Edge'den arka uca TLS'yi yapılandırma (Cloud ve Private Cloud)

Apigee Edge belgelerini görüntülüyorsunuz.
. Git: Apigee X belgeleri. bilgi

API proxy'si, arka uç hizmetinize herkese açık bir uç noktanın eşlemesi gibi çalışır. Sanal ana makine, herkese açık API proxy'sinin bir uygulamaya nasıl sunulduğunu tanımlar. Örneğin, sanal ana makine, TLS kullanılarak API proxy'sine erişilip erişilmeyeceğini belirler. Google Takvim widget'ını bir API proxy'si yapılandırma, proxy'nin ProxyEndpoint tanımını düzenleyerek belirler.

TargetEndpoint, ProxyEndpoint'in giden eşdeğeridir. TargetEndpoint işlevleri HTTP istemcisi olarak Edge'den arka uç hizmetine dönüştürebilirsiniz. API proxy'si oluştururken, şunları yapılandırabilirsiniz: kullanabilirsiniz.

Daha fazla bilgi:

• TLS/SSL hakkında
• Edge ile TLS'yi kullanma
• Sanal ana makineler hakkında
• Anahtar depoları ve Truststore'lar
• API proxy'si yapılandırma referansı

TargetEndpoint veya TargetServer

TargetEndpoint yapılandırmak için TargetEndpoint'i tanımlayan XML nesnesini düzenleyin. Şunları yapabilirsiniz: API proxy'sini seçin veya Edge yönetim arayüzünde düzenleyin.

TargetEndpoint'i düzenlemek amacıyla Edge yönetim kullanıcı arayüzünü kullanmak için:

1. https://enterprise.apigee.com adresinden Edge yönetim arayüzüne giriş yapın.
2. Güncellenecek API proxy'sinin adını seçin.
3. Geliştirme sekmesini seçin.
4. Target Endpoints (Hedef Uç Noktalar) altında default'u (varsayılan) seçin.
5. Kod alanında, aşağıdakine benzer şekilde TargetEndpoint tanımı görünür:

   <TargetEndpoint name="default">
     <Description/>
     <FaultRules/>
     <Flows/>
     <PreFlow name="PreFlow">
       <Request/>
       <Response/>
     </PreFlow>
     <PostFlow name="PostFlow">
       <Request/>
       <Response/>
     </PostFlow>
     <HTTPTargetConnection>
       <Properties/>
       <SSLInfo>
         <Enabled>true</Enabled>
         <TrustStore>ref://myTrustStoreRef</TrustStore>
       </SSLInfo>
       <URL>https://mocktarget.apigee.net</URL>
     </HTTPTargetConnection>
   </TargetEndpoint>

   .
6. Aşağıdaki gibi bir güven deposunu yapılandırın: Arka uçlu TLS yapılandırması hakkında.
7. Gerekli değişiklikleri yapın ve proxy'yi kaydedin. API proxy'si dağıtıldıysa kaydetme yeniden dağıtır.

TargetEndpoint tanımının name özelliği içerdiğine dikkat edin. Buradaki name mülkü API proxy'sinin ProxyEndpoint tanımını yapılandırmak için TargetEndpoint. Daha fazla bilgi için API proxy yapılandırması referansı başlıklı makaleye bakın.

TargetEndpoints, açık hedef URL'dir. TargetServer yapılandırması, somut uç nokta URL'lerini TargetEndpoint yapılandırmaları. TargetServer'lar, yük dengeleme ve yük devretmeyi desteklemek için kullanılır kolayca uygulayabilirsiniz.

Aşağıda örnek bir TargetServer tanımı verilmiştir:

<TargetServer name="target1">
  <Host>mocktarget.apigee.net</Host>
  <Port>80</Port>
  <IsEnabled>true</IsEnabled>
</TargetServer> 

Bir TargetServer'a <HTTPTargetConnection> içindeki adla referans veriliyor öğesi tanımlar. Aşağıda gösterildiği gibi, adlandırılmış bir veya daha fazla TargetServer yapılandırabilirsiniz.

