের তালিকা সংজ্ঞায়িত করে। যেমন:

TLS_ENABLED_PROTOCOL=[\"TLSv1.2\", \"TLSv1.1\", \"TLSv1\"]

লক্ষ্য করুন যে আপনাকে "অক্ষর থেকে বাঁচতে হবে।

ডিফল্টরূপে সমস্ত প্রোটোকল সক্রিয় করা হয়।

TLS_DISABLED_ALGO

অক্ষম সাইফার স্যুটগুলিকে সংজ্ঞায়িত করে এবং TLS হ্যান্ডশেকিংয়ের জন্য ছোট কী আকারগুলিকে প্রতিরোধ করতেও ব্যবহার করা যেতে পারে৷ কোন ডিফল্ট মান নেই।

TLS_DISABLED_ALGO তে পাস করা মানগুলি এখানে বর্ণিত jdk.tls.disabledAlgorithms এর জন্য অনুমোদিত মানগুলির সাথে মিলে যায়। যাইহোক, TLS_DISABLED_ALGO সেট করার সময় আপনাকে অবশ্যই স্পেস অক্ষর এড়িয়ে যেতে হবে :

TLS_DISABLED_ALGO=EC\ keySize\ <\ 160,RSA\ keySize\ <\ 2048
TLS_ENABLED_CIPHERS

উপলব্ধ TLS সাইফারের তালিকাকে একটি কমা-বিচ্ছিন্ন অ্যারে হিসাবে সংজ্ঞায়িত করে। যেমন:

TLS_ENABLED_CIPHERS=[\"TLS_DHE_RSA_WITH_AES_128_CBC_SHA\",
\"TLS_DHE_DSS_WITH_AES_128_CBC_SHA\"]

লক্ষ্য করুন যে আপনাকে "অক্ষর থেকে বাঁচতে হবে।

সক্রিয় সাইফারের ডিফল্ট তালিকা হল:

"TLS_DHE_RSA_WITH_AES_256_CBC_SHA",
"TLS_DHE_RSA_WITH_AES_128_CBC_SHA",
"TLS_DHE_DSS_WITH_AES_128_CBC_SHA",
"TLS_RSA_WITH_AES_256_CBC_SHA",
"TLS_RSA_WITH_AES_128_CBC_SHA",
"SSL_RSA_WITH_RC4_128_SHA",
"SSL_RSA_WITH_RC4_128_MD5",
"TLS_EMPTY_RENEGOTIATION_INFO_SCSV"

এখানে উপলব্ধ সাইফারের তালিকা খুঁজুন।

TLS প্রোটোকল অক্ষম করা হচ্ছে

TLS প্রোটোকল নিষ্ক্রিয় করতে, আপনাকে কনফিগার ফাইলটি সম্পাদনা করতে হবে, যা TLS কনফিগার করার জন্য একটি কনফিগার ফাইল ব্যবহার করে বর্ণিত হয়েছে, নিম্নরূপ:

  1. একটি সম্পাদকে কনফিগার ফাইলটি খুলুন।
  2. একটি একক TLS প্রোটোকল নিষ্ক্রিয় করতে-উদাহরণস্বরূপ, TLSv1.0- কনফিগার ফাইলে নিম্নলিখিত যোগ করুন:
    TLS_CONFIGURE=y
    TLS_DISABLED_ALGO="tlsv1"

    একাধিক প্রোটোকল নিষ্ক্রিয় করতে-উদাহরণস্বরূপ, TLSv1.0 এবং TLSv1.1- কনফিগার ফাইলে নিম্নলিখিত যোগ করুন:

    TLS_CONFIGURE=y
    TLS_DISABLED_ALGO="tlsv1, tlsv1.1"
  3. কনফিগার ফাইলে আপনার পরিবর্তনগুলি সংরক্ষণ করুন।
  4. TLS কনফিগার করতে নিম্নলিখিত কমান্ডটি চালান:
    /opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

    যেখানে configFile কনফিগার ফাইলের সম্পূর্ণ পথ।

  5. এজ UI পুনরায় চালু করুন:
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

নিরাপদ কুকিজ ব্যবহার করুন

ব্যক্তিগত ক্লাউডের জন্য Apigee এজ এজ UI থেকে প্রতিক্রিয়ার জন্য Set-Cookie হেডারে secure পতাকা যোগ করা সমর্থন করে। যদি এই পতাকাটি উপস্থিত থাকে, তাহলে কুকি শুধুমাত্র TLS-সক্ষম চ্যানেলগুলিতে পাঠানো যেতে পারে। যদি এটি উপস্থিত না থাকে, তাহলে কুকি যে কোনো চ্যানেলে পাঠানো যেতে পারে, তা নিরাপদ হোক বা না হোক।

secure পতাকা ছাড়া কুকিগুলি সম্ভাব্যভাবে আক্রমণকারীকে কুকি ক্যাপচার এবং পুনরায় ব্যবহার করতে বা একটি সক্রিয় সেশন হাইজ্যাক করার অনুমতি দিতে পারে৷ অতএব, সর্বোত্তম অনুশীলন হল এই সেটিংটি সক্ষম করা।

