नॉर्थबाउंड ट्रैफ़िक के लिए TLS 1.3 को कॉन्फ़िगर करना

इस पेज पर बताया गया है कि नॉर्थबाउंड ट्रैफ़िक (क्लाइंट और राऊटर के बीच का ट्रैफ़िक) के लिए, Apigee राऊटर में TLS 1.3 को कैसे कॉन्फ़िगर करें.

वर्चुअल होस्ट के बारे में ज़्यादा जानकारी के लिए, वर्चुअल होस्ट देखें.

राऊटर में TLS पर आधारित सभी वर्चुअल होस्ट के लिए, TLS 1.3 चालू करें

किसी राऊटर में TLS पर आधारित सभी वर्चुअल होस्ट के लिए, TLS 1.3 चालू करने के लिए नीचे दी गई प्रक्रिया का इस्तेमाल करें:

1. राऊटर पर, इस प्रॉपर्टी फ़ाइल को किसी एडिटर में खोलें.

   /opt/apigee/customer/application/router.properties

   अगर फ़ाइल मौजूद नहीं है, तो उसे बनाएं.

2. प्रॉपर्टी फ़ाइल में यह लाइन जोड़ें:

   conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1 TLSv1.1 TLSv1.2 TLSv1.3

   वे सभी TLS प्रोटोकॉल जोड़ें जिन पर आपको काम करना है. ध्यान रखें कि प्रोटोकॉल, स्पेस से अलग किए गए हों और केस-सेंसिटिव (बड़े और छोटे अक्षरों में अंतर) होते हैं.

3. फ़ाइल सेव करें.
4. पक्का करें कि फ़ाइल, apigee उपयोगकर्ता के पास हो:

   chown apigee:apigee /opt/apigee/customer/application/router.properties

5. राऊटर रीस्टार्ट करें:

   /opt/apigee/apigee-service/bin/apigee-service edge-router restart

6. सभी राऊटर नोड पर एक-एक करके ऊपर दिया गया तरीका दोहराएं.

सिर्फ़ खास वर्चुअल होस्ट के लिए TLS 1.3 चालू करें

इस सेक्शन में, खास वर्चुअल होस्ट के लिए TLS 1.3 को चालू करने का तरीका बताया गया है. TLS 1.3 को चालू करने के लिए, मैनेजमेंट सर्वर नोड पर यह तरीका अपनाएं:

1. हर मैनेजमेंट सर्वर नोड पर, /opt/apigee/customer/application/management-server.properties फ़ाइल में बदलाव करें और नीचे दी गई लाइन जोड़ें. (अगर फ़ाइल मौजूद नहीं है, तो उसे बनाएं.)

   conf_virtualhost_virtual.host.allowed.protocol.list=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3

   इस फ़ाइल के लिए, प्रोटोकॉल कॉमा लगाकर अलग किए जाते हैं और केस-सेंसिटिव (बड़े और छोटे अक्षरों में अंतर) होते हैं.

2. फ़ाइल सेव करें.
3. पक्का करें कि फ़ाइल, apigee उपयोगकर्ता के पास हो:

   chown apigee:apigee /opt/apigee/customer/application/management-server.properties

4. मैनेजमेंट सर्वर को रीस्टार्ट करें:

   /opt/apigee/apigee-service/bin/apigee-service edge-management-server restart

5. सभी मैनेजमेंट सर्वर नोड पर, ऊपर दिया गया तरीका एक-एक करके दोहराएं.
6. इस प्रॉपर्टी की मदद से वर्चुअल होस्ट बनाएं या मौजूदा प्रॉपर्टी को अपडेट करें. ध्यान रखें कि प्रोटोकॉल, स्पेस से अलग किए गए होते हैं और केस-सेंसिटिव (बड़े और छोटे अक्षरों में अंतर) होते हैं.

   "properties": {
       "property": [
         {
           "name": "ssl_protocols",
           "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
         }
       ]
   }

   इस प्रॉपर्टी के साथ vhost का उदाहरण नीचे दिया गया है:

   {
     "hostAliases": [
       "api.myCompany,com",
     ],
     "interfaces": [],
     "listenOptions": [],
     "name": "secure",
     "port": "443",
     "retryOptions": [],
     "properties": {
       "property": [
         {
           "name": "ssl_protocols",
           "value": "TLSv1 TLSv1.1 TLSv1.2 TLSv1.3"
         }
       ]
     },
     "sSLInfo": {
       "ciphers": [],
       "clientAuthEnabled": "false",
       "enabled": "true",
       "ignoreValidationErrors": false,
       "keyAlias": "myCompanyKeyAlias",
       "keyStore": "ref://myCompanyKeystoreref",
       "protocols": []
     },
     "useBuiltInFreeTrialCert": false
   }

   TLS 1.3 की जांच करना

   TLS 1.3 की जांच करने के लिए, यह निर्देश डालें:

   curl -v --tlsv1.3 "https://api.myCompany,com/testproxy"

   ध्यान दें कि TLS 1.3 की जांच सिर्फ़ उन क्लाइंट पर की जा सकती है जो इस प्रोटोकॉल के साथ काम करते हैं. अगर TLS 1.3 चालू नहीं है, तो आपको गड़बड़ी का यह मैसेज दिखेगा:

   sslv3 alert handshake failure