नए Edge यूज़र इंटरफ़ेस (यूआई) के लिए TLS को कॉन्फ़िगर करना

डिफ़ॉल्ट रूप से, आपको Edge यूज़र इंटरफ़ेस (यूआई) नोड के आईपी पते या डीएनएस नाम और पोर्ट 3001 का इस्तेमाल करके, एचटीटीपी पर नए EDGE यूआई को ऐक्सेस किया जा सकता है. उदाहरण के लिए:

http://newue_IP:3001

इसके अलावा, आप TLS के ऐक्सेस को Edge यूज़र इंटरफ़ेस (यूआई) पर कॉन्फ़िगर कर सकते हैं, ताकि आप इसे फ़ॉर्म में ऐक्सेस कर सकें:

https://newue_IP:3001

TLS से जुड़ी ज़रूरी शर्तें

Edge यूज़र इंटरफ़ेस (यूआई), सिर्फ़ TLS v1.2 के साथ काम करता है. अगर आप Edge यूज़र इंटरफ़ेस (यूआई) पर TLS चालू करते हैं, तो उपयोगकर्ताओं को ऐसा ब्राउज़र इस्तेमाल करके EDGE यूआई से कनेक्ट करना होगा जिस पर TLS v1.2 का इस्तेमाल किया जा सकता हो.

TLS कॉन्फ़िगरेशन की प्रॉपर्टी

Edge यूज़र इंटरफ़ेस (यूआई) के लिए TLS को कॉन्फ़िगर करने के लिए, नीचे दिए गए निर्देश का इस्तेमाल करें:

/opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

जहां configFile वह कॉन्फ़िगरेशन फ़ाइल है जिसका इस्तेमाल आपने Edge यूज़र इंटरफ़ेस (यूआई) को इंस्टॉल करने के लिए किया था.

यह निर्देश चलाने से पहले, आपको TLS को कंट्रोल करने वाली ज़रूरी प्रॉपर्टी को सेट करने के लिए कॉन्फ़िगरेशन फ़ाइल में बदलाव करना होगा. इस टेबल में उन प्रॉपर्टी के बारे में बताया गया है जिनका इस्तेमाल, Edge यूज़र इंटरफ़ेस के लिए TLS को कॉन्फ़िगर करने के लिए किया जाता है:

प्रॉपर्टी ब्यौरा ज़रूरी है?
MANAGEMENT_UI_SCHEME

Edge यूज़र इंटरफ़ेस (यूआई) को ऐक्सेस करने के लिए इस्तेमाल किए जाने वाले "एचटीटीपी" या "एचटीटीपीएस" प्रोटोकॉल सेट करता है. डिफ़ॉल्ट वैल्यू "http" होती है. TLS चालू करने के लिए, इसे "https" पर सेट करें:

MANAGEMENT_UI_SCHEME=https
हां
MANAGEMENT_UI_TLS_OFFLOAD

अगर "n" का इस्तेमाल किया जाता है, तो इससे पता चलता है कि Edge यूज़र इंटरफ़ेस (यूआई) के लिए TLS के अनुरोध, Edge यूज़र इंटरफ़ेस (यूआई) पर खत्म कर दिए गए हैं. आपको MANAGEMENT_UI_TLS_KEY_FILE और MANAGEMENT_UI_TLS_CERT_FILE. को सेट करना होगा

अगर "y" का इस्तेमाल किया जाता है, तो इससे पता चलता है कि Edge यूज़र इंटरफ़ेस (यूआई) के लिए TLS के अनुरोध, लोड बैलेंसर पर खत्म कर दिए जाते हैं और लोड बैलेंसर, एचटीटीपी का इस्तेमाल करके इस अनुरोध को Edge यूज़र इंटरफ़ेस (यूआई) पर फ़ॉरवर्ड कर देता है.

अगर लोड बैलेंसर पर TLS को खत्म किया जाता है, तो Edge यूज़र इंटरफ़ेस (यूआई) को अब भी इस बात का ध्यान रखना होगा कि मूल अनुरोध TLS पर मिला था. उदाहरण के लिए, कुछ कुकी में 'सुरक्षित' फ़्लैग सेट किया गया है.