এজ UI কুকিজের জন্য secure পতাকা সেট করতে:

  1. একটি পাঠ্য সম্পাদকে নিম্নলিখিত ফাইলটি খুলুন:
    /opt/apigee/customer/application/ui.properties

    যদি ফাইলটি বিদ্যমান না থাকে তবে এটি তৈরি করুন।

  2. ui.properties ফাইলে conf_application_session.secure প্রপার্টিটিকে true হিসাবে সেট করুন, যেমনটি নিম্নলিখিত উদাহরণটি দেখায়:
    conf_application_session.secure=true
  3. আপনার পরিবর্তন সংরক্ষণ করুন.
  4. apigee-serice ইউটিলিটি ব্যবহার করে Edge UI পুনরায় চালু করুন, নিম্নলিখিত উদাহরণটি দেখায়:
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

পরিবর্তনটি কাজ করছে তা নিশ্চিত করতে, curl এর মতো একটি ইউটিলিটি ব্যবহার করে এজ UI থেকে প্রতিক্রিয়া শিরোনামগুলি পরীক্ষা করুন; উদাহরণস্বরূপ:

curl -i -v https://edge_UI_URL

হেডারে একটি লাইন থাকা উচিত যা নিচের মত দেখাচ্ছে:

Set-Cookie: secure; ...

এজ UI এ TLS অক্ষম করুন

এজ UI এ TLS অক্ষম করতে, নিম্নলিখিত কমান্ডটি ব্যবহার করুন:

/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl
,

ডিফল্টরূপে, আপনি ম্যানেজমেন্ট সার্ভার নোড এবং পোর্ট 9000 এর আইপি ঠিকানা ব্যবহার করে HTTP-এর মাধ্যমে এজ UI অ্যাক্সেস করতে পারেন। উদাহরণস্বরূপ:

http://ms_IP:9000

বিকল্পভাবে, আপনি এজ UI-তে TLS অ্যাক্সেস কনফিগার করতে পারেন যাতে আপনি ফর্মটিতে এটি অ্যাক্সেস করতে পারেন:

https://ms_IP:9443

এই উদাহরণে, আপনি পোর্ট 9443 ব্যবহার করার জন্য TLS অ্যাক্সেস কনফিগার করেন। যাইহোক, এই পোর্ট নম্বরটি এজ-এর দ্বারা প্রয়োজন হয় না - আপনি অন্যান্য পোর্ট মান ব্যবহার করতে ম্যানেজমেন্ট সার্ভার কনফিগার করতে পারেন। শুধুমাত্র প্রয়োজন হল যে আপনার ফায়ারওয়াল নির্দিষ্ট পোর্টের উপর ট্রাফিকের অনুমতি দেয়।

আপনার TLS পোর্ট খোলা আছে তা নিশ্চিত করুন

এই বিভাগের পদ্ধতিটি ম্যানেজমেন্ট সার্ভারে পোর্ট 9443 ব্যবহার করার জন্য TLS-কে কনফিগার করে। আপনি যে পোর্ট ব্যবহার করেন না কেন, আপনাকে অবশ্যই নিশ্চিত করতে হবে যে পোর্টটি ম্যানেজমেন্ট সার্ভারে খোলা আছে। উদাহরণস্বরূপ, আপনি এটি খুলতে নিম্নলিখিত কমান্ড ব্যবহার করতে পারেন:

iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 9443 -j ACCEPT --verbose

TLS কনফিগার করুন

ব্যবস্থাপনা UI-তে TLS অ্যাক্সেস কনফিগার করতে নিম্নলিখিত পদ্ধতিটি ব্যবহার করুন:

  1. আপনার TLS সার্টিফিকেশন এবং ব্যক্তিগত কী সম্বলিত কীস্টোর JKS ফাইল তৈরি করুন এবং ম্যানেজমেন্ট সার্ভার নোডে অনুলিপি করুন। আরও তথ্যের জন্য, এজ অন প্রিমিসেসের জন্য TLS/SSL কনফিগার করা দেখুন।
  2. TLS কনফিগার করতে নিম্নলিখিত কমান্ডটি চালান:
    /opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl
  3. HTTPS পোর্ট নম্বর লিখুন, উদাহরণস্বরূপ, 9443।
  4. আপনি ম্যানেজমেন্ট UI-তে HTTP অ্যাক্সেস অক্ষম করতে চান কিনা তা নির্দিষ্ট করুন। ডিফল্টরূপে, ব্যবস্থাপনা UI পোর্ট 9000-এ HTTP-এর মাধ্যমে অ্যাক্সেসযোগ্য।
  5. কীস্টোর অ্যালগরিদম লিখুন। ডিফল্ট JKS.
  6. কীস্টোর JKS ফাইলের পরম পথ প্রবেশ করান।

    স্ক্রিপ্ট ম্যানেজমেন্ট সার্ভার নোডের /opt/apigee/customer/conf ডিরেক্টরিতে ফাইলটিকে কপি করে এবং ফাইলের মালিকানা "apigee" এ পরিবর্তন করে।

  7. পরিষ্কার পাঠ্য কীস্টোর পাসওয়ার্ড লিখুন।
  8. স্ক্রিপ্ট তারপর এজ ম্যানেজমেন্ট UI পুনরায় আরম্ভ করে। পুনঃসূচনা করার পরে, ব্যবস্থাপনা UI টিএলএস-এ অ্যাক্সেস সমর্থন করে।

    আপনি এই সেটিংস /opt/apigee/etc/edge-ui.d/SSL.sh এ দেখতে পারেন।

TLS কনফিগার করার জন্য একটি কনফিগার ফাইল ব্যবহার করে

উপরের পদ্ধতির বিকল্প হিসাবে, আপনি পদ্ধতির ধাপ 2 এ কমান্ডে একটি কনফিগার ফাইল পাস করতে পারেন। আপনি যদি ঐচ্ছিক TLS বৈশিষ্ট্য সেট করতে চান তাহলে আপনাকে এই পদ্ধতিটি ব্যবহার করতে হবে।

একটি কনফিগার ফাইল ব্যবহার করতে, একটি নতুন ফাইল তৈরি করুন এবং নিম্নলিখিত বৈশিষ্ট্য যোগ করুন:

HTTPSPORT=9443
DISABLE_HTTP=y
KEY_ALGO=JKS
KEY_FILE_PATH=/opt/apigee/customer/application/mykeystore.jks
KEY_PASS=clearTextKeystorePWord

আপনি চান যে কোনো নাম দিয়ে একটি স্থানীয় ডিরেক্টরিতে ফাইল সংরক্ষণ করুন। তারপর TLS কনফিগার করতে নিম্নলিখিত কমান্ডটি ব্যবহার করুন:

/opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

যেখানে configFile হল আপনার সেভ করা ফাইলের সম্পূর্ণ পথ।

লোড ব্যালেন্সারে TLS বন্ধ হয়ে গেলে এজ UI কনফিগার করুন

যদি আপনার কাছে একটি লোড ব্যালেন্সার থাকে যা এজ UI-তে অনুরোধগুলি ফরোয়ার্ড করে, আপনি লোড ব্যালেন্সারে TLS সংযোগ বন্ধ করতে বেছে নিতে পারেন এবং তারপর HTTP-এর মাধ্যমে এজ UI-তে লোড ব্যালেন্সার ফরোয়ার্ড করার অনুরোধ করতে পারেন। এই কনফিগারেশনটি সমর্থিত কিন্তু আপনাকে সেই অনুযায়ী লোড ব্যালেন্সার এবং এজ UI কনফিগার করতে হবে।

অতিরিক্ত কনফিগারেশনের প্রয়োজন হয় যখন এজ UI ব্যবহারকারীদের তাদের পাসওয়ার্ড সেট করার জন্য ইমেল পাঠায় যখন ব্যবহারকারী তৈরি হয় বা যখন ব্যবহারকারী একটি হারিয়ে যাওয়া পাসওয়ার্ড পুনরায় সেট করার অনুরোধ করে। এই ইমেলটিতে একটি URL রয়েছে যা ব্যবহারকারী একটি পাসওয়ার্ড সেট বা রিসেট করতে নির্বাচন করে। ডিফল্টরূপে, যদি TLS ব্যবহার করার জন্য Edge UI কনফিগার করা না থাকে, তাহলে জেনারেট করা ইমেলের URL HTTP প্রোটোকল ব্যবহার করে, HTTPS নয়। HTTPS ব্যবহার করে এমন একটি ইমেল ঠিকানা তৈরি করতে আপনাকে অবশ্যই লোড ব্যালেন্সার এবং এজ UI কনফিগার করতে হবে।

