इस पेज पर बताया गया है कि नॉर्थबाउंड ट्रैफ़िक (क्लाइंट और राऊटर के बीच का ट्रैफ़िक) के लिए, Apigee राऊटर में TLS 1.3 को कैसे कॉन्फ़िगर करें.
वर्चुअल होस्ट के बारे में ज़्यादा जानकारी के लिए, वर्चुअल होस्ट देखें.
राऊटर में TLS पर आधारित सभी वर्चुअल होस्ट के लिए, TLS 1.3 चालू करें
किसी राऊटर में TLS पर आधारित सभी वर्चुअल होस्ट के लिए, TLS 1.3 चालू करने के लिए नीचे दी गई प्रक्रिया का इस्तेमाल करें:
- राऊटर पर, इस प्रॉपर्टी फ़ाइल को किसी एडिटर में खोलें.
/opt/apigee/customer/application/router.properties
अगर फ़ाइल मौजूद नहीं है, तो उसे बनाएं.
- प्रॉपर्टी फ़ाइल में यह लाइन जोड़ें:
conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1 TLSv1.1 TLSv1.2 TLSv1.3
वे सभी TLS प्रोटोकॉल जोड़ें जिन पर आपको काम करना है. ध्यान रखें कि प्रोटोकॉल, स्पेस से अलग किए गए हों और केस-सेंसिटिव (बड़े और छोटे अक्षरों में अंतर) होते हैं.
- फ़ाइल सेव करें.
- पक्का करें कि फ़ाइल, apigee उपयोगकर्ता के पास हो:
chown apigee:apigee /opt/apigee/customer/application/router.properties
- राऊटर रीस्टार्ट करें:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- सभी राऊटर नोड पर एक-एक करके ऊपर दिया गया तरीका दोहराएं.
सिर्फ़ खास वर्चुअल होस्ट के लिए TLS 1.3 चालू करें
इस सेक्शन में, खास वर्चुअल होस्ट के लिए TLS 1.3 को चालू करने का तरीका बताया गया है. TLS 1.3 को चालू करने के लिए, मैनेजमेंट सर्वर नोड पर यह तरीका अपनाएं:
- हर मैनेजमेंट सर्वर नोड पर,
/opt/apigee/customer/application/management-server.properties
फ़ाइल में बदलाव करें और नीचे दी गई लाइन जोड़ें. (अगर फ़ाइल मौजूद नहीं है, तो उसे बनाएं.)conf_virtualhost_virtual.host.allowed.protocol.list=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3
इस फ़ाइल के लिए, प्रोटोकॉल कॉमा लगाकर अलग किए जाते हैं और केस-सेंसिटिव (बड़े और छोटे अक्षरों में अंतर) होते हैं.
- फ़ाइल सेव करें.
- पक्का करें कि फ़ाइल, apigee उपयोगकर्ता के पास हो:
chown apigee:apigee /opt/apigee/customer/application/management-server.properties
- मैनेजमेंट सर्वर को रीस्टार्ट करें:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
- सभी मैनेजमेंट सर्वर नोड पर, ऊपर दिया गया तरीका एक-एक करके दोहराएं.
- इस प्रॉपर्टी की मदद से वर्चुअल होस्ट बनाएं या मौजूदा प्रॉपर्टी को अपडेट करें. ध्यान रखें कि प्रोटोकॉल, स्पेस से अलग किए गए होते हैं और केस-सेंसिटिव (बड़े और छोटे अक्षरों में अंतर) होते हैं.
"properties": { "property": [ { "name": "ssl_protocols", "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3" } ] }
इस प्रॉपर्टी के साथ vhost का उदाहरण नीचे दिया गया है:
{ "hostAliases": [ "api.myCompany,com", ], "interfaces": [], "listenOptions": [], "name": "secure", "port": "443", "retryOptions": [], "properties": { "property": [ { "name": "ssl_protocols", "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3" } ] }, "sSLInfo": { "ciphers": [], "clientAuthEnabled": "false", "enabled": "true", "ignoreValidationErrors": false, "keyAlias": "myCompanyKeyAlias", "keyStore": "ref://myCompanyKeystoreref", "protocols": [] }, "useBuiltInFreeTrialCert": false }
TLS 1.3 की जांच करना
TLS 1.3 की जांच करने के लिए, यह निर्देश डालें:
curl -v --tlsv1.3 "https://api.myCompany,com/testproxy"
ध्यान दें कि TLS 1.3 की जांच सिर्फ़ उन क्लाइंट पर की जा सकती है जो इस प्रोटोकॉल के साथ काम करते हैं. अगर TLS 1.3 चालू नहीं है, तो आपको गड़बड़ी का यह मैसेज दिखेगा:
sslv3 alert handshake failure