การกําหนดค่าโฮสต์เสมือนสําหรับระบบคลาวด์

คุณกำลังดูเอกสารประกอบของ Apigee Edge
ไปที่เอกสารประกอบของ Apigee X info

ลูกค้า Cloud ที่มีบัญชีแบบชำระเงินจะสร้างโฮสต์เสมือนในองค์กรได้

ข้อควรระวัง: Apigee ไม่รองรับ IP ของโฮสต์เสมือนแบบคงที่สำหรับการรับส่งข้อมูล Apigee Edge ขาออก ขาเข้าหมายถึงการรับส่งข้อมูลจากไคลเอ็นต์ไปยัง Apigee Apigee ขอแนะนำว่า คุณไม่ควรพยายามเพิ่ม IP ขาออกที่เฉพาะเจาะจง (หรือชื่อ DNS ที่แมป) ลงในรายการที่อนุญาตหรือปักหมุด โปรดทราบว่า Apigee ไม่รับผิดชอบ ในการส่งประกาศหรือการแจ้งเตือนเมื่อมีการเปลี่ยนแปลง IP ขาออก

ผู้ที่มีสิทธิ์สร้างและแก้ไขโฮสต์เสมือนในระบบคลาวด์

การสร้างและแก้ไขโฮสต์เสมือนใช้ได้กับบัญชีแบบชำระเงินใน Edge Cloud เท่านั้น ผู้ใช้ที่สร้างโฮสต์เสมือนต้องมีบทบาทเป็นผู้ดูแลระบบองค์กร หรือมีบทบาทที่กำหนดเองที่มีสิทธิ์แก้ไขโฮสต์เสมือน ผู้ใช้ในบทบาทอื่นๆ จะไม่มี สิทธิ์สร้างโฮสต์เสมือน

ตัวอย่างเช่น ลูกค้าแบบชำระเงินจะทำสิ่งต่อไปนี้ได้

เปิดใช้ TLS ทางเดียวและสองทาง
ระบุที่เก็บคีย์/ที่เก็บที่เชื่อถือที่โฮสต์เสมือนใช้

บัญชีฟรีและบัญชีทดลองใช้จะสร้างหรือแก้ไขโฮสต์เสมือนไม่ได้ และจะใช้ได้เฉพาะโฮสต์เสมือนที่สร้างให้ในเวลาที่ลงทะเบียน Edge เท่านั้น ดูข้อมูลเพิ่มเติมเกี่ยวกับแพ็กเกจราคาของ Edge ได้ที่ https://apigee.com/api-management/#/pricing

หมายเหตุ: บัญชีฟรีและบัญชีทดลองใช้จะสร้างหรือแก้ไขโฮสต์เสมือนไม่ได้ และจะใช้ได้เฉพาะโฮสต์เสมือนที่สร้างไว้ให้ในเวลาที่ลงทะเบียน Edge แต่ Apigee จะให้ใบรับรอง TLS และคีย์ส่วนตัวโดยอัตโนมัติเพื่อรองรับ HTTPS ในโฮสต์เสมือนที่ปลอดภัย เพื่อให้ลูกค้าที่ใช้รุ่นทดลองเริ่มต้นพัฒนาและทดสอบ API ได้ ลูกค้าที่ใช้รุ่นทดลองจะได้รับอนุญาตให้ใช้ TLS ทางเดียวกับพร็อกซี API ที่โฮสต์ในโดเมน *.apigee.net ดูข้อมูลเพิ่มเติม เกี่ยวกับแพ็กเกจราคาของ Edge ได้ที่ https://apigee.com/api-management/#/pricing