লোড ব্যালেন্সার কনফিগার করতে, নিশ্চিত করুন যে এটি এজ UI-তে ফরোয়ার্ড করা অনুরোধের উপর নিম্নলিখিত শিরোনাম সেট করে:

X-Forwarded-Proto: https

এজ UI কনফিগার করতে:

  1. একটি সম্পাদকে /opt/apigee/customer/application/ui.properties ফাইলটি খুলুন। ফাইলটি বিদ্যমান না থাকলে, এটি তৈরি করুন:
    vi /opt/apigee/customer/application/ui.properties
  2. ui.properties এ নিম্নলিখিত সম্পত্তি সেট করুন:
    conf/application.conf+trustxforwarded=true
  3. ui.properties এ আপনার পরিবর্তনগুলি সংরক্ষণ করুন।
  4. এজ UI পুনরায় চালু করুন:
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

ঐচ্ছিক TLS বৈশিষ্ট্য সেট করা হচ্ছে

এজ UI ঐচ্ছিক TLS কনফিগারেশন বৈশিষ্ট্য সমর্থন করে যা আপনি নিম্নলিখিত সেট করতে ব্যবহার করতে পারেন:

  • ডিফল্ট TLS প্রোটোকল
  • সমর্থিত TLS প্রোটোকলের তালিকা
  • সমর্থিত TLS অ্যালগরিদম
  • সমর্থিত TLS সাইফার

এই ঐচ্ছিক পরামিতিগুলি শুধুমাত্র তখনই পাওয়া যায় যখন আপনি একটি কনফিগারেশন ফাইলে নিম্নলিখিত কনফিগারেশন প্রপার্টি সেট করেন, যেমনটি TLS কনফিগার করার জন্য একটি কনফিগারেশন ফাইল ব্যবহার করে বর্ণনা করা হয়েছে:

TLS_CONFIGURE=y

নিম্নলিখিত সারণী এই বৈশিষ্ট্যগুলি বর্ণনা করে:

সম্পত্তি বর্ণনা
TLS_PROTOCOL এজ UI এর জন্য ডিফল্ট TLS প্রোটোকল সংজ্ঞায়িত করে। ডিফল্টরূপে, এটি TLS 1.2। বৈধ মান হল TLSv1.2, TLSv1.1, TLSv1।
TLS_ENABLED_PROTOCOL

একটি কমা-বিচ্ছিন্ন অ্যারে হিসাবে সক্রিয় প্রোটোকলের তালিকা সংজ্ঞায়িত করে। যেমন:

TLS_ENABLED_PROTOCOL=[\"TLSv1.2\", \"TLSv1.1\", \"TLSv1\"]

লক্ষ্য করুন যে আপনাকে "অক্ষর থেকে বাঁচতে হবে।

ডিফল্টরূপে সমস্ত প্রোটোকল সক্রিয় করা হয়।

TLS_DISABLED_ALGO

অক্ষম সাইফার স্যুটগুলিকে সংজ্ঞায়িত করে এবং TLS হ্যান্ডশেকিংয়ের জন্য ছোট কী আকারগুলিকে প্রতিরোধ করতেও ব্যবহার করা যেতে পারে৷ কোন ডিফল্ট মান নেই।

TLS_DISABLED_ALGO তে পাস করা মানগুলি এখানে বর্ণিত jdk.tls.disabledAlgorithms এর জন্য অনুমোদিত মানগুলির সাথে মিলে যায়। যাইহোক, TLS_DISABLED_ALGO সেট করার সময় আপনাকে অবশ্যই স্পেস অক্ষর এড়িয়ে যেতে হবে :

TLS_DISABLED_ALGO=EC\ keySize\ <\ 160,RSA\ keySize\ <\ 2048
TLS_ENABLED_CIPHERS

উপলব্ধ TLS সাইফারের তালিকাকে একটি কমা-বিচ্ছিন্ন অ্যারে হিসাবে সংজ্ঞায়িত করে। যেমন:

TLS_ENABLED_CIPHERS=[\"TLS_DHE_RSA_WITH_AES_128_CBC_SHA\",
\"TLS_DHE_DSS_WITH_AES_128_CBC_SHA\"]

লক্ষ্য করুন যে আপনাকে "অক্ষর থেকে বাঁচতে হবে।

সক্রিয় সাইফারের ডিফল্ট তালিকা হল:

"TLS_DHE_RSA_WITH_AES_256_CBC_SHA",
"TLS_DHE_RSA_WITH_AES_128_CBC_SHA",
"TLS_DHE_DSS_WITH_AES_128_CBC_SHA",
"TLS_RSA_WITH_AES_256_CBC_SHA",
"TLS_RSA_WITH_AES_128_CBC_SHA",
"SSL_RSA_WITH_RC4_128_SHA",
"SSL_RSA_WITH_RC4_128_MD5",
"TLS_EMPTY_RENEGOTIATION_INFO_SCSV"

এখানে উপলব্ধ সাইফারের তালিকা খুঁজুন।

TLS প্রোটোকল অক্ষম করা হচ্ছে

TLS প্রোটোকল নিষ্ক্রিয় করতে, আপনাকে কনফিগার ফাইলটি সম্পাদনা করতে হবে, যা TLS কনফিগার করার জন্য একটি কনফিগার ফাইল ব্যবহার করে বর্ণিত হয়েছে, নিম্নরূপ:

  1. একটি সম্পাদকে কনফিগার ফাইলটি খুলুন।
  2. একটি একক TLS প্রোটোকল নিষ্ক্রিয় করতে-উদাহরণস্বরূপ, TLSv1.0- কনফিগার ফাইলে নিম্নলিখিত যোগ করুন:
    TLS_CONFIGURE=y
    TLS_DISABLED_ALGO="tlsv1"

    একাধিক প্রোটোকল নিষ্ক্রিয় করতে-উদাহরণস্বরূপ, TLSv1.0 এবং TLSv1.1- কনফিগার ফাইলে নিম্নলিখিত যোগ করুন:

    TLS_CONFIGURE=y
    TLS_DISABLED_ALGO="tlsv1, tlsv1.1"
  3. কনফিগার ফাইলে আপনার পরিবর্তনগুলি সংরক্ষণ করুন।
  4. TLS কনফিগার করতে নিম্নলিখিত কমান্ডটি চালান:
    /opt/apigee/apigee-service/bin/apigee-service edge-ui configure-ssl -f configFile

    যেখানে configFile কনফিগার ফাইলের সম্পূর্ণ পথ।

  5. এজ UI পুনরায় চালু করুন:
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

নিরাপদ কুকিজ ব্যবহার করুন

ব্যক্তিগত ক্লাউডের জন্য Apigee এজ এজ UI থেকে প্রতিক্রিয়ার জন্য Set-Cookie হেডারে secure পতাকা যোগ করা সমর্থন করে। যদি এই পতাকাটি উপস্থিত থাকে, তাহলে কুকি শুধুমাত্র TLS-সক্ষম চ্যানেলগুলিতে পাঠানো যেতে পারে। যদি এটি উপস্থিত না থাকে, তাহলে কুকি যে কোনো চ্যানেলে পাঠানো যেতে পারে, তা নিরাপদ হোক বা না হোক।

secure পতাকা ছাড়া কুকিগুলি সম্ভাব্যভাবে আক্রমণকারীকে কুকি ক্যাপচার এবং পুনরায় ব্যবহার করতে বা একটি সক্রিয় সেশন হাইজ্যাক করার অনুমতি দিতে পারে৷ অতএব, সর্বোত্তম অনুশীলন হল এই সেটিংটি সক্ষম করা।

এজ UI কুকিজের জন্য secure পতাকা সেট করতে:

  1. একটি পাঠ্য সম্পাদকে নিম্নলিখিত ফাইলটি খুলুন:
    /opt/apigee/customer/application/ui.properties

    যদি ফাইলটি বিদ্যমান না থাকে তবে এটি তৈরি করুন।

  2. ui.properties ফাইলে conf_application_session.secure প্রপার্টিটিকে true হিসাবে সেট করুন, যেমনটি নিম্নলিখিত উদাহরণটি দেখায়:
    conf_application_session.secure=true
  3. আপনার পরিবর্তন সংরক্ষণ করুন.
  4. apigee-serice ইউটিলিটি ব্যবহার করে Edge UI পুনরায় চালু করুন, নিম্নলিখিত উদাহরণটি দেখায়:
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

পরিবর্তনটি কাজ করছে তা নিশ্চিত করতে, curl এর মতো একটি ইউটিলিটি ব্যবহার করে এজ UI থেকে প্রতিক্রিয়া শিরোনামগুলি পরীক্ষা করুন; উদাহরণস্বরূপ:

curl -i -v https://edge_UI_URL

হেডারে একটি লাইন থাকা উচিত যা নিচের মত দেখাচ্ছে:

Set-Cookie: secure; ...

এজ UI এ TLS অক্ষম করুন

এজ UI এ TLS অক্ষম করতে, নিম্নলিখিত কমান্ডটি ব্যবহার করুন:

/opt/apigee/apigee-service/bin/apigee-service edge-ui disable-ssl