आपको MANAGEMENT_UI_SCHEME को "https" पर सेट करना होगा, वरना MANAGEMENT_UI_TLS_OFFLOAD को अनदेखा कर दिया जाएगा:

MANAGEMENT_UI_SCHEME=https
MANAGEMENT_UI_TLS_OFFLOAD=y
हां
MANAGEMENT_UI_TLS_KEY_FILE

MANAGEMENT_UI_TLS_CERT_FILE

अगर MANAGEMENT_UI_TLS_OFFLOAD=n, तो यह TLS कुंजी और सर्टिफ़िकेट फ़ाइलों का ऐब्सलूट पाथ बताता है. फ़ाइलों को PEM फ़ाइलों के तौर पर फ़ॉर्मैट किया जाना चाहिए, जिनमें लंबा पासवर्ड नहीं होना चाहिए. साथ ही, इन फ़ाइलों का मालिकाना हक "apigee" उपयोगकर्ता के पास होना चाहिए.

इन फ़ाइलों को किसी जगह पर सेव करने का सुझाव दिया जाता है:

/opt/apigee/customer/application/edge-management-ui

अगर वह डायरेक्ट्री मौजूद नहीं है, तो उसे बनाएं.

अगर MANAGEMENT_UI_TLS_OFFLOAD=y हैं, तो MANAGEMENT_UI_TLS_KEY_FILE और MANAGEMENT_UI_TLS_CERT_FILE. को छोड़ दें. इन्हें अनदेखा कर दिया जाता है, क्योंकि Edge यूज़र इंटरफ़ेस (यूआई) के अनुरोध, एचटीटीपी पर आते हैं.

अगर MANAGEMENT_UI_TLS_OFFLOAD=n हो, तो हां
MANAGEMENT_UI_PUBLIC_URIS

अगर MANAGEMENT_UI_TLS_OFFLOAD=n है, तो यह Edge यूज़र इंटरफ़ेस (यूआई) के यूआरएल के बारे में बताता है.

इस प्रॉपर्टी को कॉन्फ़िगरेशन फ़ाइल में दी गई अन्य प्रॉपर्टी के हिसाब से सेट करें. उदाहरण के लिए:

MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT

जगह:

  • MANAGEMENT_UI_SCHEME ऊपर बताए गए तरीके के मुताबिक, "एचटीटीपी" या "एचटीटीपीएस" प्रोटोकॉल को तय करता है.
  • MANAGEMENT_UI_IP, Edge यूज़र इंटरफ़ेस (यूआई) का आईपी पता या डीएनएस नाम बताता है.
  • MANAGEMENT_UI_PORT उस पोर्ट के बारे में बताता है जिसे Edge यूज़र इंटरफ़ेस (यूआई) में इस्तेमाल किया जाता है.

इन प्रॉपर्टी के बारे में ज़्यादा जानकारी के लिए, नया EDGE यूज़र इंटरफ़ेस (यूआई) इंस्टॉल करें देखें.

अगर MANAGEMENT_UI_TLS_OFFLOAD=y:

  • MANAGEMENT_UI_IP, लोड बैलेंसर के आईपी पते या डीएनएस नाम के बारे में बताता है, न कि Edge यूज़र इंटरफ़ेस (यूआई) के नहीं.
  • लोड बैलेंसर और नए यूई (यूरोपियन यूनियन) के अनुरोधों के लिए, एक ही पोर्ट नंबर का इस्तेमाल ज़रूरी है, जैसे कि 3001. लोड बैलेंसर और नए यूई पर पोर्ट नंबर बताने के लिए, MANAGEMENT_UI_PORT का इस्तेमाल करें.

हां

MANAGEMENT_UI_TLS_ALLOWED_CIPHERS

यह उपलब्ध TLS साइफ़र की सूची को कॉमा लगाकर अलग की गई या स्पेस से अलग की गई स्ट्रिंग के तौर पर बताता है.

कॉमा सेपरेटेड स्ट्रिंग:

MANAGEMENT_UI_TLS_ALLOWED_CIPHERS=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

स्पेस से अलग की गई स्ट्रिंग, जो डबल कोट में है:

MANAGEMENT_UI_TLS_ALLOWED_CIPHERS="TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"

SHOEHORN_SCHEME

नया Edge यूज़र इंटरफ़ेस (यूआई) इंस्टॉल करने से पहले, आपको सबसे पहले बेस Edge यूआई को इंस्टॉल करना होगा. इस यूआई को जूताहॉर्न कहा जाता है. इंस्टॉलेशन कॉन्फ़िगरेशन फ़ाइल "http" प्रोटोकॉल तय करने के लिए, नीचे दी गई प्रॉपर्टी का इस्तेमाल करती है. इसका इस्तेमाल बेस Edge यूज़र इंटरफ़ेस (यूआई) को ऐक्सेस करने के लिए किया जाता है:

SHOEHORN_SCHEME=http

बेस Edge यूआई, TLS के साथ काम नहीं करता. इसलिए, जब आप Edge यूआई पर TLS चालू करते हैं, तब भी इस प्रॉपर्टी को "एचटीटीपी" पर सेट होना चाहिए.

