يتم الآن عرض مستندات Apigee Edge.
انتقِل إلى مستند
Apigee X. المعلومات
إنّ بروتوكول أمان طبقة النقل (TLS) الذي خلفه هو طبقة المقابس الآمنة (SSL) هي تقنية الأمان القياسية
لإنشاء رابط مشفَّر بين خادم ويب وأحد برامج الويب، مثل متصفح
أو تطبيق. ويضمن الرابط المشفّر الحفاظ على خصوصية جميع البيانات التي تمر بين الخادم والعميل. لاستخدام بروتوكول أمان طبقة النقل (TLS)، يُجري البرنامج طلبًا آمنًا إلى الخادم باستخدام بروتوكول HTTPS المشفّر، بدلاً من بروتوكول HTTP غير المشفر.
يتيح Edge استخدام بروتوكول أمان طبقة النقل (TLS) الأحادي الاتجاه وبروتوكول أمان طبقة النقل (TLS) الثنائي الاتجاه في كل من السحابة الإلكترونية والنشر في المؤسسة (بالنسبة إلى الإصدارات المتوافقة من بروتوكول أمان طبقة النقل (TLS)، يُرجى الاطّلاع على البرامج المتوافقة والإصدارات المتوافقة). إنّ بروتوكول أمان طبقة النقل (TLS) الأحادي يسمح لعميل بروتوكول أمان طبقة النقل (TLS) بالتحقّق من هوية خادم بروتوكول أمان طبقة النقل. على سبيل المثال، يمكن لتطبيق يعمل على هاتف Android (العميل) إثبات هوية واجهات برمجة تطبيقات Edge (الخادم).
يوفّر Apigee أيضًا شكلاً أقوى من المصادقة باستخدام بروتوكول أمان طبقة النقل (TLS) ثنائي الاتجاه. يتم عادةً تنفيذ بروتوكول أمان طبقة النقل (TLS) الثنائي الاتجاه لتحسين الأمان من البداية إلى النهاية وحماية بياناتك من هجمات العميل، مثل انتحال العميل أو هجمات الوسيط. في بروتوكول أمان طبقة النقل (TLS) الثنائي، يتحقّق العميل من هوية الخادم متبوعًا بالخادم الذي سيتحقّق من هوية العميل.
مصطلحات TLS
يجب أن تكون على دراية بالمصطلحات والمفاهيم المهمة التالية قبل ضبط بروتوكول أمان طبقة النقل (TLS):
|
المصطلح |
التعريف |
|---|---|
|
كندا |
مصدر الشهادة. يتم استخدام كيان موثوق به، مثل Symantec أو VeriSign، لإصدار الشهادات والتحقّق من صحة الشهادات. يُعرف نوع واحد من أنواع الشهادات باسم شهادة موقَّعة ذاتيًا، ولا يتطلّب توفّر مرجع تصديق. |
|
سلسلة الشهادات |
لن تكون لديك في أغلب الأحيان شهادة موقَّعة من خلال المفتاح الخاص الجذري للمرجع المصدق (CA). بدلاً من ذلك، ستحصل على شهادتك مع شهادة متوسطة أو أكثر تشكِّل سلسلة من الشهادات. ويكون عادةً المفتاح الخاص الجذري الخاص بمرجع التصديق هو آخر شهادة متوسّطة في السلسلة. |
|
CSR |
طلب توقيع الشهادة. CSR هو ملف يتم إنشاؤه على خادم بروتوكول أمان طبقة النقل (TLS) استنادًا إلى المفتاح الخاص. يحتوي CSR على المفتاح العام ومعلومات أخرى، مثل اسم المؤسسة وموقعها الجغرافي واسم النطاق. يوقع مرجع التصديق على CSR لإنشاء شهادة TLS. يتم عادةً إنشاء طلب CSR عندما تكون لديك شهادة منتهية الصلاحية وتريد تجديدها. |
| DER |
قواعد الترميز المميزة: إنّ تنسيق DER هو شكل ثنائي للشهادة بدلاً من تنسيق ASCII PEM. وأحيانًا يكون الملف بامتداد der.، ولكن غالبًا ما يكون بامتداد الملف cer.. الطريقة الوحيدة للتفريق بين ملف DER .cer وملف PEM .هي فتح الملف في محرِّر نصوص والبحث عن العبارتَين |
| العنوان البديل للمفتاح |
يعمل الاسم المستعار للمفتاح على تعريف إدخال ملف تخزين المفاتيح بشكل فريد (شهادة بروتوكول أمان طبقة النقل (TLS) والمفتاح الخاص المقابل) في ملف تخزين المفاتيح.