ข้อกำหนดในการกำหนดค่าโฮสต์เสมือนสำหรับระบบคลาวด์

ตารางต่อไปนี้สรุปข้อกำหนดในการสร้างโฮสต์เสมือน

หมวดหมู่	ข้อกำหนด	คำอธิบาย
ประเภทบัญชี	ชำระเงินแล้ว	บัญชีฟรีและบัญชีทดลองใช้ไม่สามารถสร้างหรือแก้ไขโฮสต์เสมือนได้
บทบาทของผู้ใช้	ผู้ดูแลระบบองค์กร	มีเพียงผู้ดูแลระบบขององค์กรเท่านั้นที่สร้างโฮสต์เสมือนได้ หรือผู้ใช้ในบทบาทที่กำหนดเองที่มี สิทธิ์ในการแก้ไขโฮสต์เสมือน
จำนวนโฮสต์เสมือน	สูงสุด 20 รายการ	คุณมีโฮสต์เสมือนได้สูงสุด 20 รายการต่อ องค์กร/สภาพแวดล้อมในระบบคลาวด์ หมายเหตุ: Private Cloud ไม่จำกัดจำนวนโฮสต์เสมือน องค์กร/สภาพแวดล้อมส่วนใหญ่ใช้โฮสต์เสมือน 2 รายการ ได้แก่ รายการหนึ่งสำหรับ HTTP และอีกรายการหนึ่งสำหรับ HTTPS ในการเข้าถึง คุณอาจต้องใช้โฮสต์เสมือนเพิ่มเติมหากองค์กร/สภาพแวดล้อมอนุญาต ให้เข้าถึงโดยใช้ชื่อโดเมนที่แตกต่างกัน
URL หลัก	รวมถึงโปรโตคอล	เมื่อกำหนด URL ฐานสำหรับโฮสต์เสมือน ไม่ว่าจะใน UI หรือด้วย API คุณ ต้องระบุโปรโตคอล (เช่น "http://" หรือ "https://") เป็นส่วนหนึ่งของ URL
พอร์ต	443	คุณสร้างโฮสต์เสมือนได้เฉพาะในพอร์ต 443 เท่านั้น โปรดทราบว่าคุณสร้างโฮสต์เสมือนได้หลายรายการในพอร์ต 443 ตราบใดที่โฮสต์เสมือนเหล่านั้นมี นามแฝงของโฮสต์ที่ไม่ซ้ำกันและทั้งหมดรองรับ TLS
TLS	ต้องระบุ	คุณจะสร้างโฮสต์เสมือนที่รองรับ TLS ผ่าน HTTPS ได้เท่านั้น คุณต้องสร้างคลังคีย์และคลังที่เชื่อถือได้ (ไม่บังคับ) ที่มีใบรับรองและคีย์ TLS ไว้แล้ว คุณต้องมีใบรับรองที่ลงนามโดยเอนทิตีที่เชื่อถือได้ เช่น Symantec หรือ VeriSign คุณใช้ใบรับรองแบบ Self-signed ไม่ได้ หมายเหตุ: หากมีบัญชี Edge for Cloud แบบชำระเงิน และยังไม่มีใบรับรองและคีย์ TLS คุณสามารถสร้างโฮสต์เสมือนที่ใช้ ใบรับรองและคีย์ทดลองใช้ฟรีของ Apigee ได้ หากต้องการสิทธิ์เข้าถึง HTTP โปรดติดต่อทีมสนับสนุนของ Apigee Edge
โปรโตคอล TLS	TLS 1.2	Edge ในระบบคลาวด์รองรับ TLS เวอร์ชัน 1.2 เท่านั้น
ชื่อแทนโฮสต์	ไม่ซ้ำกันในองค์กรและสภาพแวดล้อม	ไม่มีนามแฝงของโฮสต์สำหรับชุดค่าผสมขององค์กร/สภาพแวดล้อมอื่น
ชื่อโดเมน	ลูกค้าเป็นเจ้าของ	คุณต้องเป็นเจ้าของชื่อโดเมนที่ระบุในโฮสต์เสมือน Edge จะตรวจสอบว่าชื่อโดเมนตามที่กำหนดโดยชื่อแทนโฮสต์ตรงกับข้อมูลเมตาในใบรับรอง TLS หรือไม่ โดย Edge จะตรวจสอบข้อมูลต่อไปนี้ในใบรับรอง CN - ชื่อทั่วไป SAN - Subject Alternative Name อนุญาตให้ใช้ไวลด์การ์ดใน SAN หรือ CN เช่น `*.myco.net` นอกจากนี้ Edge ยังตรวจสอบว่าใบรับรองยังไม่หมดอายุด้วย
การรองรับ SNI ของแอปไคลเอ็นต์	แอปไคลเอ็นต์ทั้งหมดที่เข้าถึงโฮสต์เสมือนต้องรองรับ SNI	แอปทั้งหมดต้องรองรับ SNI

สร้างโฮสต์เสมือนโดยใช้เบราว์เซอร์

ตัวอย่างส่วนใหญ่ในส่วนนี้ใช้ Edge API เพื่อสร้างหรือแก้ไขโฮสต์เสมือน แต่คุณสามารถสร้างโฮสต์เสมือนใน UI ของ Edge ได้

วิธีสร้างโฮสต์เสมือนโดยใช้ UI ของ Edge

ลงชื่อเข้าใช้ apigee.com/edge
เลือกผู้ดูแลระบบ > โฮสต์เสมือน
เลือกสภาพแวดล้อม เช่น prod หรือ test
เลือก + โฮสต์เสมือนเพื่อสร้างโฮสต์เสมือน หรือเลือกชื่อของโฮสต์เสมือนที่มีอยู่เพื่อแก้ไข
ดูข้อมูลโดยละเอียดเกี่ยวกับการป้อนข้อมูลในช่องโฮสต์เสมือนได้ที่ตารางด้านบน

