डिफ़ॉल्ट रूप से, management API के लिए TLS की सुविधा बंद रहती है. साथ ही, Edge management API को ऐक्सेस किया जा सकता है मैनेजमेंट सर्वर नोड और पोर्ट 8080 के आईपी पते का इस्तेमाल करके एचटीटीपी को टैग करें. उदाहरण के लिए:
http://ms_IP:8080
इसके अलावा, मैनेजमेंट एपीआई में TLS का ऐक्सेस कॉन्फ़िगर किया जा सकता है, ताकि आप इसे यहां ऐक्सेस कर सकें फ़ॉर्म:
https://ms_IP:8443
इस उदाहरण में, पोर्ट 8443 का इस्तेमाल करने के लिए TLS के ऐक्सेस को कॉन्फ़िगर किया गया है. हालांकि, वह पोर्ट नंबर Edge के लिए ज़रूरी है - अन्य पोर्ट वैल्यू इस्तेमाल करने के लिए, Management Server को कॉन्फ़िगर किया जा सकता है. सिर्फ़ शर्त यह है कि आपका फ़ायरवॉल, बताए गए पोर्ट पर ट्रैफ़िक की अनुमति देता हो.
आपके Management API में और उससे ट्रैफ़िक को एन्क्रिप्ट (सुरक्षित) किया जाना चाहिए, यह पक्का करने के लिए यहां दी गई सेटिंग कॉन्फ़िगर करें
/opt/apigee/customer/application/management-server.properties
अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है
फ़ाइल से लिए जाते हैं.
TLS कॉन्फ़िगरेशन के अलावा, आप पासवर्ड की पुष्टि (पासवर्ड की लंबाई) को भी कंट्रोल कर सकते हैं
और ताकत) management-server.properties
फ़ाइल में बदलाव करके.
पक्का करें कि आपका TLS पोर्ट खुला हो
इस सेक्शन में दी गई प्रक्रिया, TLS को मैनेजमेंट सर्वर पर पोर्ट 8443 का इस्तेमाल करने के लिए कॉन्फ़िगर करती है. चाहे किसी भी पोर्ट का इस्तेमाल किया जा रहा हो, आपको यह पक्का करना होगा कि पोर्ट, मैनेजमेंट प्लैटफ़ॉर्म पर खुला हो सर्वर. उदाहरण के लिए, इसे खोलने के लिए इस कमांड का इस्तेमाल किया जा सकता है:
iptables -A INPUT -m state --state NEW -m tcp -p tcp --dport 8443 -j ACCEPT --verboseअभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है
TLS को कॉन्फ़िगर करें
/opt/apigee/customer/application/management-server.properties
में बदलाव करें
फ़ाइल का इस्तेमाल किया जा सकता है. अगर यह फ़ाइल मौजूद नहीं है, तो
उसे बनाएं.
Management API में TLS का ऐक्सेस कॉन्फ़िगर करने के लिए:
- अपने TLS सर्टिफ़िकेशन और निजी कुंजी वाली कीस्टोर JKS फ़ाइल जनरेट करें. ज़्यादा के लिए Edge On Premises के लिए TLS/एसएसएल को कॉन्फ़िगर करना को देखें.
- कीस्टोर JKS फ़ाइल को Management Server नोड पर किसी डायरेक्ट्री में कॉपी करें, जैसे
/opt/apigee/customer/application
के तौर पर. - JKS फ़ाइल के मालिकाना हक को "apigee" में बदलें उपयोगकर्ता:
chown apigee:apigee keystore.jks
अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया हैजहां keystore.jks आपकी कीस्टोर फ़ाइल का नाम होता है.
/opt/apigee/customer/application/management-server.properties
में बदलाव करें नीचे दी गई प्रॉपर्टी को सेट करने के लिए. अगर वह फ़ाइल मौजूद नहीं है, तो उसे बनाएं:conf_webserver_ssl.enabled=true # Leave conf_webserver_http.turn.off set to false # because many Edge internal calls use HTTP. conf_webserver_http.turn.off=false conf_webserver_ssl.port=8443 conf_webserver_keystore.path=/opt/apigee/customer/application/keystore.jks # Enter the obfuscated keystore password below. conf_webserver_keystore.password=OBF:obfuscatedPassword
अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया हैजहां keyStore.jks आपकी कीस्टोर फ़ाइल है, और obfuscatedPassword आपका उलझा हुआ कीस्टोर पासवर्ड है. यहां जाएं: इसके लिए, EDGE ऑन परिसर के लिए TLS/एसएसएल को कॉन्फ़िगर करना अस्पष्ट पासवर्ड जनरेट करने के बारे में जानकारी.
- निर्देश देकर एज मैनेजमेंट सर्वर को रीस्टार्ट करें:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है
मैनेजमेंट एपीआई अब TLS पर ऐक्सेस करने की सुविधा देता है.
इसे ऐक्सेस करने के लिए, TLS का इस्तेमाल करने के लिए Edge यूज़र इंटरफ़ेस (यूआई) कॉन्फ़िगर करें Edge API
ऊपर दी गई प्रोसेस में, Apigee ने यह सुझाव दिया है कि
conf_webserver_http.turn.off=false
ताकि
Edge यूज़र इंटरफ़ेस (यूआई), एचटीटीपी पर Edge एपीआई कॉल करना जारी रख सकता है.
Edge यूज़र इंटरफ़ेस (यूआई) को कॉन्फ़िगर करने के लिए नीचे दी गई प्रक्रिया का इस्तेमाल करें, ताकि ये कॉल सिर्फ़ एचटीटीपीएस पर किए जा सकें:
- ऊपर बताए गए तरीके से, Management API के लिए TLS का ऐक्सेस कॉन्फ़िगर करें.