<TargetEndpoint name="default">
  ...
  <HTTPTargetConnection>
    <LoadBalancer>
      <Server name="target1" />
      <Server name="target2" />
    </LoadBalancer>
    <Path>/test</Path>
  </HTTPTargetConnection>
  ...
</TargetEndpoint>

Bkz. Yük dengeleme daha fazla bilgi edinebilirsiniz.

Arka uçla TLS yapılandırması hakkında

Arka uca TLS erişimini yapılandırmadan önce iki önemli noktayı anlamanız gerekir puan:

1. Edge, varsayılan olarak arka uç sertifikasını doğrulamaz. Yapılandırmak için güven deposu oluşturmanız gerekir Edge'e giderek sertifikayı doğrulayın.
2. Edge'in kullandığı anahtar deposunu veya güven deposunu belirtmek için bir referans kullanın.

Dikkat edilmesi gereken her iki nokta aşağıda açıklanmıştır.

Sertifika doğrulamasını etkinleştirmek için güven deposu tanımlama

TargetEndpoint veya TargetServer üzerinden bir TLS isteği gönderildiğinde Edge'in yapması Varsayılan olarak, arka uç sunucusundan alınan TLS sertifikasını doğrular. Bu durumda Edge aşağıdakileri doğrulamaz:

• Sertifika güvenilir bir CA tarafından imzalandı.
• Sertifikanın süresi sona ermemiş.
• Sertifika yaygın bir ad içeriyor. Ortak bir ad varsa Edge doğrulama yapmaz ortak adın, URL'de belirtilen ana makine adıyla eşleştiğinden emin olun.

Edge'i arka uç sertifikasını doğrulayacak şekilde yapılandırmak için şunları yapmanız gerekir:

1. Edge'de güven deposu oluşturun.
2. Sunucunun sertifikasını veya sertifika zincirini güven deposuna yükleyin. Sunucu sertifikasını bir üçüncü taraf imzaladıysa kök CA sertifikası da dahil olmak üzere güven deposuna tam sertifika zincirini uygular. Dolaylı olarak güvenilen bir CA yoktur.
3. Truststore'u TargetEndpoint veya TargetServer tanımına ekleyin.

ziyaret edin.

Daha fazla bilgi için Anahtar Depoları ve Truststore'lar bölümüne bakın.

Örneğin:

<TargetEndpoint name="default">
  …
  <HTTPTargetConnection>
    <SSLInfo>
      <Enabled>true</Enabled>
      <TrustStore>ref://myTrustStoreRef</TrustStore>
    </SSLInfo>
    <URL>https://myservice.com</URL>
  </HTTPTargetConnection>
  …
</TargetEndpoint>

Referans kullanma anahtar deposuna veya güven deposuna

Aşağıdaki örnekte, TLS desteği sunar. TLS yapılandırmasının bir parçası olarak, TargetEndpoint veya TargetServer tanımı.

Apigee, anahtar deposuna referans vermenizi önemle tavsiye eder ve güven deposunu kullanabilirsiniz. Referans kullanmanın avantajı referansı, farklı bir anahtar deposuna veya güven deposuna işaret edecek şekilde güncellemeniz TLS sertifikasını güncelleyin.

Şuradaki anahtar depolarına ve güven depolarına referanslar: TargetEndpoints veya TargetServer tanımı şu şekilde çalışır: sanal ana makineler için geçerlidir.