การกำหนดโฮสต์เสมือนสำหรับ TLS ทางเดียว

ออบเจ็กต์ XML ที่กำหนดโฮสต์เสมือน ตัวอย่างเช่น ออบเจ็กต์ XML ต่อไปนี้กำหนดโฮสต์เสมือนสำหรับ TLS ทางเดียว

<VirtualHost name="myTLSVHost">
    <HostAliases>
        <HostAlias>api.myCompany.com</HostAlias>
    </HostAliases>
    <Port>443</Port>
    <SSLInfo>
        <Enabled>true</Enabled>
        <ClientAuthEnabled>false</ClientAuthEnabled>
        <KeyStore>ref://myTestKeystoreRef</KeyStore>
        <KeyAlias>myKeyAlias</KeyAlias>
    </SSLInfo>
</VirtualHost>

ในคำจำกัดความนี้ คุณจะทำสิ่งต่อไปนี้

ระบุ name เป็น myTLSVHost ใช้ชื่อเพื่ออ้างอิง โฮสต์เสมือนในพร็อกซี API หรือในการเรียก API
ระบุชื่อแทนโฮสต์เป็น api.myCompany.com ซึ่งเป็น โดเมนที่หันหน้าสู่สาธารณะซึ่งใช้เพื่อเข้าถึง API ตามที่กำหนดโดยคำจำกัดความ DNS และระเบียน CNAME
ระบุหมายเลขพอร์ตเป็น 443 หากไม่ระบุ ระบบจะตั้งค่าพอร์ตเป็น 443 โดยค่าเริ่มต้น
เปิดใช้ TLS ตามที่จำเป็น

ตั้งค่าองค์ประกอบ <Enable> เป็น "จริง" เพื่อเปิดใช้ TLS ทางเดียว และองค์ประกอบ <KeyStore> จะระบุ ที่เก็บคีย์และนามแฝงคีย์ที่ใช้โดยการเชื่อมต่อ TLS

หากต้องการเปิดใช้ TLS แบบ 2 ทาง ให้ตั้งค่า <ClientAuthEnabled> เป็น true แล้ว ระบุ Trust Store โดยใช้องค์ประกอบ <TrustStore> Truststore มีผู้ออกใบรับรองของไคลเอ็นต์และห่วงโซ่ CA ของใบรับรอง ซึ่งเป็นสิ่งที่จำเป็น

หมายเหตุ: เนื่องจากเดิม Edge รองรับ SSL แท็กที่คุณใช้กำหนดค่า TLS จึงมีชื่อว่า <SSLInfo>

โปรดทราบว่าคุณสามารถตั้งค่าพร็อพเพอร์ตี้เพิ่มเติมในโฮสต์เสมือนได้ ดูข้อมูลอ้างอิงสำหรับพร็อพเพอร์ตี้ทั้งหมดได้ที่ข้อมูลอ้างอิงเกี่ยวกับพร็อพเพอร์ตี้ของโฮสต์เสมือน

การตัดสินใจว่าจะระบุชื่อคลังคีย์และคลังที่เชื่อถือในโฮสต์เสมือนอย่างไร

เมื่อกำหนดค่าโฮสต์เสมือนให้รองรับ TLS คุณจะระบุที่เก็บคีย์ได้โดยใช้การอ้างอิง การอ้างอิงคือตัวแปรที่มีชื่อของที่เก็บคีย์หรือที่เก็บที่เชื่อถือได้ แทนที่จะระบุชื่อที่เก็บคีย์หรือที่เก็บที่เชื่อถือได้โดยตรง ดังที่แสดงด้านล่าง

    <SSLInfo>
        <Enabled>true</Enabled>
        <ClientAuthEnabled>false</ClientAuthEnabled>
        <KeyStore>ref://myTestKeystoreRef</KeyStore>
        <KeyAlias>myKeyAlias</KeyAlias>
    </SSLInfo>

ข้อดีของการใช้การอ้างอิงคือคุณสามารถเปลี่ยนค่าของการอ้างอิงเพื่อเปลี่ยน คลังคีย์ที่โฮสต์เสมือนใช้ได้ ซึ่งมักจะเป็นเพราะใบรับรองในคลังคีย์ปัจจุบัน จะหมดอายุในอนาคตอันใกล้นี้ การเปลี่ยนค่าของการอ้างอิงไม่จำเป็นต้องรีสตาร์ท Edge Router ดูข้อมูลเพิ่มเติมเกี่ยวกับการสร้างและการแก้ไขการอ้างอิงได้ที่การทำงานกับการอ้างอิง

คุณใช้ได้เฉพาะการอ้างอิงไปยังที่เก็บคีย์และที่เก็บที่เชื่อถือเท่านั้น แต่จะใช้การอ้างอิงไปยัง นามแฝงไม่ได้ เมื่อเปลี่ยนการอ้างอิงไปยังที่เก็บคีย์ ให้ตรวจสอบว่าชื่อแทนของใบรับรองนั้นเหมือนกับในที่เก็บคีย์เก่า