في Apigee Edge، يُشار إلى |
|
ملف تخزين المفاتيح |
وملف تخزين المفاتيح هو مستودع يحتوي على شهادة واحدة أو أكثر من شهادات بروتوكول أمان طبقة النقل (TLS) ومفتاح خاص مقابل يُستخدم لتحديد الكيان أثناء تأكيد اتصال بروتوكول أمان طبقة النقل (TLS) بين العميل والخادم. عند الاتصال بالشمال، يعمل جهاز التوجيه كخادم ويتم تخزين شهادته في ملف تخزين المفاتيح في Apigee Edge. في الاتصال الخارجي، يعمل معالج الرسائل كالعميل، ويعمل خادم الخلفية كخادم. يتم تخزين شهادة العميل ومفتاحها الخاص في ملف تخزين المفاتيح في Apigee Edge. |
| مستوى الأولوية P7B |
عادةً ما يتم تخزين تنسيق PKCS #7 أو P7B بتنسيق Base64 ASCII وله امتداد ملف بتنسيق p7b .أو p7c.. تحتوي شهادات P7B على عبارتَي |
|
PEM |
إنّ تنسيق البريد مُحسَّن الخصوصية (PEM) هو تنسيق ASCII قائم على نصّ وهو ترميز Base64
لتنسيق قواعد الترميز المميّزة (DER) الثنائية. يمكن فتح شهادات PEM
في أي "محرِّر نصوص" ويتم الفصل بين محتوى الشهادة الفعلي
بين عبارتَي
وهو متوافق مع التنسيق X.509 لتخزين شهادة أو سلسلة شهادات أو مفتاح خاص. إذا لم يتم تحديد الشهادة أو المفتاح الخاص من خلال ملف PEM، يمكنك تحويلهما إلى ملف PEM باستخدام أدوات مثل OpenSSL. |
| PKCS #12/PFX | تنسيق PKCS #12 أو PFX هو تنسيق ثنائي لتخزين شهادة الخادم وأي شهادات وسيطة والمفتاح الخاص في ملف واحد قابل للتشفير. وتحتوي ملفات PFX عادةً على امتدادات، مثل .pfx و .p12. تُستخدم ملفات PFX عادةً على الأجهزة التي تعمل بنظام التشغيل Windows لاستيراد الشهادات والمفاتيح الخاصة وتصديرها. |
|
المفتاح الخاص |
يتم استخدامها على خادم بروتوكول أمان طبقة النقل (TLS) لفك تشفير البيانات. لا يمتلك المفتاح الخاص إلا خادم بروتوكول أمان طبقة النقل (TLS)، ولا تتم مشاركته مع عملاء بروتوكول أمان طبقة النقل. |
|
المفتاح العام |
يُستخدم لتشفير البيانات المُرسَلة من عميل بروتوكول أمان طبقة النقل (TLS) إلى خادم بروتوكول أمان طبقة النقل (TLS). يتم تضمين المفتاح العام في الشهادة. تمتلك جميع عملاء بروتوكول أمان طبقة النقل (TLS) نسخة من المفتاح العام للخادم. |
| المراجع | توفر المراجع مستوى من التوجيه غير المباشر لملفات تخزين المفاتيح، لذلك لا تتطلب تغييرات ملف تخزين المفاتيح تحديثًا للمضيف الافتراضي ما دام يتم الاحتفاظ بالمرجع والاسم المستعار للمفتاح نفسه. يتيح لك ذلك إجراء هذه التغييرات بنفسك وتقليل التبعيات مع فريق دعم Apigee. |
|
شهادة موقَّعة ذاتيًا |
شهادة غير موقَّعة من مرجع تصديق موثوق به. تتطابق جهة الإصدار مع جهة إصدار البطاقة، إذ إنّها موقّعة باستخدام المفتاح الخاص الذي يتطابق مع المفتاح العام الذي يتضمّنهما. |
|
SNI |
إشارة اسم الخادم يسمح هذا الخيار بعرض عدة أهداف HTTPS من خلال المنفذ وعنوان IP نفسهما بدون طلب استخدام الشهادة نفسها. |
|
شهادة بروتوكول أمان طبقة النقل (TLS) |
