दक्षिण की ओर जाने वाले ट्रैफ़िक के लिए TLS 1.3 को कॉन्फ़िगर करना

इस पेज में बताया गया है कि दक्षिण की तरफ़ से आने वाले ट्रैफ़िक के लिए, Apigee मैसेज प्रोसेसर में TLS 1.3 को कैसे कॉन्फ़िगर करें (मैसेज प्रोसेसर और बैकएंड सर्वर के बीच का ट्रैफ़िक).

Java में TLS 1.3 सुविधा के बारे में ज़्यादा जानने के लिए JDK 8u261 अपडेट की जानकारी.

TLS 1.3 को चालू करने की प्रोसेस, आपके Java के वर्शन के हिसाब से तय होती है. यहां जाएं: इंस्टॉल किए गए Java का वर्शन देखने के लिए, नीचे मैसेज प्रोसेसर में Java वर्शन देखें पर जाएं.

TLS v1.3 और Java वर्शन

TLS 1.3 की सुविधा, Java के इन वर्शन में पेश की गई थी:

  • Oracle जेडीके 8u261
  • ओपनजेडीके 8u272

नीचे दिए गए Java वर्शन में, TLS v1.3 की सुविधा मौजूद है. हालांकि, यह डिफ़ॉल्ट रूप से चालू नहीं होती क्लाइंट भूमिकाओं में:

  • Oracle JDK 8u261 या इसके बाद का लेकिन Oracle JDK 8u341 से कम
  • OpenJDK 8u272 या इसके बाद का वर्शन, लेकिन OpenJDK 8u352 से कम

अगर इनमें से किसी वर्शन का इस्तेमाल किया जा रहा है, तो आपको बताए गए तरीके से TLS v1.3 को चालू करना होगा डिफ़ॉल्ट रूप से चालू न होने पर TLS v1.3 को चालू करने का तरीका में बताया गया है.

अगर इनमें से किसी वर्शन का इस्तेमाल किया जा रहा है, तो TLS v1.3 डिफ़ॉल्ट रूप से पहले से चालू होना चाहिए क्लाइंट भूमिकाओं में होता है (मैसेज प्रोसेसर क्लाइंट की तरह काम करता है दक्षिण की ओर वाले TLS कनेक्शन के लिए), इसलिए आपको कोई कार्रवाई करने की ज़रूरत नहीं है:

  • Oracle JDK 8u341 या बाद का वर्शन
  • OpenJDK 8u352 या इसके बाद का वर्शन

TLS v1.3 काम करे, इसके लिए इन सभी चीज़ों का सही होना ज़रूरी है:

  • मैसेज प्रोसेसर पर मौजूद Java में, TLS v1.3 के साथ काम करना ज़रूरी है.
  • TLS v1.3 को मैसेज प्रोसेसर पर, Java में चालू करना ज़रूरी है.
  • TLS v1.3 को मैसेज प्रोसेसर ऐप्लिकेशन में चालू करना ज़रूरी है.

डिफ़ॉल्ट रूप से चालू न होने पर, Java में TLS v1.3 को चालू करने का तरीका.

अगर इनमें से किसी एक का इस्तेमाल किया जा रहा है, तो इस सेक्शन में TLS v1.3 को चालू करने का तरीका बताया गया है Java के वर्शन:

  • Oracle JDK 8u261 या इसके बाद का लेकिन Oracle JDK 8u341 से कम
  • OpenJDK 8u272 या इसके बाद का वर्शन, लेकिन OpenJDK 8u352 से कम

मैसेज प्रोसेसर में, Java प्रॉपर्टी jdk.tls.client.protocols सेट करें. वैल्यू को कॉमा लगाकर अलग किया गया है. इनमें एक या एक से ज़्यादा वैल्यू हो सकती हैं TLSv1, TLSv1.1, TLSv1.2, TLSv1.3, और SSLv3.