คำเตือน: หรือคุณจะใช้ชื่อที่เก็บคีย์ตามตัวอักษรใน โฮสต์เสมือนก็ได้ อย่างไรก็ตาม หากคุณแก้ไขโฮสต์เสมือนเพื่อเปลี่ยนชื่อที่เก็บคีย์ คุณจะต้องรีสตาร์ทเราเตอร์ Edge ซึ่งหมายความว่าคุณต้องติดต่อทีมสนับสนุน Apigee Edge Apigee ขอแนะนำเป็นอย่างยิ่งให้คุณใช้การอ้างอิงไปยังคลังคีย์และคลังที่เชื่อถือได้ในโฮสต์เสมือน และ ไม่ใช้ชื่อโดยตรง

ข้อจำกัดในการใช้การอ้างอิงไปยังที่เก็บคีย์และที่เก็บที่เชื่อถือ

คุณต้องคำนึงถึงข้อจำกัดต่อไปนี้เมื่อใช้การอ้างอิงไปยังที่เก็บคีย์และ ที่เก็บที่เชื่อถือได้

คุณจะใช้การอ้างอิง Keystore และ Truststore ในโฮสต์เสมือนได้ก็ต่อเมื่อรองรับ SNI และ สิ้นสุด SSL ใน Apigee Routers
หากมีตัวจัดสรรภาระงานอยู่หน้า Apigee Router และสิ้นสุด TLS ในตัวจัดสรรภาระงาน คุณจะใช้การอ้างอิง Keystore และ Truststore ในโฮสต์เสมือนไม่ได้

การกำหนดโฮสต์เสมือนสำหรับ TLS แบบ 2 ทาง

สำคัญ: ผู้ออกใบรับรอง (CA) สาธารณะจะหยุดรวมclientAuthการใช้งานคีย์แบบขยาย (EKU) ไว้ในใบรับรอง SSL/TLS ล่าสุดที่เชื่อถือได้แบบสาธารณะ การเปลี่ยนแปลงทั่วทั้งอุตสาหกรรมนี้ส่งผลต่อการกำหนดค่า TLS ร่วม (mTLS) ของ Apigee ในแพลตฟอร์ม Apigee

Apigee กำหนดให้ต้องมี clientAuth EKU ในใบรับรองไคลเอ็นต์สำหรับการแฮนด์เชค mTLS หากไม่มี EKU นี้ การเชื่อมต่อ mTLS จะล้มเหลวสำหรับทั้งการรับส่งข้อมูลขาออก (ไคลเอ็นต์ไปยัง Apigee) และขาเข้า (Apigee ไปยังแบ็กเอนด์) ดูคำอธิบายโดยละเอียดเกี่ยวกับปัญหา ไทม์ไลน์ และวิธีแก้ปัญหาที่แนะนำได้ในบล็อกโพสต์นี้

หากต้องการเปิดใช้ TLS แบบ 2 ทาง ให้ตั้งค่าองค์ประกอบ <ClientAuthEnabled> เป็น true และระบุ Truststore โดย ใช้การอ้างอิงกับองค์ประกอบ <TrustStore> Truststore มีผู้ออกใบรับรองของไคลเอ็นต์และห่วงโซ่ CA ของใบรับรอง ซึ่งเป็นสิ่งที่จำเป็น นอกจากนี้ ไคลเอ็นต์ต้องได้รับการกำหนดค่าอย่างถูกต้องสำหรับ TLS แบบ 2 ทางด้วย

หากต้องการสร้างโฮสต์เสมือนสำหรับ TLS แบบ 2 ทาง ให้สร้างออบเจ็กต์ XML ที่กำหนดโฮสต์เสมือน ดังนี้

<VirtualHost name="myTLSVHost">
    <HostAliases>
        <HostAlias>api.myCompany.com</HostAlias>
    </HostAliases>
    <Port>443</Port>
    <SSLInfo>
        <Enabled>true</Enabled>
        <ClientAuthEnabled>true</ClientAuthEnabled>
        <KeyStore>ref://myTestKeystoreRef</KeyStore>
        <KeyAlias>myKeyAlias</KeyAlias>
        <TrustStore>ref://myTestTruststoreRef</TrustStore>
    </SSLInfo>
</VirtualHost>

ในคำจำกัดความนี้ คุณจะทำสิ่งต่อไปนี้

เปิดใช้ TLS แบบ 2 ทางโดยตั้งค่า <ClientAuthEnabled> เป็น true
ระบุการอ้างอิงไปยัง Truststore โดยใช้องค์ประกอบ <TrustStore> Truststore มีผู้ออกใบรับรองของไคลเอ็นต์และห่วงโซ่ CA ของใบรับรอง ซึ่งเป็นสิ่งที่จำเป็น