يشير ذلك المصطلح إلى ملف رقمي يحدِّد كيانًا في معاملة تتم باستخدام بروتوكول أمان طبقة النقل (TLS). يمكن استخدام شهادة أو cert لتحديد خادم بروتوكول أمان طبقة النقل (TLS) وعميل بروتوكول أمان طبقة النقل (TLS)، بناءً على ضبط بروتوكول أمان طبقة النقل. |
|
Truststore |
يحتوي على شهادات موثوق بها في برنامج بروتوكول أمان طبقة النقل (TLS) يتم استخدامها للتحقق من صحة شهادة خادم بروتوكول أمان طبقة النقل (TLS) المقدمة للعميل. وتكون هذه الشهادات عادةً موقَّعة ذاتيًا أو شهادات غير موقَّعة من مرجع تصديق موثوق به. عند الاتصال بالشمال، يتم تخزين شهادات التطبيق العميل في Truststore في Apigee Edge. وهذا الإجراء مطلوب فقط في حال ضبط بروتوكول أمان طبقة النقل (TLS) ثنائي الاتجاه بين العميل وApigee. في الاتصال southbound، يتم تخزين شهادات خادم الخلفية في Truststore في Apigee Edge. هذا الإجراء مطلوب إذا كنت تريد التحقق من شهادة الخلفية في Apigee Edge من خلال اتصال أحادي الاتجاه أو ثنائي الاتجاه عبر بروتوكول أمان طبقة النقل (TLS) بين Apigee Edge وخادم الخلفية. لا يحتوي Apigee Edge على كائن Truststore منفصل. ولذلك، يتم إنشاء ملفات Truststore ككائن ملف تخزين المفاتيح، ولكن تتم الإشارة إليها على أنّها Truststore في أي مكان يتم استخدامه (على سبيل المثال، في المضيف الافتراضي ونقاط النهاية المستهدفة والخوادم الهدف وما إلى ذلك). |
| المضيف الافتراضي |
المضيف الافتراضي يمثّل نقطة نهاية Apigee API لتطبيقات العميل. وهو كيان يساعد في استضافة عدة أسماء نطاقات ( مع معالجة منفصلة لكل اسم) على خادم واحد (أو مجموعة من الخوادم). ويسمح هذا الإجراء لخادم واحد بمشاركة موارده، مثل دورات الذاكرة والمعالج، بدون الحاجة إلى استخدام اسم المضيف نفسه لجميع الخدمات المقدَّمة. ويمكن للمضيف الظاهري عرض إما زيارات HTTP أو HTTPS (مع تمكين طبقة المقابس الآمنة). يمكن ضبط المضيف الافتراضي المتوافق مع طبقة المقابس الآمنة (SSL) في وضع أحادي الاتجاه أو وضع بروتوكول أمان طبقة النقل (TLS). ويتم إعداده بما يلي:
|
بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة (SSL) أحادية الاتجاه
يوضّح الرسم التالي عملية تبادل الاتصال بين بروتوكول أمان طبقة النقل (TLS) وطبقة المقابس الآمنة (SSL) للمصادقة الأحادية الاتجاه بين برنامج بروتوكول أمان طبقة النقل (TLS) وخادم بروتوكول أمان طبقة النقل (TLS):
في إعدادات بروتوكول أمان طبقة النقل (TLS) الأحادية الاتجاه، تكون عملية تأكيد الاتصال على النحو التالي:
- يصدر العميل طلب جلسة إلى الخادم.
- يستجيب الخادم بشهادة تحتوي على مفتاحه العام. ويتم الحصول على هذه الشهادة من ملف تخزين المفاتيح الخاص بالخادم، والذي يحتوي أيضًا على المفتاح الخاص للخادم. لا يتم إرسال المفتاح الخاص إلى العميل مطلقًا.
- بالنسبة إلى الشهادة الموقعة، يستخدم العميل متجرًا موثوقًا به يحتوي على شهادات الخادم والمفاتيح العامة للتحقّق من أنّ سلسلة الشهادات موقَّعة من قِبل مرجع تصديق (CA) موثوق به.
- يتبادل العميل والخادم عدة رسائل أخرى للتحقّق من صحة المفاتيح.
- يبدأ العميل عملية نقل البيانات عبر بروتوكول أمان طبقة النقل (TLS) مع الخادم.