- यह पुष्टि करने के बाद कि TLS, Management API के लिए काम कर रहा है या नहीं, बदलाव करें
/opt/apigee/customer/application/management-server.properties
से नीचे दी गई प्रॉपर्टी सेट करें:conf_webserver_http.turn.off=true
- नीचे दिए गए निर्देश का इस्तेमाल करके, Edge मैनेजमेंट सर्वर को रीस्टार्ट करें:
/opt/apigee/apigee-service/bin/apigee-service edge-management-server restart
अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है /opt/apigee/customer/application/ui.properties
में बदलाव करें एज यूज़र इंटरफ़ेस (यूआई) के लिए नीचे दी गई प्रॉपर्टी सेट करने के लिए:conf_apigee_apigee.mgmt.baseurl="https://FQ_domain_name:port/v1"
आपके सर्टिफ़िकेट के मुताबिक, जहां FQ_domain_name का पूरा डोमेन नेम है का पता लगा होता है और port वह पोर्ट है जिसे ऊपर तय किया गया है
conf_webserver_ssl.port
.अगर ui.properties मौजूद नहीं है, तो उसे बनाएं.
- सिर्फ़ तब, जब आपने खुद हस्ताक्षर किए हुए सर्टिफ़िकेट का इस्तेमाल किया हो (प्रोडक्शन में इसका सुझाव नहीं दिया जाता)
एनवायरमेंट) में, ऊपर दिए गए मैनेजमेंट एपीआई के लिए TLS के ऐक्सेस को कॉन्फ़िगर करते समय,
ui.properties
की प्रॉपर्टी को फ़ॉलो किया जा रहा है:conf/application.conf+play.ws.ssl.loose.acceptAnyCertificate=true
ऐसा न करने पर, Edge UI, खुद हस्ताक्षर किए हुए सर्टिफ़िकेट को अस्वीकार कर देगा.
- नीचे दिए गए निर्देश को लागू करके, Edge यूज़र इंटरफ़ेस (यूआई) को रीस्टार्ट करें:
/opt/apigee/apigee-service/bin/apigee-service edge-ui restart
अभी तक किसी भी व्यक्ति ने चेक इन नहीं किया है
मैनेजमेंट सर्वर के लिए TLS प्रॉपर्टी
नीचे दी गई टेबल में उन सभी TLS/एसएसएल प्रॉपर्टी की सूची दी गई है जिनमें सेट किया जा सकता है
management-server.properties
:
प्रॉपर्टी | ब्यौरा |
---|---|
|
डिफ़ॉल्ट संख्या 8080 है. |
|
TLS/एसएसएल को चालू/बंद करने के लिए. TLS/SSL सक्षम (सही) होने पर, आपको SSL.port को भी सेट करना होगा और keystore.path प्रॉपर्टी. |
|
एचटीटीपीएस के साथ-साथ एचटीटीपी को चालू/बंद करने के लिए. अगर आप सिर्फ़ एचटीटीपीएस का इस्तेमाल करना चाहते हैं, तो
|
|
TLS/SSL पोर्ट. TLS/एसएसएल चालू होने पर ज़रूरी है ( |
|
आपकी कीस्टोर फ़ाइल का पाथ. TLS/एसएसएल चालू होने पर ज़रूरी है ( |
|
इस फ़ॉर्मैट में अस्पष्ट पासवर्ड का इस्तेमाल करें: OBF:xxxxxxxxxx |
|
कीस्टोर सर्टिफ़िकेट का वैकल्पिक नाम |
|
अगर आपके कुंजी मैनेजर के पास पासवर्ड है, तो उसका अस्पष्ट वर्शन यह फ़ॉर्मैट: OBF:xxxxxxxxxx |
|
अपने ट्रस्ट स्टोर के लिए सेटिंग कॉन्फ़िगर करें. तय करें कि क्या आप सभी
TLS/एसएसएल सर्टिफ़िकेट. उदाहरण के लिए, नॉन-स्टैंडर्ड टाइप स्वीकार करने के लिए. डिफ़ॉल्ट सेटिंग यह है
OBF:xxxxxxxxxx |
|
ऐसे किसी भी साइफ़र सुइट की जानकारी दें जिसे आपको शामिल करना है या बाहर रखना है. उदाहरण के लिए, अगर जोखिम की आशंका का पता चलता है, तो आप उसे यहां छोड़ सकते हैं. एक से ज़्यादा साइफ़र को अलग करना कॉमा लगेगा. ब्लैकलिस्ट के ज़रिए हटाए गए साइफ़र को शामिल किए गए किसी भी साइफ़र के मुकाबले प्राथमिकता दी जाएगी अनुमति दें. ध्यान दें: डिफ़ॉल्ट रूप से, अगर कोई ब्लैकलिस्ट या व्हाइटलिस्ट नहीं दी गई है, तो साइफ़र मैच करते हैं नीचे दिए गए Java रेगुलर एक्सप्रेशन को डिफ़ॉल्ट तौर पर बाहर रखा जाता है. ^.*_(MD5|SHA|SHA1)$ ^TLS_RSA_.*$ ^SSL_.*$ ^.*_NULL_.*$ ^.*_anon_.*$ हालांकि, अगर आप कोई ब्लैकलिस्ट तय करते हैं, तो इस फ़िल्टर को ओवरराइड कर दिया जाता है, और आपको सभी साइफ़र को अलग-अलग ब्लैकलिस्ट करना होगा. साइफ़र सुइट और क्रिप्टोग्राफ़ी आर्किटेक्चर के बारे में जानने के लिए, यहां देखें JDK 8 के लिए, Java क्रिप्टोग्राफ़ी आर्किटेक्चर ओरेकल प्रोवाइडर दस्तावेज़. |
|
वे पूर्णांक जो तय करते हैं कि:
|