การกำหนดโฮสต์เสมือนที่ใช้ใบรับรองและคีย์ของช่วงทดลองใช้ฟรีของ Apigee

หากมีบัญชี Edge for Cloud แบบชำระเงินและยังไม่มีใบรับรองและคีย์ TLS คุณสามารถสร้าง โฮสต์เสมือนที่ใช้ใบรับรองและคีย์ช่วงทดลองใช้ฟรีของ Apigee ได้ ซึ่งหมายความว่าคุณสร้างโฮสต์เสมือนได้ โดยไม่ต้องสร้างที่เก็บคีย์ก่อน

ใบรับรองช่วงทดลองใช้ฟรีของ Apigee จะกำหนดไว้สำหรับโดเมนของ *.apigee.net ดังนั้น <HostAlias> ของโฮสต์เสมือนต้องอยู่ในรูปแบบ *.apigee.net ด้วย

หากใช้ TLS แบบ 2 ทาง คุณยังคงต้องตั้งค่าองค์ประกอบ <ClientAuthEnabled> เป็น true และระบุ Trust Store โดยใช้การอ้างอิงกับองค์ประกอบ <TrustStore> ตามที่อธิบายไว้ข้างต้นในการกำหนดโฮสต์เสมือนสำหรับ TLS แบบ 2 ทาง

ออบเจ็กต์ XML ที่กำหนดโฮสต์เสมือนโดยใช้ใบรับรองและคีย์ของช่วงทดลองใช้ฟรีของ Apigee จะละเว้นองค์ประกอบ <KeyStore> และ <KeyAlias> และแทนที่ด้วยองค์ประกอบ <UseBuiltInFreeTrialCert> ดังที่แสดงด้านล่าง

<VirtualHost name="myTLSVHost">
    <HostAliases>
        <HostAlias>myapi.apigee.net</HostAlias>
    </HostAliases>
    <Port>443</Port>
    <SSLInfo>
        <Enabled>true</Enabled>
        <ClientAuthEnabled>false</ClientAuthEnabled>
    </SSLInfo>
    <UseBuiltInFreeTrialCert>true</UseBuiltInFreeTrialCert>
</VirtualHost>

ค่าเริ่มต้นขององค์ประกอบ <UseBuiltInFreeTrialCert> คือ false

สำหรับ TLS แบบ 2 ทาง ให้กำหนดโฮสต์เสมือนดังนี้

<VirtualHost name="myTLSVHost">
    <HostAliases>
        <HostAlias>myapi.apigee.net</HostAlias>
    </HostAliases>
    <Port>443</Port>
    <SSLInfo>
        <Enabled>true</Enabled>
        <ClientAuthEnabled>true</ClientAuthEnabled>
        <TrustStore>ref://myTestTruststoreRef</TrustStore>
    </SSLInfo>
    <UseBuiltInFreeTrialCert>true</UseBuiltInFreeTrialCert>
</VirtualHost>

ใน UI ของ Edge ให้เลือกตัวเลือกใช้ใบรับรองช่วงทดลองใช้ฟรีในตัว เมื่อสร้างโฮสต์เสมือนเพื่อใช้ใบรับรองและคีย์ Apigee ฟรี

เลือก "ใช้ใบรับรองช่วงทดลองใช้ฟรีในตัว"