हां और "http" पर सेट करें

TLS कॉन्फ़िगर करें

Edge यूज़र इंटरफ़ेस (यूआई) पर TLS के ऐक्सेस को कॉन्फ़िगर करने के लिए:

  1. बिना लंबे पासवर्ड के PEM फ़ाइलों के तौर पर, TLS सर्टिफ़िकेट और कुंजी जनरेट करें. उदाहरण के लिए:

    mykey.pem
    mycert.pem

    TLS सर्टिफ़िकेट और कुंजी जनरेट करने के कई तरीके हैं. उदाहरण के लिए, बिना हस्ताक्षर वाले सर्टिफ़िकेट और कुंजी को जनरेट करने के लिए, यह निर्देश दिया जा सकता है:

    openssl req -x509 -newkey rsa:4096 -keyout mykey.pem -out mycert.pem -days 365 -nodes -subj '/CN=localhost'
  2. कुंजी और सर्टिफ़िकेट फ़ाइलों को /opt/apigee/customer/application/edge-management-ui डायरेक्ट्री में कॉपी करें. अगर वह डायरेक्ट्री मौजूद नहीं है, तो उसे बनाएं.
  3. पक्का करें कि सर्टिफ़िकेट और कुंजी का मालिकाना हक, "apigee" उपयोगकर्ता के पास हो:

    chown apigee:apigee /opt/apigee/customer/application/edge-management-ui/*.pem
  4. इन TLS प्रॉपर्टी को सेट करने के लिए, उस कॉन्फ़िगरेशन फ़ाइल में बदलाव करें जिसका इस्तेमाल आपने EDGE यूज़र इंटरफ़ेस (यूआई) को इंस्टॉल करने के लिए किया था:

    # Set to https to enable TLS.
    MANAGEMENT_UI_SCHEME=https 
    # Do NOT terminate TLS on a load balancer.
    MANAGEMENT_UI_TLS_OFFLOAD=n
    
    # Specify the key and cert. 
    MANAGEMENT_UI_TLS_KEY_FILE=/opt/apigee/customer/application/edge-management-ui/mykey.pem
    MANAGEMENT_UI_TLS_CERT_FILE=/opt/apigee/customer/application/edge-management-ui/mycert.pem
    
    # Leave these properties set to the same values as when you installed the Edge UI:
    MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT
    SHOEHORN_SCHEME=http
  5. TLS को कॉन्फ़िगर करने के लिए, नीचे दिए गए निर्देश का इस्तेमाल करें:

    /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

    जहां configFile, कॉन्फ़िगरेशन फ़ाइल का नाम है.

    स्क्रिप्ट, Edge यूज़र इंटरफ़ेस (यूआई) को रीस्टार्ट करती है.

  6. शूहॉर्न को सेट अप करने और रीस्टार्ट करने के लिए, नीचे दिए गए निर्देशों का पालन करें:

    /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

    रीस्टार्ट होने के बाद, Edge का यूज़र इंटरफ़ेस (यूआई) एचटीटीपीएस पर ऐक्सेस करने की सुविधा देता है. अगर TLS को चालू करने के बाद, Edge यूज़र इंटरफ़ेस (यूआई) में लॉग इन नहीं किया जा सकता, तो ब्राउज़र की कैश मेमोरी मिटाएं और फिर से लॉग इन करने की कोशिश करें.

लोड बैलेंसर पर TLS के खत्म होने पर, Edge यूज़र इंटरफ़ेस (यूआई) को कॉन्फ़िगर करें

अगर आपके पास ऐसा लोड बैलेंसर है जो अनुरोधों को Edge यूज़र इंटरफ़ेस (यूआई) पर फ़ॉरवर्ड करता है, तो आपके पास लोड बैलेंसर पर TLS कनेक्शन को खत्म करने का विकल्प है. इसके बाद, लोड बैलेंसर को एचटीटीपी पर एज यूआई पर फ़ॉरवर्ड करने के लिए अनुरोध भेजा जा सकता है:

लोड बैलेंसर पर TLS को खत्म करें

यह कॉन्फ़िगरेशन काम करता है, लेकिन आपको इसके हिसाब से लोड बैलेंसर और Edge यूज़र इंटरफ़ेस (यूआई) को कॉन्फ़िगर करना होगा.

