डिफ़ॉल्ट रूप से, रूटर और मैसेज प्रोसेसर, TLS के वर्शन 1.0, 1.1, और 1.2 के साथ काम करते हैं. हालांकि, हो सकता है कि आप राउटर और मैसेज प्रोसेसर के साथ काम करने वाले प्रोटोकॉल को सीमित करना चाहें. इस दस्तावेज़ में, राउटर और मैसेज प्रोसेसर पर प्रोटोकॉल को ग्लोबल तौर पर सेट करने का तरीका बताया गया है.
राउटर के लिए, अलग-अलग वर्चुअल होस्ट के लिए प्रोटोकॉल भी सेट किया जा सकता है. ज़्यादा जानकारी के लिए, निजी क्लाउड के लिए, एपीआई के टीएलएस ऐक्सेस को कॉन्फ़िगर करना लेख पढ़ें.
मैसेज प्रोसेसर के लिए, किसी एक TargetEndpoint के लिए प्रोटोकॉल सेट किया जा सकता है. ज़्यादा जानकारी के लिए, एज से बैकएंड (Cloud और निजी Cloud) तक TLS कॉन्फ़िगर करना लेख पढ़ें.
राऊटर पर TLS प्रोटोकॉल सेट करना
राउटर पर TLS प्रोटोकॉल सेट करने के लिए, router.properties
फ़ाइल में प्रॉपर्टी सेट करें:
router.propertiesफ़ाइल को किसी एडिटर में खोलें. अगर फ़ाइल मौजूद नहीं है, तो उसे बनाएं:vi /opt/apigee/customer/application/router.properties
- प्रॉपर्टी को अपनी पसंद के मुताबिक सेट करें:
# Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2 conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
- बदलावों को सेव करें.
- पक्का करें कि प्रॉपर्टी फ़ाइल का मालिकाना हक, "apigee" उपयोगकर्ता के पास हो:
chown apigee:apigee /opt/apigee/customer/application/router.properties
- राऊटर को रीस्टार्ट करें:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- NGINX फ़ाइल की जांच करके पुष्टि करें कि प्रोटोकॉल सही तरीके से अपडेट किया गया है
/opt/nginx/conf.d/0-default.conf:cat /opt/nginx/conf.d/0-default.conf
पक्का करें कि
ssl_protocolsकी वैल्यू TLSv1.2 हो. - अगर वर्चुअल होस्ट के साथ दोतरफ़ा TLS का इस्तेमाल किया जा रहा है, तो आपको वर्चुअल होस्ट में भी TLS प्रोटोकॉल सेट करना होगा. इसके बारे में निजी क्लाउड के लिए एपीआई के TLS ऐक्सेस को कॉन्फ़िगर करना में बताया गया है.
मैसेज प्रोसेसर पर TLS प्रोटोकॉल सेट करना
मैसेज प्रोसेसर पर TLS प्रोटोकॉल सेट करने के लिए, message-processor.properties फ़ाइल में प्रॉपर्टी सेट करें:
message-processor.propertiesफ़ाइल को किसी एडिटर में खोलें. अगर फ़ाइल मौजूद नहीं है, तो उसे बनाएं:vi /opt/apigee/customer/application/message-processor.properties
- इस सिंटैक्स का इस्तेमाल करके प्रॉपर्टी कॉन्फ़िगर करें:
# Possible values are a comma-delimited list of TLSv1, TLSv1.1, and TLSv1.2 conf/system.properties+https.protocols=[TLSv1][,TLSv1.1][,TLSv1.2] # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2 # SSLv3 is required conf_jvmsecurity_jdk.tls.disabledAlgorithms=SSLv3[,TLSv1][,TLSv1.1][,TLSv1.2] # Specify the ciphers that the Message Processor supports. (You must separate ciphers with a comma.): conf_message-processor-communication_local.http.ssl.ciphers=cipher[,...]
conf_message-processor-communication_local.http.ssl.ciphersके लिए ये वैल्यू इस्तेमाल की जा सकती हैं:TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384TLS_RSA_WITH_AES_256_GCM_SHA384TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384TLS_DHE_RSA_WITH_AES_256_GCM_SHA384TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
उदाहरण के लिए:
conf/system.properties+https.protocols=TLSv1.2 conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1 conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
मिलती-जुलती प्रॉपर्टी की पूरी सूची के लिए, राउटर और मैसेज प्रोसेसर के बीच TLS कॉन्फ़िगर करना देखें.
- बदलावों को सेव करें.
- पक्का करें कि प्रॉपर्टी फ़ाइल का मालिकाना हक, "apigee" उपयोगकर्ता के पास हो:
chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
- मैसेज प्रोसेसर को रीस्टार्ट करें:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- अगर बैकएंड के साथ दोतरफ़ा टीएलएस का इस्तेमाल किया जा रहा है, तो वर्चुअल होस्ट में टीएलएस प्रोटोकॉल को वैसे सेट करें जैसा कि Edge से बैकएंड (क्लाउड और निजी क्लाउड) के लिए टीएलएस कॉन्फ़िगर करना में बताया गया है.