การสร้างโฮสต์เสมือน

ทำตามขั้นตอนต่อไปนี้เพื่อสร้างโฮสต์เสมือน

สร้างรายการ DNS และระเบียน CNAME สำหรับโดเมนที่หันหน้าสู่สาธารณะ api.myCompany.com สำหรับตัวอย่างนี้ ซึ่งชี้ไปยัง [org]-[environment].apigee.net
สร้างและกำหนดค่าที่เก็บคีย์ชื่อ myTestKeystore ในตัวอย่างนี้โดย ใช้ขั้นตอนที่อธิบายไว้ที่นี่: การสร้างที่เก็บคีย์และที่เก็บที่เชื่อถือได้โดยใช้ UI ของ Edge สำหรับตัวอย่างนี้ ตรวจสอบว่า Keystore ใช้ชื่อแทน myKeyAlias สำหรับใบรับรองและ คีย์ส่วนตัว
อัปโหลดใบรับรองและคีย์ไปยังคีย์สโตร์ ตรวจสอบว่าชื่อโดเมนที่ระบุโดย ใบรับรองตรงกับชื่อแทนโฮสต์ที่ต้องการใช้สำหรับโฮสต์เสมือน
สร้างการอ้างอิงไปยังที่เก็บคีย์โดยใช้ UI หรือ API ของ Edge การอ้างอิง ระบุชื่อของที่เก็บคีย์และประเภทการอ้างอิงเป็น KeyStore ดูข้อมูลเพิ่มเติมเกี่ยวกับการสร้างและการแก้ไขการอ้างอิงได้ที่การทำงานกับการอ้างอิง
สร้างโฮสต์เสมือนโดยใช้ API Create a Virtual Host อย่าลืมระบุการอ้างอิงที่เก็บคีย์และนามแฝงคีย์ที่ถูกต้อง หากต้องการใช้ API ให้ใช้การเรียก API แบบ POST ต่อไปนี้เพื่อสร้างที่เก็บคีย์ ชื่อ myTLSVHost
```
curl -X POST -H "Content-Type:application/xml" \
  https://api.enterprise.apigee.com/v1/o/{org_name}/e/{env_name}/virtualhosts \
  -d '<VirtualHost name="myTLSVHost">
    <HostAliases>
      <HostAlias>api.myCompany.com</HostAlias>
    </HostAliases>
    <Port>443</Port>
    <SSLInfo>
      <Enabled>true</Enabled>
      <ClientAuthEnabled>false</ClientAuthEnabled>
      <KeyStore>ref://myTestKeystoreRef</KeyStore>
      <KeyAlias>myKeyAlias</KeyAlias>
    </SSLInfo>
  </VirtualHost>' \
  -u orgAdminEmail:password
```
หากคุณใช้ TLS แบบ 2 ทางกับไคลเอ็นต์ ให้ตั้งค่า <ClientAuthEnabled> เป็น true และระบุ Truststore โดยใช้องค์ประกอบ <TrustStore> ต้องกำหนดค่าไคลเอ็นต์อย่างถูกต้องสำหรับ TLS แบบ 2 ทาง ซึ่งหมายความว่า Edge มี Truststore ที่มีผู้ออกใบรับรองและห่วงโซ่ใบรับรองของไคลเอ็นต์ สร้าง Truststore โดยใช้ขั้นตอนที่อธิบายไว้ ที่นี่: การสร้าง Keystore และ Truststore โดยใช้ UI ของ Edge
หากมีพร็อกซี API อยู่แล้ว ให้เพิ่มโฮสต์เสมือนลงในองค์ประกอบ <HTTPConnection> ใน ProxyEndpoint ระบบจะเพิ่มโฮสต์เสมือนลงในพร็อกซี API ใหม่ทั้งหมดโดยอัตโนมัติ ดู การกำหนดค่าพร็อกซี API ให้ใช้โฮสต์เสมือน

ข้อควรระวัง: ระบบจะเพิ่มโฮสต์เสมือนทั้งหมดลงในพร็อกซี API ใหม่ทั้งหมดโดยอัตโนมัติ ดังนั้น หากสร้างพร็อกซี API ใหม่ที่ไม่ควรเข้าถึงได้ผ่านโฮสต์เสมือนหนึ่งๆ คุณต้องแก้ไขพร็อกซี API เพื่อนำโฮสต์เสมือนนั้นออกจาก ProxyEndpoint

หลังจากอัปเดตพร็อกซี API ให้ใช้โฮสต์เสมือน สร้างรายการ DNS และระเบียน CNAME สำหรับนามแฝงของโฮสต์แล้ว คุณจะเข้าถึงพร็อกซี API ได้ดังที่แสดงด้านล่าง

https://api.myCompany.com/v1/{project-base-path}/{resource-path}

เช่น

https://api.myCompany.com/v1/weather/forecastrss?w=12797282

การแก้ไขโฮสต์เสมือน

ลูกค้า Cloud แบบชำระเงินมีงานหลัก 2 อย่างที่ต้องทำเพื่อแก้ไขโฮสต์เสมือนที่มีอยู่

การแก้ไขค่าของการอ้างอิงไปยังที่เก็บคีย์หรือที่เก็บที่เชื่อถือ

หมายเหตุ: เมื่อตั้งค่า <KeyStore> หรือ <TrustStore> ให้ใช้การอ้างอิงแล้ว คุณจะเปลี่ยนค่าของการอ้างอิง ได้ทุกเมื่อ อย่างไรก็ตาม หากต้องการเปลี่ยน <KeyStore> หรือ <TrustStore> เพื่อใช้การอ้างอิงอื่น หรือเปลี่ยน <KeyAlias> เพื่อใช้นามแฝงอื่น คุณต้องติดต่อทีมสนับสนุน Apigee Edge
การแก้ไขพร็อพเพอร์ตี้ TLS ของโฮสต์เสมือน

การแก้ไขค่าของการอ้างอิง

คุณสามารถแก้ไขค่าของการอ้างอิงเพื่อเปลี่ยนคลังคีย์หรือคลังที่เชื่อถือที่โฮสต์เสมือนใช้ได้