Referans kullanmak için TargetEndpoint veya TargetServer dönüştürme

Hedeflerinizi ve sunucunuzu ilgilendiren mevcut TargetEndpoint veya TargetServer anahtar deposunun ve güven deposunun tam adını kullanır. TargetEndpoint'i dönüştürmek için veya TargetServer tanımını temel alır:

1. Referans kullanmak için TargetEndpoint veya TargetServer tanımını güncelleyin.
2. Edge Mesaj İşlemcilerini yeniden başlatın:
   • Herkese Açık Cloud müşterileri, mesaj işlemcilerini yeniden başlatmak istiyorsanız Apigee Edge Destek Ekibi ile iletişime geçin.
   • Private Cloud müşterileri için Edge İleti İşlemcilerini yeniden başlatın oluşturabilirsiniz.
3. TargetEndpoint veya TargetServer'ın düzgün bir şekilde çalıştığını doğrulayın.

Arka uca tek yönlü TLS'yi yapılandırma sunucu

TargetEndpoint tanımı kullanırken, Edge'den (TLS istemcisi) tek yönlü TLS erişimini yapılandırma arka uç sunucusuna (TLS sunucusu) göndermek için Edge'de ek yapılandırma gerekmez. Evet arka uç sunucusuna bağlanarak TLS'yi doğru yapılandırmalısınız.

Yalnızca<URL> TargetEndpoint tanımı, HTTPS protokolüne göre arka uç hizmetine referans verir ve TLS'yi etkinleştir:

<TargetEndpoint name="default">
  …
  <HTTPTargetConnection>
    <SSLInfo>
      <Enabled>true</Enabled>
    </SSLInfo>
    <URL>https://myservice.com</URL>
  </HTTPTargetConnection>
  …
</TargetEndpoint>

Arka uç hizmetini tanımlamak için TargetServer kullanıyorsanız TLS'yi etkinleştirin ifadesi şu şekildedir:

<TargetServer name="target1">
  <Host>mocktarget.apigee.net</Host>
  <Port>443</Port>
  <IsEnabled>true</IsEnabled>
  <SSLInfo>
    <Enabled>true</Enabled>
  </SSLInfo> 
</TargetServer> 

.

Ancak Edge'in arka uç sertifikasını doğrulamasını istiyorsanız güven deposu oluşturmanız gerekir arka uç sertifikasını veya sertifika zincirini içeren bir kod snippet'i ekleyin. Ardından, güven deposunu TargetEndpoint tanımı için:

<TargetEndpoint name="default">
  …
  <HTTPTargetConnection>
    <SSLInfo>
      <Enabled>true</Enabled>
      <TrustStore>ref://myTrustStoreRef</TrustStore>
    </SSLInfo>
    <URL>https://myservice.com</URL>
  </HTTPTargetConnection>
  …
</TargetEndpoint>

TargetServer tanımında ise:

<TargetServer name="target1">
  <Host>mockserver.apigee.net</Host>
  <Port>443</Port>
  <IsEnabled>true</IsEnabled>
  <SSLInfo>
    <Enabled>true</Enabled>
    <TrustStore>ref://myTrustStoreRef</TrustStore>
  </SSLInfo> 
</TargetServer>

Tek yönlü TLS'yi yapılandırmak için:

1. Arka uç sertifikasını doğrulamak isterseniz Edge'de bir güven deposu oluşturun ve aşağıdaki sayfada açıklandığı gibi arka uç sertifikası veya CA zinciri Anahtar depoları ve Truststore'lar. Bu örnekte, bir güven deposu oluşturmanız gerekiyorsa güvenilir bir depo myTrustStore gibi tüm alt işlemleri devre dışı bırakmalısınız.

2. Truststore oluşturduysanız oluşturmak için aşağıdaki POST API çağrısını oluşturduğunuz güven deposuna myTrustStoreRef adlı referans yukarıda:

   curl -X POST  -H "Content-Type:application/xml" https://api.enterprise.apigee.com/v1/o/{org_name}/e/{env_name}/references \
     -d '<ResourceReference name="myTrustStoreRef">
       <Refers>myTrustKeystore</Refers>
       <ResourceType>KeyStore</ResourceType>
     </ResourceReference>' -u email:password
   