ويوضح الشكل التالي عملية تبادل تأكيد اليدين عبر بروتوكول أمان طبقة النقل (TLS) أو طبقة المقابس الآمنة (SSL) باستخدام مخزن موثوق به اختياري على العميل:
إذا كان خادم بروتوكول أمان طبقة النقل (TLS) يستخدم شهادة موقَّعة ذاتيًا أو شهادة غير موقَّعة من مرجع تصديق موثوق به، عليك إنشاء مخزن ثقة على العميل. يملأ العميل متجر الثقة بشهادات الخادم والمفاتيح العامة التي يثق بها. عندما يتلقّى العميل شهادة، يتم بعد ذلك التحقق من الشهادة الواردة مقابل الشهادات في Truststore.
في بروتوكول أمان طبقة النقل (TLS) الأحادي، يمكن أن يكون Edge إما الخادم أو العميل على النحو التالي:
-
ضبط الحافة كخادم بروتوكول أمان طبقة النقل (TLS)
شبكة Edge هي الخادم الذي يستضيف نقطة نهاية بروتوكول أمان طبقة النقل (TLS)، حيث تتوافق نقطة نهاية بروتوكول أمان طبقة النقل مع خادم وكيل لواجهة برمجة التطبيقات تم نشره على مضيف افتراضي. العميل عبارة عن تطبيق يحاول الوصول إلى الخادم الوكيل لواجهة برمجة التطبيقات. في هذا السيناريو، يمتلك Edge ملف تخزين المفاتيح الذي يحتوي على الشهادة والمفتاح الخاص.
-
استخدام الحافة كعميل بروتوكول أمان طبقة النقل (TLS)
يعمل Edge كعميل يمكنه الوصول إلى خدمة الخلفية. في هذه الحالة، تتجاوب خدمة الخلفية مع الخادم الذي يستضيف نقطة نهاية بروتوكول أمان طبقة النقل (TLS). وبالتالي، يمتلك خادم الخلفية ملف تخزين مفاتيح يتضمن شهادته ومفتاحه الخاص.
بروتوكول أمان طبقة النقل (TLS) الثنائي
يوضِّح الشكل التالي عملية تبادل عمليات تأكيد الاتصال من خلال بروتوكول أمان طبقة النقل (TLS) أو طبقة المقابس الآمنة (SSL) لمصادقة بروتوكول أمان طبقة النقل (TLS) الثنائية الاتجاه بين العميل والخادم:
في بروتوكول أمان طبقة النقل (TLS)، تكون عملية تأكيد الاتصال على النحو التالي:
- يمتلك العميل والخادم ملفات تخزين مفاتيح خاصة بهما. يحتوي ملف تخزين مفاتيح العميل على الشهادة والمفتاح الخاص، بينما يحتوي ملف تخزين مفاتيح الخادم على الشهادة والمفتاح الخاص.
- يقدم خادم بروتوكول أمان طبقة النقل شهادته إلى عميل بروتوكول أمان طبقة النقل (TLS) لمصادقة نفسه. بعد ذلك، يتحقّق العميل من هوية الخادم قبل إرسال شهادته إلى الخادم.
- يقدّم عميل بروتوكول أمان طبقة النقل (TLS) شهادته إلى خادم بروتوكول أمان طبقة النقل (TLS) لمصادقة نفسه للخادم.
يوضِّح الشكل التالي عملية تأكيد الاتصال من خلال بروتوكول أمان طبقة النقل (TLS) باستخدام مخزن ثقة اختياري:
في هذا السيناريو، تكون عملية تأكيد الاتصال كما يلي:
- إذا كان خادم بروتوكول أمان طبقة النقل (TLS) يستخدم شهادة موقَّعة ذاتيًا أو شهادة غير موقَّعة من مرجع تصديق موثوق به، عليك إنشاء ملف Truststore على العميل. يمتلك العميل نسخة من شهادة الخادم في متجر الثقة لديه. أثناء عملية المصافحة عبر بروتوكول أمان طبقة النقل (TLS)، يقارن العميل الشهادة في مخزن الثقة بالشهادة المرسَلة من الخادم للتحقّق من هوية الخادم.
- إذا كان عميل بروتوكول أمان طبقة النقل (TLS) يستخدم شهادة موقَّعة ذاتيًا أو شهادة غير موقَّعة من مرجع تصديق موثوق به، عليك إنشاء ملف Truststore على الخادم.وسيتوفّر الخادم نسخة من شهادة العميل في مخزن الثقة لديه. أثناء عملية تأكيد الاتصال من خلال بروتوكول أمان طبقة النقل (TLS)، يقارن الخادم الشهادة في مخزن الثقة بالشهادة المرسَلة من العميل للتحقّق من هوية العميل.