ก่อนแก้ไขค่าของการอ้างอิง ให้ทำดังนี้

สร้างคีย์สโตร์ใหม่และอัปโหลดใบรับรองและคีย์ตามที่อธิบายไว้ใน การสร้างคีย์สโตร์และ Truststore โดยใช้ UI ของ Edge ในคีย์สโตร์ใหม่ ตรวจสอบว่าคุณใช้ชื่อเดียวกันสำหรับชื่อแทนคีย์กับที่ใช้ในคีย์สโตร์ที่มีอยู่
หากจำเป็น ให้สร้าง Truststore ใหม่และอัปโหลดใบรับรองตามที่อธิบายไว้ใน การสร้าง Keystore และ Truststore โดยใช้ UI ของ Edge
แก้ไขการอ้างอิงตามที่อธิบายไว้ในการทำงานกับการอ้างอิง

การแก้ไขพร็อพเพอร์ตี้ TLS ของ โฮสต์เสมือน

ลูกค้าแบบชำระเงินสามารถใช้ API อัปเดตโฮสต์เสมือนเพื่ออัปเดตโฮสต์เสมือนได้ API นี้ช่วยให้คุณตั้งค่าพร็อพเพอร์ตี้ทั้งหมดสำหรับโฮสต์เสมือนที่อธิบายไว้ในข้อมูลอ้างอิงพร็อพเพอร์ตี้ของโฮสต์เสมือน

ข้อควรระวัง: ก่อนแก้ไขโฮสต์เสมือน ให้ทำดังนี้

ตรวจสอบว่าโฮสต์เสมือนใช้การอ้างอิงเพื่อตั้งค่า <KeyStore> และ <TrustStore> อย่าตั้งค่าโดยตรงเป็นชื่อของที่เก็บคีย์หรือที่เก็บที่เชื่อถือ
หาก <KeyStore> และ <TrustStore> ใช้ การอ้างอิง ให้อัปเดตค่าของการอ้างอิงเพื่อเปลี่ยนที่เก็บคีย์หรือที่เก็บที่เชื่อถือ หากต้องการเปลี่ยน <KeyStore> และ <TrustStore> เพื่อ ใช้ตัวแปรอ้างอิงอื่น คุณต้องติดต่อทีมสนับสนุนของ Apigee Edge เนื่องจาก การเปลี่ยนแปลงนี้ต้องรีสตาร์ทเราเตอร์
หากตั้งค่า <KeyStore> และ <TrustStore> เป็นชื่อของที่เก็บคีย์หรือที่เก็บที่เชื่อถือได้โดยตรง คุณต้องทำงานร่วมกับทีมสนับสนุน Apigee Edge เพื่อแปลงเป็นข้อมูลอ้างอิง ดูข้อมูลเพิ่มเติมได้ที่ การแก้ไขโฮสต์เสมือนเพื่อใช้การอ้างอิงไปยังคลังคีย์และคลังที่เชื่อถือ
หากโฮสต์เสมือนมีค่าสำหรับ <KeyAlias> อยู่แล้ว อย่าเปลี่ยนค่าดังกล่าว คีย์สโตร์ใหม่ ต้องใช้นามแฝงที่มีชื่อเดียวกันกับนามแฝงปัจจุบัน หากต้องการเปลี่ยนชื่อแทน คุณต้องติดต่อทีมสนับสนุนของ Apigee Edge
คุณเปิดใช้ TLS ในโฮสต์เสมือนโดยใช้พอร์ต 80 ไม่ได้
คุณปิดใช้ TLS ในโฮสต์เสมือนโดยใช้พอร์ต 443 ไม่ได้
หากทีมสนับสนุนของ Apigee กำหนดค่าโฮสต์เสมือนให้คุณใช้พอร์ตอื่นที่ไม่ใช่ 443 คุณจะยังอัปเดตโฮสต์เสมือนได้ แต่จะเปลี่ยนพอร์ตไม่ได้ โดยปกติแล้ว คุณจะต้องใช้พอร์ตอื่นที่ไม่ใช่ 443 หากแอปไม่รองรับ SNI หากต้องการเปลี่ยนพอร์ต โปรดติดต่อทีมสนับสนุนของ Apigee Edge

เมื่อแก้ไขโฮสต์เสมือน Edge จะทำการตรวจสอบที่คล้ายกับการสร้างโฮสต์เสมือน กล่าวคือ เมื่อมีการแก้ไข Edge จะตรวจสอบว่า

โดเมนตามที่ระบุโดยชื่อแทนโฮสต์ไม่ได้ใช้ในองค์กรและ สภาพแวดล้อมอื่น
คุณเป็นเจ้าของชื่อโดเมน โดยเฉพาะอย่างยิ่ง Edge จะตรวจสอบว่าข้อมูลต่อไปนี้ใน cert ตรงกับนามแฝงของโฮสต์
- CN - ชื่อทั่วไป
- SAN - Subject Alternative Name
- Edge จะตรวจสอบว่าใบรับรองยังไม่หมดอายุ

