TLS を構成するには、Edge で以下を構成する必要があります。
- TLS 鍵と証明書のリポジトリ:
- キーストア: TLS handshake 中にエンティティの識別に使用される TLS 証明書と秘密鍵が格納されます。キーストアを作成して TLS 証明書をアップロードするとき、証明書と鍵のペアを参照するためのエイリアス名を指定します。
- トラストストア: TLS handshake の一環として受け取った証明書の検証に使用する証明書が含まれています。トラストストアは、通常は必要ありません。これを使用するのは、TLS サーバーから受け取った自己署名証明書、または信頼できる CA によって署名されていない証明書を検証しなければならないときです。また、Edge を TLS サーバーとした双方向 TLS を行う場合にも、トラストストアは必要になります。
- キーストアとトラストストア内の証明書を使用するための API プロキシ:
- 仮想ホスト: API プロキシが公開されるドメインとポートを定義します。また、拡張により、アプリから API プロキシへのアクセスに使用される URL も定義します。仮想ホストを構成する際に、TLS 構成の一環としてキーストアとトラストストアを必要に応じて指定します。
- ターゲット エンドポイント / ターゲット サーバー: API プロキシがアクセスするバックエンド システムのエンドポイントを定義します。ターゲット エンドポイント / ターゲット サーバーを構成する際に、バックエンド システムの TLS 要件に対応できるようにします(キーストアとトラストストアを指定する、など)。
関連情報:
- キーストアとトラストストア
- Cloud 用 API への TLS アクセスの構成
- Private Cloud 用 API への TLS アクセスの構成
- Edge からバックエンドへの TLS の構成(Cloud、Private Cloud)
- API プロキシ構成リファレンス
Cloud と Private Cloud の構成の違い
Edge Cloud と Edge for Private Cloud ではどちらも、キーストアとトラストストアを作成して構成できます。
両者の大きな違いは、Cloud ベースの Edge インストールでは、サポートプランをご購入いただいたお客様だけが仮想ホストを作成および変更して TLS を構成できる点です。無料アカウントとトライアル アカウントでは、Edge の登録時に作成された仮想ホストしか使用できません。また、Symantec や VeriSign などの信頼できる事業体によって署名された証明書が必要です。自己署名証明書、または自己署名 CA によって署名されたリーフ証明書は使用できません。Edge の料金プランの詳細については、https://apigee.com/api-management/#/pricing をご覧ください。
Cloud と Private Cloud のお客様はどちらも、ターゲット エンドポイントとターゲット サーバーを作成して構成できます。