3. API proxy'sinin TargetEndpoint tanımını güncellemek için Edge yönetim kullanıcı arayüzünü kullanın (veya API proxy'sini XML'de tanımlarsanız proxy'nin XML dosyalarını düzenleyin):
   1. https://enterprise.apigee.com adresinden Edge yönetimi kullanıcı arayüzüne giriş yapın.
   2. Edge yönetimi kullanıcı arayüzü menüsünde API'ler seçeneğini belirleyin.
   3. Güncellenecek API proxy'sinin adını seçin.
   4. Geliştirme sekmesini seçin.
   5. Target Endpoints (Hedef Uç Noktalar) altında default'u (varsayılan) seçin.
   6. Kod alanında <HTTPTargetConnection> öğesini şu şekilde düzenleyin: <SSLInfo> öğesini ekleyin. Doğru güven deposu referansını belirttiğinizden ve <Enabled> öğesini doğru değerine ayarladığınızdan emin olun:

      <TargetEndpoint name="default">
        …
        <HTTPTargetConnection>
          <SSLInfo>
            <Enabled>true</Enabled>
            <TrustStore>ref://myTrustStoreRef</TrustStore>
          </SSLInfo>
          <URL>https://myservice.com</URL>
        </HTTPTargetConnection>
        …
      </TargetEndpoint>

   7. API proxy'sini kaydedin. API proxy'si dağıtıldıysa proxy kaydedildiğinde daha sonra yeni ayar.

Arka uca iki yönlü TLS'yi yapılandırma sunucu

Uç (TLS istemcisi) ile arka uç sunucusu (TLS) arasında iki yönlü TLS'yi desteklemek istiyorsanız sunucu):

• Edge'de anahtar deposu oluşturup Edge sertifikası ile özel anahtarı yükleyin.
• Arka uç sertifikasını doğrulamak isterseniz Edge'de şunu içeren bir güven deposu oluşturun: arka uç sunucusundan aldığınız sertifika ve CA zincirine benzer.
• Yapılandırmak için arka uç sunucusuna referans veren API proxy'lerinin TargetEndpoint değerini güncelleyin TLS erişimi.

ziyaret edin.

Anahtar deposu sertifikasını belirtmek için anahtar takma adını kullanma

Aynı anahtar deposunda her biri kendi takma adına sahip birden fazla sertifika tanımlayabilirsiniz. Varsayılan olarak Edge, anahtar deposunda tanımlanan ilk sertifikayı kullanır.

İsteğe bağlı olarak Edge'i <KeyAlias> özelliği tarafından belirtilen sertifikayı kullanacak şekilde yapılandırabilirsiniz. Bu, birden fazla sertifika için tek bir anahtar deposu tanımlayabilmenizi, ardından TargetServer tanımında kullanmak istediğiniz tanımı seçin. Edge, takma ada sahip bir sertifika bulamazsa <KeyAlias> ile eşleşen bir etiket varsa anahtar deposundaki ilk sertifikayı güncelleyin.

Herkese Açık Bulut İçin Edge kullanıcılarının bu özelliği etkinleştirmek için Apigee Edge Destek Ekibi ile iletişime geçmesi gerekir.

İki yönlü TLS'yi yapılandırma

İki yönlü TLS'yi yapılandırmak için:

1. Edge'de anahtar deposunu oluşturun ve prosedürü kullanarak sertifikayı ve özel anahtarı yükleyin Anahtar Depoları ve Truststore'lar adlı makaleyi inceleyin. Bu örnekte, myTestKeystore adında ve myKey takma adını verin.

2. Referansı oluşturmak için aşağıdaki POST API çağrısını kullanın yukarıda oluşturduğunuz anahtar deposuna myKeyStoreRef olarak adlandırdık:

   curl -X POST  -H "Content-Type:application/xml" https://api.enterprise.apigee.com/v1/o/{org_name}/e/{env_name}/references \
   -d '<ResourceReference name="myKeyStoreRef">
       <Refers>myTestKeystore</Refers>
       <ResourceType>KeyStore</ResourceType>
   </ResourceReference>' -u email:password
   

   Referans, anahtar deposunun adını ve referans türünü KeyStore olarak belirtir.