หากต้องการแก้ไขโฮสต์เสมือนโดยใช้ Edge API ให้ทำดังนี้

อัปเดตโฮสต์เสมือนโดยใช้ API อัปเดตโฮสต์เสมือน เมื่อใช้ API คุณต้องระบุคำจำกัดความที่สมบูรณ์ของ โฮสต์เสมือนในเนื้อหาคำขอ ไม่ใช่แค่องค์ประกอบที่คุณต้องการเปลี่ยนแปลง ในตัวอย่างนี้ คุณตั้งค่าพร็อพเพอร์ตี้ proxy_read_timeout ดังนี้

curl -X PUT -H "Content-Type:application/xml" \
  https://api.enterprise.apigee.com/v1/o/{org_name}/e/{env_name}/virtualhosts/{vhost_name} \
  -d '<VirtualHost name="myTLSVHost">
    <HostAliases>
      <HostAlias>api.myCompany.com</HostAlias>
    </HostAliases>
    <Port>443</Port>
    <SSLInfo>
      <Enabled>true</Enabled>
      <ClientAuthEnabled>false</ClientAuthEnabled>
      <KeyStore>ref://myTestKeystoreRef</KeyStore>
      <KeyAlias>myKeyAlias</KeyAlias>
    </SSLInfo>
    <Properties>
       <Property name="proxy_read_timeout">50</Property>
         </Properties>
  </VirtualHost>' \
  -u orgAdminEmail:password

การแก้ไขโฮสต์เสมือน เพื่อใช้การอ้างอิงไปยังที่เก็บคีย์และที่เก็บที่เชื่อถือ

โฮสต์เสมือนใหม่ทั้งหมดสำหรับ Edge ในระบบคลาวด์ใช้การอ้างอิงไปยังที่เก็บคีย์และที่เก็บที่เชื่อถือ การอ้างอิงช่วยให้คุณเปลี่ยนคีย์สโตร์และทรัสต์สโตร์ได้โดยไม่ต้องติดต่อทีมสนับสนุนของ Apigee Edge

โฮสต์เสมือนรุ่นเก่าใน Apigee Edge อาจไม่ได้กำหนดค่าให้ใช้การอ้างอิงสำหรับที่เก็บคีย์และที่เก็บที่เชื่อถือ ในกรณีนี้ คุณสามารถอัปเดตโฮสต์เสมือนให้ใช้การอ้างอิงได้

การอัปเดตโฮสต์เสมือนเพื่อใช้การอ้างอิง

ทำตามขั้นตอนต่อไปนี้เพื่ออัปเดตโฮสต์เสมือน

หากจำเป็น ให้สร้างคีย์สโตร์ใหม่และอัปโหลดใบรับรองตามที่อธิบายไว้ใน การสร้างคีย์สโตร์และ Truststore โดยใช้ UI ของ Edge หากมี ที่เก็บคีย์อยู่แล้ว คุณสามารถกำหนดค่าการอ้างอิงให้ชี้ไปยังที่เก็บคีย์นั้นได้
สร้างการอ้างอิงใหม่ไปยังที่เก็บคีย์
หากจำเป็น ให้สร้าง Truststore ใหม่และอัปโหลดใบรับรอง หากมี Truststore อยู่แล้ว คุณสามารถกำหนดค่าการอ้างอิงให้ชี้ไปยัง Truststore นั้นได้
สร้างการอ้างอิงใหม่ไปยัง Truststore

อัปเดตโฮสต์เสมือนเพื่อตั้งค่าที่เก็บคีย์ นามแฝง ที่เก็บที่เชื่อถือ และพร็อพเพอร์ตี้ TLS อื่นๆ เพย์โหลดสำหรับการเรียกใช้มีดังนี้

curl -X PUT -H "Content-Type:application/xml" \
  https://api.enterprise.apigee.com/v1/o/{org_name}/e/{env_name}/virtualhosts/{vhost_name} \
  -d '<VirtualHost  name="myTLSVHost">
        <HostAliases>
          <HostAlias>api.myCompany.com</HostAlias>
        </HostAliases>
        <Port>443</Port>
        <OCSPStapling>off</OCSPStapling>
        <SSLInfo>
          <Enabled>true</Enabled>
          <ClientAuthEnabled>true</ClientAuthEnabled>
          <KeyStore>ref://myKeyStore2Way</KeyStore>
          <KeyAlias>keyAlias</KeyAlias>
          <TrustStore>ref://myTrustStore2Way</TrustStore>
          <IgnoreValidationErrors>false</IgnoreValidationErrors>
        </SSLInfo>
      </VirtualHost>' \
    -u orgAdminEmail:pWord

โปรดติดต่อทีมสนับสนุนของ Apigeeเพื่อรีสตาร์ทเราเตอร์ Edge ให้กระบวนการเสร็จสมบูรณ์