उदाहरण के लिए, -Djdk.tls.client.protocols=TLSv1.2,TLSv1.3 सेट करने पर क्लाइंट चालू होता है TLSv1.2 और TLSv1.3 प्रोटोकॉल.

अन्य सेटिंग बदलें जेवीएम प्रॉपर्टी से Edge कॉम्पोनेंट में JVM प्रॉपर्टी सेट करने का तरीका जानें.

TLS v1, v1.1, v1.2, और v1.3 प्रोटोकॉल को चालू करने के लिए:

  1. इस कॉन्फ़िगरेशन को इसमें सेट करें मैसेज प्रोसेसर कॉन्फ़िगरेशन फ़ाइल (/opt/apigee/customer/application/message-processor.properties): 
       bin_setenv_ext_jvm_opts=-Djdk.tls.client.protocols=TLSv1,TLSv1.1,TLSv1.2,TLSv1.3
  2. मैसेज प्रोसेसर को रीस्टार्ट करें.
>

डिफ़ॉल्ट रूप से चालू होने पर, TLS v1.3 को बंद करने का तरीका

अगर आप Oracle JDK 8u341 या बाद के वर्शन या OpenJDK 8u352 या इसके बाद के वर्शन का इस्तेमाल कर रहे हैं, तो TLSv1.3 इसकी मदद से चालू करता है क्लाइंट के लिए डिफ़ॉल्ट रूप से सेट करते हैं. ऐसे मामलों में, अगर आपको TLS v1.3 को बंद करना है, तो आपके पास दो विकल्प हैं:

  • अपने टारगेट सर्वर की SSLInfo कॉन्फ़िगर करें. साथ ही, पक्का करें कि TLSv1.3 का ज़िक्र प्रोटोकॉल सूची. यहां जाएं: TLS/SSL TargetEndpoint कॉन्फ़िगरेशन के एलिमेंट. ध्यान दें: अगर टारगेट सर्वर कॉन्फ़िगरेशन में कोई प्रोटोकॉल तय नहीं किया गया है, तो कुछ भी Java के साथ काम करने वाले प्रोटोकॉल को क्लाइंट हैंडशेक में विकल्पों के तौर पर भेजा जाएगा.
  • प्रोटोकॉल को पूरी तरह से बंद करके, मैसेज प्रोसेसर में TLS v1.3 को बंद करें. यहां जाएं: मैसेज प्रोसेसर पर TLS प्रोटोकॉल सेट करना.

किसी मैसेज प्रोसेसर में Java वर्शन की जांच करना

मैसेज प्रोसेसर में इंस्टॉल किए गए Java वर्शन की जांच करने के लिए, मैसेज प्रोसेसर में लॉग इन करें नोड में डालें और नीचे दिए गए कमांड को एक्ज़ीक्यूट करें: 

java -version

नीचे दिए गए सैंपल में से पता चलता है कि OpenJDK 8u312 इंस्टॉल हो गया है.

$ java -version
openjdk version "1.8.0_312"
OpenJDK Runtime Environment (build 1.8.0_312-b07)
OpenJDK 64-Bit Server VM (build 25.312-b07, mixed mode)

इस्तेमाल किए जा सकने वाले साइफ़र

फ़िलहाल, Java 8, 2 TLS v1.3 साइफ़र के साथ काम करता है:

  • TLS_AES_256_GCM_SHA384
  • TLS_AES_128_GCM_SHA256

openssl का इस्तेमाल करके, यह पता लगाया जा सकता है कि आपका टारगेट सर्वर, TLS v1.3 के साथ काम करता है या नहीं. साथ ही, नीचे दिए गए साइफ़र का इस्तेमाल करें. ध्यान दें कि इस उदाहरण में openssl11 यूटिलिटी का इस्तेमाल किया गया है, जिसमें TLS v1.3 सक्षम.

$ openssl11 s_client -ciphersuites "TLS_AES_256_GCM_SHA384:TLS_AES_128_GCM_SHA256" -connect target_host:target_port -tls1_3