लोड बैलेंसर पर TLS खत्म होने के बाद, Edge यूज़र इंटरफ़ेस (यूआई) को कॉन्फ़िगर करने के लिए:

  1. इन TLS प्रॉपर्टी को सेट करने के लिए, उस कॉन्फ़िगरेशन फ़ाइल में बदलाव करें जिसका इस्तेमाल आपने Edge यूज़र इंटरफ़ेस (यूआई) को इंस्टॉल करने के लिए किया था:

    # Set to https to enable TLS
    MANAGEMENT_UI_SCHEME=https
    # Terminate TLS on a load balancer
    MANAGEMENT_UI_TLS_OFFLOAD=y
    # Set to the IP address or DNS name of the load balancer.
    MANAGEMENT_UI_IP=LB_IP_DNS
    # Set to the port number for the load balancer and Edge UI.
    # The load balancer and the Edge UI must use the same port number.
    MANAGEMENT_UI_IP=3001
    
    # Leave these properties set to the same values as when you installed the Edge UI:
    MANAGEMENT_UI_PUBLIC_URIS=$MANAGEMENT_UI_SCHEME://$MANAGEMENT_UI_IP:$MANAGEMENT_UI_PORT
    SHOEHORN_SCHEME=http
    

    अगर MANAGEMENT_UI_TLS_OFFLOAD=y को सेट किया जाता है, तो MANAGEMENT_UI_TLS_KEY_FILE और MANAGEMENT_UI_TLS_CERT_FILE. को छोड़ दें. इन्हें अनदेखा कर दिया जाता है, क्योंकि Edge यूज़र इंटरफ़ेस (यूआई) के अनुरोध, एचटीटीपी पर आते हैं.

  2. TLS को कॉन्फ़िगर करने के लिए, नीचे दिए गए निर्देश का इस्तेमाल करें:

    /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

    जहां configFile, कॉन्फ़िगरेशन फ़ाइल का नाम है.

    स्क्रिप्ट, Edge यूज़र इंटरफ़ेस (यूआई) को रीस्टार्ट करती है.

  3. शूहॉर्न को सेट अप करने और रीस्टार्ट करने के लिए, नीचे दिए गए निर्देशों का पालन करें:

    /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

    रीस्टार्ट होने के बाद, Edge का यूज़र इंटरफ़ेस (यूआई) एचटीटीपीएस पर ऐक्सेस करने की सुविधा देता है. अगर TLS को चालू करने के बाद, Edge यूज़र इंटरफ़ेस (यूआई) में लॉग इन नहीं किया जा सकता, तो ब्राउज़र की कैश मेमोरी मिटाएं और फिर से लॉग इन करने की कोशिश करें.

Edge यूज़र इंटरफ़ेस (यूआई) पर TLS को बंद करें

Edge यूज़र इंटरफ़ेस (यूआई) पर TLS को बंद करने के लिए:

  1. इस TLS प्रॉपर्टी को सेट करने के लिए, उस कॉन्फ़िगरेशन फ़ाइल में बदलाव करें जिसका इस्तेमाल आपने Edge यूज़र इंटरफ़ेस (यूआई) को इंस्टॉल करने के लिए किया था:

    # Set to http to disable TLS.
    MANAGEMENT_UI_SCHEME=http
    
    # Only if you had terminated TLS on a load balancer,
    # reset to the IP address or DNS name of the Edge UI.
    MANAGEMENT_UI_IP=newue_IP_DNS
    
  2. TLS को बंद करने के लिए, नीचे दिए गए निर्देश का इस्तेमाल करें:

    /opt/apigee/apigee-service/bin/apigee-service edge-management-ui configure-ssl -f configFile

    जहां configFile, कॉन्फ़िगरेशन फ़ाइल का नाम है.

    स्क्रिप्ट, Edge यूज़र इंटरफ़ेस (यूआई) को रीस्टार्ट करती है.

  3. शूहॉर्न को सेट अप करने और रीस्टार्ट करने के लिए, नीचे दिए गए निर्देशों का पालन करें:

    /opt/apigee/apigee-service/bin/apigee-service edge-ui setup -f configFile
    /opt/apigee/apigee-service/bin/apigee-service edge-ui restart

    अब एचटीटीपी पर Edge यूज़र इंटरफ़ेस (यूआई) को ऐक्सेस किया जा सकता है. अगर TLS को बंद करने के बाद, Edge यूज़र इंटरफ़ेस (यूआई) में लॉग इन नहीं हो पा रहा है, तो ब्राउज़र की कैश मेमोरी मिटाएं और फिर से लॉग इन करने की कोशिश करें.