डिफ़ॉल्ट रूप से, राऊटर और मैसेज प्रोसेसर पर TLS के 1.0, 1.1, 1.2 वर्शन काम करते हैं. हालांकि, हो सकता है कि आप उन प्रोटोकॉल को सीमित करना चाहें जो राऊटर और मैसेज प्रोसेसर के साथ काम करते हैं. इस दस्तावेज़ में बताया गया है कि राऊटर और मैसेज प्रोसेसर पर, दुनिया भर में प्रोटोकॉल कैसे सेट किया जा सकता है.
राऊटर के लिए, अलग-अलग वर्चुअल होस्ट के लिए भी प्रोटोकॉल सेट किया जा सकता है. ज़्यादा जानकारी के लिए, निजी क्लाउड के लिए, एपीआई के लिए TLS का ऐक्सेस कॉन्फ़िगर करना देखें.
मैसेज प्रोसेसर के लिए, किसी खास TargetEndpoint के लिए प्रोटोकॉल सेट किया जा सकता है. ज़्यादा जानकारी के लिए, एज से बैकएंड (क्लाउड और प्राइवेट क्लाउड) में TLS को कॉन्फ़िगर करना देखें.
राऊटर पर TLS प्रोटोकॉल सेट करें
राऊटर पर TLS प्रोटोकॉल सेट करने के लिए, router.properties
फ़ाइल में प्रॉपर्टी सेट करें:
router.properties
फ़ाइल को किसी एडिटर में खोलें. अगर फ़ाइल मौजूद नहीं है, तो इसे बनाएं:vi /opt/apigee/customer/application/router.properties
- प्रॉपर्टी को अपने हिसाब से सेट करें:
# Possible values are space-delimited list of: TLSv1 TLSv1.1 TLSv1.2 conf_load_balancing_load.balancing.driver.server.ssl.protocols=TLSv1.2
- बदलावों को सेव करें.
- पक्का करें कि प्रॉपर्टी फ़ाइल का मालिकाना हक, "apigee" उपयोगकर्ता के पास हो:
chown apigee:apigee /opt/apigee/customer/application/router.properties
- राऊटर रीस्टार्ट करें:
/opt/apigee/apigee-service/bin/apigee-service edge-router restart
- NGINX फ़ाइल की जांच करके पुष्टि करें कि प्रोटोकॉल सही तरीके से अपडेट किया गया है
/opt/nginx/conf.d/0-default.conf
:cat /opt/nginx/conf.d/0-default.conf
पक्का करें कि
ssl_protocols
की वैल्यू TLSv1.2 है. - अगर किसी वर्चुअल होस्ट के साथ दो-तरफ़ा TLS का इस्तेमाल किया जा रहा है, तो आपको वर्चुअल होस्ट में TLS प्रोटोकॉल को भी सेट करना होगा. ऐसा करने के बारे में, प्राइवेट क्लाउड के लिए एपीआई के TLS ऐक्सेस को कॉन्फ़िगर करना लेख में बताया गया है.
मैसेज प्रोसेसर पर TLS प्रोटोकॉल सेट करना
Message प्रोसेसर पर TLS प्रोटोकॉल सेट करने के लिए, message-processor.properties
फ़ाइल में प्रॉपर्टी सेट करें:
message-processor.properties
फ़ाइल को किसी एडिटर में खोलें. अगर फ़ाइल मौजूद नहीं है, तो इसे बनाएं:vi /opt/apigee/customer/application/message-processor.properties
- नीचे दिए गए सिंटैक्स का इस्तेमाल करके प्रॉपर्टी कॉन्फ़िगर करें:
# Possible values are a comma-delimited list of TLSv1, TLSv1.1, and TLSv1.2 conf/system.properties+https.protocols=[TLSv1][,TLSv1.1][,TLSv1.2] # Possible values are a comma-delimited list of SSLv3, TLSv1, TLSv1.1, TLSv1.2 # SSLv3 is required conf_jvmsecurity_jdk.tls.disabledAlgorithms=SSLv3[,TLSv1][,TLSv1.1][,TLSv1.2] # Specify the ciphers that the Message Processor supports. (You must separate ciphers with a comma.): conf_message-processor-communication_local.http.ssl.ciphers=cipher[,...]
conf_message-processor-communication_local.http.ssl.ciphers
के लिए इस तरह की वैल्यू दिख सकती हैं:TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384
TLS_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384
TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384
TLS_DHE_RSA_WITH_AES_256_GCM_SHA384
TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
उदाहरण के लिए:
conf/system.properties+https.protocols=TLSv1.2 conf/jvmsecurity.properties+jdk.tls.disabledAlgorithms=SSLv3, TLSv1, TLSv1.1 conf_message-processor-communication_local.http.ssl.ciphers=TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384,TLS_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_ECDSA_WITH_AES_256_GCM_SHA384,TLS_ECDH_RSA_WITH_AES_256_GCM_SHA384,TLS_DHE_RSA_WITH_AES_256_GCM_SHA384,TLS_ECDHE_RSA_WITH_AES_256_CBC_SHA384
मिलती-जुलती प्रॉपर्टी की पूरी सूची के लिए, राउटर और मैसेज प्रोसेसर के बीच TLS को कॉन्फ़िगर करना देखें.
- बदलावों को सेव करें.
- पक्का करें कि प्रॉपर्टी फ़ाइल का मालिकाना हक, "apigee" उपयोगकर्ता के पास हो:
chown apigee:apigee /opt/apigee/customer/application/message-processor.properties
- मैसेज प्रोसेसर को रीस्टार्ट करें:
/opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart
- अगर आप बैकएंड के साथ टू-वे TLS का इस्तेमाल कर रहे हैं, तो वर्चुअल होस्ट में TLS प्रोटोकॉल को सेट करें. ऐसा करने के लिए, एजेड से बैकएंड (क्लाउड और प्राइवेट क्लाउड) में TLS को कॉन्फ़िगर करना लेख पढ़ें.