   Referansı görüntülemek için aşağıdaki GET API çağrısını kullanın:

   curl -X GET https://api.enterprise.apigee.com/v1/o/[org_name}/e/{env_name}/references/myKeyStoreRef /
   -u email:password
   

3. Arka uç sertifikasını doğrulamak istiyorsanız Edge'de bir güven deposu oluşturun, sertifikayı ve CA'yı yükleyin şu örnekte açıklandığı gibi: Anahtar Depoları ve Truststorelar. Bu örnekte, bir güven deposu oluşturmanız gerekiyorsa myTrustStore adını verebilirsiniz.

4. Truststore oluşturduysanız oluşturmak için aşağıdaki POST API çağrısını oluşturduğunuz güven deposuna myTrustStoreRef adlı referans yukarıda:

   curl -X POST  -H "Content-Type:application/xml" https://api.enterprise.apigee.com/v1/o/{org_name}/e/{env_name}/references \
   -d '<ResourceReference name="myTrustStoreRef">
       <Refers>myTrustKeystore</Refers>
       <ResourceType>KeyStore</ResourceType>
   </ResourceReference>' -u email:password
   

5. API proxy'sinin TargetEndpoint tanımını güncellemek için Edge yönetim kullanıcı arayüzünü kullanın (veya API proxy'sini XML'de tanımlarsanız proxy'nin XML dosyalarını düzenleyin):
   1. https://enterprise.apigee.com adresinden Edge yönetim arayüzüne giriş yapın.
   2. Edge yönetimi kullanıcı arayüzü menüsünde API'ler seçeneğini belirleyin.
   3. Güncellenecek API proxy'sinin adını seçin.
   4. Geliştirme sekmesini seçin.
   5. Target Endpoints (Hedef Uç Noktalar) altında default'u (varsayılan) seçin.
   6. Kod alanında <HTTPTargetConnection> öğesini şu şekilde düzenleyin: <SSLInfo> ekleyin öğesine dokunun. Doğru anahtar deposunu ve anahtar takma adını belirttiğinizden ve <Enabled> ve <ClientAuthEnabled> öğeleri doğru değerine ayarlandı:

      <TargetEndpoint name="default">
        ...
        <HTTPTargetConnection>
          <SSLInfo>
            <Enabled>true</Enabled>
            <ClientAuthEnabled>true</ClientAuthEnabled>
            <KeyStore>ref://myKeyStoreRef</KeyStore>
            <KeyAlias>myKey</KeyAlias>
          </SSLInfo>
          <URL>https://myservice.com</URL>
        </HTTPTargetConnection>
        ...
      </TargetEndpoint>

   7. API proxy'sini kaydedin. API proxy'si dağıtıldıysa proxy kaydedildiğinde daha sonra yeni ayar.

Değişkenleri kullanma dahil olmak üzere <TargetEndpoint> içindeki seçenekler hakkında daha fazla bilgi TargetEndpoint <SSLInfo> değerlerini sağlamak için API proxy yapılandırma referansına bakın.

SNI etkinleştirme

Edge, hedeflemek amacıyla İleti İşlemcileri tarafından sunulan Sunucu Adı Göstergesi (SNI) kullanımını destekler uç noktaları hakkında daha fazla bilgi edinin.

Private Cloud için Edge'in mevcut hedef arka uçlarınızla geriye dönük uyumlu olması amacıyla Apigee, SNI'yi varsayılan olarak devre dışı bıraktı. Hedef arka ucunuz SNI'yi destekleyecek şekilde yapılandırılmışsa bu özelliği etkinleştirebilirsiniz. Daha fazla bilgi için Edge ile SNI kullanma başlıklı makaleyi inceleyin.