يمكن للعميل أو الخادم أو كليهما استخدام Truststore.
في بروتوكول أمان طبقة النقل (TLS) الثنائي، يمكن أن يكون Edge إما الخادم أو العميل على النحو التالي:
-
استخدام الحافة كخادم
إنّ Edge هو الخادم الذي يستضيف نقطة نهاية بروتوكول أمان طبقة النقل (TLS)، حيث تتوافق نقطة نهاية بروتوكول أمان طبقة النقل (TLS) مع خادم وكيل لواجهة برمجة التطبيقات. العميل عبارة عن تطبيق يحاول الوصول إلى الخادم الوكيل لواجهة برمجة التطبيقات. في هذا السيناريو، يمتلك Edge ملف تخزين مفاتيح يحتوي على الشهادة والمفتاح الخاص، ويتطلب مخزنًا موثوقًا به يحتوي على شهادة العميل وسلسلة مرجع التصديق (CA) الخاصة به.
-
Edge كعميل
يعمل Edge كعميل يمكنه الوصول إلى خدمة خلفية. في هذه الحالة، تتوافق خدمة الخلفية مع الخادم الذي يستضيف نقطة نهاية بروتوكول أمان طبقة النقل (TLS). وبالتالي، يحتوي خادم الخلفية على ملف تخزين مفاتيح يحتوي على شهادته ومفتاحه الخاص.
يجب أن يحدد Edge أيضًا ملف تخزين مفاتيح يحتوي على الشهادة المطلوبة لإثبات صحة نفسه لخدمة الخلفية، واختياريًا ملف Truststore يحتوي على شهادة من خادم الخلفية إذا كان الخادم يستخدم شهادة موقَّعة ذاتيًا أو شهادة غير موقَّعة من مرجع تصديق موثوق به.
من المهم تذكُّر أنّ Edge مرن بما يكفي لدعم بروتوكول أمان طبقة النقل (TLS) الثنائي بغض النظر عن الطريقة التي تقرر بها ضبطه.
دعم إشارة اسم الخادم (SNI)
يتيح Edge استخدام إشارة اسم الخادم (SNI) من الخوادم الوكيلة لواجهة برمجة التطبيقات إلى Edge، حيث يعمل Edge كخادم TLS، ومن Edge إلى نقاط النهاية المستهدفة، حيث يعمل Edge كعميل TLS، في كل من عمليات التثبيت من Cloud و Private Cloud.
باستخدام إشارة اسم خادم (SNI)، وهي إضافة لطبقة النقل الآمنة (TLS)/طبقة المقابس الآمنة (SSL)، يمكن عرض أهداف HTTPS متعددة من خلال عنوان IP والمنفذ نفسهما بدون طلب استخدام الشهادة نفسها من تلك الأهداف.
للحصول على معلومات عن تفعيل إشارة اسم الخادم (SNI) للتثبيت داخل المؤسسة، يُرجى الاطّلاع على استخدام إشارة اسم الخادم (SNI) مع Edge.
الشمال والجنوب
في Apigee، يشير العنصر الشمالي إلى نقطة نهاية واجهة برمجة التطبيقات التي تستخدمها تطبيقات العميل لاستدعاء الخادم الوكيل لواجهة برمجة التطبيقات. جهاز التوجيه هو عادةً نقطة الدخول في Apigee Edge ويعالج الطلبات الواردة إلى Apigee Edge. لذلك في Apigee، يُشار إلى نقطة النهاية المستخدمة للاتصال بين تطبيق العميل وجهاز Apigee Edge (جهاز التوجيه) باسم northbound.
في Apigee، تشير المنطقة الجنوبية إلى نقطة النهاية المستهدفة التي تستخدمها Apigee للتواصل مع خادم الخلفية. ولذلك، يُشار إلى نقطة النهاية في Apigee، وهي نقطة النهاية المستخدمة للاتصال بين Apigee Edge (معالج الرسائل) وخادم الخلفية، باسم southbound. معالج الرسائل هو أحد مكونات Apigee Edge، وهو يعمل على إنشاء وكلاء لطلبات واجهة برمجة التطبيقات للخوادم الخلفية.
يوضح الشكل التالي الروابط الشمالية والجنوبية لـ Apigee Edge:
