Schlüsselspeicher und Truststore mithilfe der Edge-Benutzeroberfläche erstellen

Sie sehen sich die Dokumentation zu Apigee Edge an.
Sehen Sie sich die Apigee X-Dokumentation an. info

In diesem Dokument wird beschrieben, wie Sie Schlüssel- und Vertrauensspeicher für Edge für die Cloud und für Edge für die Private Cloud-Versionen 4.18.01 und höher erstellen, ändern und löschen.

Schlüsselspeicher/Truststores und virtuelle Hosts für Edge Cloud

Beim Erstellen von Schlüssel-/Vertrauensspeichern für Edge Cloud müssen Sie alle Regeln zur Verwendung virtueller Hosts einhalten. Beispiel für virtuelle Hosts in der Cloud:

  • Virtuelle Hosts müssen TLS verwenden.
  • Virtuelle Hosts können nur Port 443 verwenden.
  • Sie müssen ein signiertes TLS-Zertifikat verwenden. Unsignierte Zertifikate dürfen nicht für virtuelle Hosts in der Cloud verwendet werden.
  • Der vom TLS-Zertifikat angegebene Domainname muss mit dem Hostalias des virtuellen Hosts übereinstimmen.

Weitere Informationen:

Schlüsselspeicher und Truststores in Edge implementieren

Wenn Sie Funktionen konfigurieren möchten, die auf der Public-Key-Infrastruktur basieren, z. B. TLS, müssen Sie Schlüsselspeicher und Truststores mit den erforderlichen Schlüsseln und digitalen Zertifikaten erstellen.

In Edge werden Schlüsselspeicher und Vertrauensspeicher durch eine Schlüsselspeicher-Entität dargestellt, die einen oder mehrere Aliasse enthält. Das heißt, es gibt keinen Implementierungsunterschied zwischen einem Schlüsselspeicher und einem Vertrauensspeicher in Edge.

Der Unterschied zwischen Schlüsselspeichern und Truststores ergibt sich aus den Arten von Einträgen, die sie enthalten, und wie sie beim TLS-Handshake verwendet werden:

  • keystore: Eine keystore-Entität mit einem oder mehreren Aliassen, wobei jeder Alias ein Zertifikat/Schlüssel-Paar enthält.
  • truststore: Eine Schlüsselspeicher-Entität mit einem oder mehreren Aliassen, wobei jeder Alias nur eine Zertifizierung enthält.

Wenn Sie TLS für einen virtuellen Host oder Zielendpunkt konfigurieren, haben Schlüsselspeicher und Truststores unterschiedliche Rollen beim TLS-Handshake-Prozess. Wenn Sie einen virtuellen Host oder Zielendpunkt konfigurieren, geben Sie Schlüsselspeicher und Truststores separat im <SSLInfo>-Tag an, wie unten für einen virtuellen Host gezeigt:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>false</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
    </SSLInfo>
</VirtualHost>

In diesem Beispiel geben Sie den Namen des Schlüsselspeichers und den Alias an, die vom virtuellen Host für seinen TLS-Schlüsselspeicher verwendet werden. Sie verwenden einen Verweis, um den Namen des Schlüsselspeichers anzugeben, damit Sie ihn später ändern können, wenn das Zertifikat abläuft. Der Alias enthält ein Zertifikat/Schlüsselpaar, mit dem der virtuelle Host für einen TLS-Client identifiziert wird, der auf den virtuellen Host zugreift. In diesem Beispiel ist kein Truststore erforderlich.

Wenn ein Truststore erforderlich ist, z. B. für eine bidirektionale TLS-Konfiguration, verwenden Sie das Tag <TrustStore>, um den Truststore anzugeben:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>true</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
        <TrustStore>ref://truststoreref</TrustStore>
    </SSLInfo>
</VirtualHost>

In diesem Beispiel verweist das <TrustStore>-Tag nur auf einen Schlüsselspeicher, es wird kein bestimmter Alias angegeben. Jeder Alias im Schlüsselspeicher enthält ein Zertifikat oder eine Zertifikatskette, die im Rahmen des TLS-Handshake-Prozesses verwendet wird.

Unterstützte Zertifikatsformate

Format API- und UI-Upload werden unterstützt Unterstützung von Northbound-Nachrichten Überprüft
PEM Ja Ja Ja
* PKCS12 Ja Ja Ja
Hinweis: Apigee konvertiert PKCS12 intern in PEM.
* DER Nein Nein Ja
* PKCS7 Nein Nein Nein

* Wir empfehlen, nach Möglichkeit PEM zu verwenden.

PKCS12-Schlüsselspeicher mit Edge for Private Cloud 4.53.00 oder höher verwenden

Wenn Sie Edge for Private Cloud 4.53.00 oder höher verwenden, sollten Sie nur einen PKCS12-Schlüsselspeicher verwenden, um Schlüssel und zugehörige Zertifikate in Apigee hochzuladen. Informationen zum Konvertieren Ihrer vorhandenen Schlüssel und Zertifikate in das PKCS12/PFX-Format finden Sie unter Zertifikate in ein unterstütztes Format konvertieren.

Alias implementieren

In Edge enthält ein Schlüsselspeicher einen oder mehrere Aliasse. Jeder Alias enthält Folgendes:

  • TLS-Zertifikat als PEM- oder PKCS12/PFX-Datei – entweder ein von einer Zertifizierungsstelle signiertes Zertifikat, eine Datei mit einer Zertifikatskette, deren letztes Zertifikat von einer Zertifizierungsstelle signiert ist, oder ein selbst signiertes Zertifikat.
  • Privater Schlüssel als PEM- oder PKCS12/PFX-Datei Edge unterstützt Schlüsselgrößen bis zu 2.048 Bit. Eine Passphrase ist optional.

In Edge enthält ein Truststore einen oder mehrere Aliasse. Jeder Alias enthält Folgendes:

  • TLS-Zertifikat als PEM-Datei – entweder ein von einer Zertifizierungsstelle signiertes Zertifikat, eine Zertifikatskette, deren letztes Zertifikat von einer Zertifizierungsstelle signiert ist, oder ein selbst signiertes Zertifikat.

Edge bietet eine Benutzeroberfläche und eine API, mit denen Sie Schlüsselspeicher und Aliasse erstellen, Zertifikat/Schlüssel-Paare hochladen und Zertifikate aktualisieren können. Die Benutzeroberfläche und API, die Sie zum Erstellen eines Truststores verwenden, sind dieselben wie beim Erstellen eines Schlüsselspeichers. Der Unterschied besteht darin, dass Sie beim Erstellen eines Truststores Aliasse erstellen, die nur ein Zertifikat enthalten.

Format der Zertifikats- und Schlüsseldateien

Sie können Zertifikate und Schlüssel als PEM-Dateien oder als PKCS12-/PFX-Dateien darstellen. PEM-Dateien entsprechen dem X.509-Format. Wenn Ihr Zertifikat oder Ihr privater Schlüssel nicht durch eine PEM-Datei definiert ist, können Sie ihn mithilfe von Dienstprogrammen wie openssl in eine PEM-Datei konvertieren.

Viele .crt- und .key-Dateien liegen jedoch bereits im PEM-Format vor. Wenn diese Dateien Textdateien sind und in Folgendes eingebettet sind:

-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----

oder

-----BEGIN ENCRYPTED PRIVATE KEY-----
-----END ENCRYPTED PRIVATE KEY-----

Die Dateien sind dann mit dem PEM-Format kompatibel und können in einem Schlüssel- oder Vertrauensspeicher verwendet werden, ohne dass sie in eine PEM-Datei konvertiert werden müssen.

Informationen zu Zertifikatsketten

Wenn ein Zertifikat Teil einer Kette ist, wird es je nachdem, ob es in einem Schlüsselspeicher oder in einem Truststore verwendet wird, unterschiedlich behandelt:

  • Keystore: Wenn ein Zertifikat Teil einer Kette ist, müssen Sie eine einzelne Datei mit allen Zertifikaten in der Kette erstellen. Die Zertifikate müssen in der richtigen Reihenfolge sein und das letzte Zertifikat muss ein Stammzertifikat oder ein von einem Stammzertifikat signiertes Zwischenzertifikat sein.
  • Truststore: Wenn ein Zertifikat Teil einer Kette ist, müssen Sie entweder eine einzelne Datei mit allen Zertifikaten erstellen und diese Datei in einen Alias hochladen oder alle Zertifikate in der Kette separat mit dem Truststore verknüpfen. Verwenden Sie dabei für jedes Zertifikat einen anderen Alias. Wenn Sie sie als einzelnes Zertifikat hochladen, müssen die Zertifikate in der richtigen Reihenfolge sein und das letzte Zertifikat muss ein Stammzertifikat oder ein Zwischenzertifikat sein, das von einem Stammzertifikat signiert wurde.
  • Wenn Sie eine einzelne Datei mit mehreren Zertifikaten erstellen, müssen Sie zwischen den einzelnen Zertifikaten eine leere Zeile einfügen.

Sie können beispielsweise alle Zertifikate in einer einzigen PEM-Datei kombinieren. Die Zertifikate müssen in der richtigen Reihenfolge sein und das letzte Zertifikat muss ein Stammzertifikat oder ein von einem Stammzertifikat signiertes Zwischenzertifikat sein:

-----BEGIN CERTIFICATE----- 
(Your Primary TLS certificate) 
-----END CERTIFICATE----- 

-----BEGIN CERTIFICATE----- 
(Intermediate certificate) 
-----END CERTIFICATE-----
 
-----BEGIN CERTIFICATE----- 
(Root certificate or intermediate certificate signed by a root certificate) 
-----END CERTIFICATE-----

Wenn Ihre Zertifikate als PKCS12-/PFX-Dateien dargestellt werden, können Sie mit dem Befehl openssl eine PKCS12-/PFX-Datei aus einer Zertifikatskette erstellen, wie unten gezeigt:

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

Wenn Sie mit Zertifikatsketten in einem Truststore arbeiten, müssen Sie nicht immer alle Zertifikate in der Kette hochladen. Sie laden beispielsweise ein Clientzertifikat (client_cert_1) und das Zertifikat des Ausstellers des Clientzertifikats (ca_cert) hoch.

Bei der TLS-Zwei-Wege-Authentifizierung ist die Clientauthentifizierung erfolgreich, wenn der Server im Rahmen des TLS-Handshake-Prozesses client_cert_1 an den Client sendet.

Alternativ haben Sie ein zweites Zertifikat, client_cert_2, das von demselben Zertifikat, ca_cert, signiert wurde. Sie laden client_cert_2 jedoch nicht in den Truststore hoch. Der Truststore enthält weiterhin nur client_cert_1 und ca_cert.

Wenn der Server client_cert_2 im Rahmen des TLS-Handshakes übergibt, ist die Anfrage erfolgreich. Das liegt daran, dass Edge die TLS-Überprüfung zulässt, wenn client_cert_2 nicht im Truststore vorhanden ist, aber von einem Zertifikat signiert wurde, das im Truststore vorhanden ist. Wenn Sie das CA-Zertifikat ca_cert aus dem Truststore entfernen, schlägt die TLS-Überprüfung fehl.

FIPS-Hinweise

Wenn Sie Edge for Private Cloud 4.53.00 oder höher auf einem FIPS-kompatiblen Betriebssystem verwenden, sollten Sie nur einen PKCS12-Schlüsselspeicher verwenden, um Schlüssel und zugehörige Zertifikate in Apigee hochzuladen.

Seite „TLS-Schlüsselspeicher“

Rufen Sie wie unten beschrieben die Seite „TLS-Schlüsselspeicher“ auf.

Edge

So greifen Sie über die Edge-Benutzeroberfläche auf die Seite „TLS-Schlüsselspeicher“ zu:

  1. Melden Sie sich als Organisationsadministrator in https://apigee.com/edge an.
  2. Wählen Sie Ihre Organisation aus.
  3. Wählen Sie Verwaltung > Umgebung > TLS-Schlüsselspeicher aus.

Klassisches Edge (Private Cloud)

So greifen Sie über die klassische Edge-Benutzeroberfläche auf die Seite „TLS-Schlüsselspeicher“ zu:

  1. Melden Sie sich bei http://ms-ip:9000 als Organisationsadministrator an, wobei ms-ip die IP-Adresse oder der DNS-Name des Management Server-Knotens ist.
  2. Wählen Sie Ihre Organisation aus.
  3. Wählen Sie Verwaltung > Umgebungskonfiguration > TLS-Schlüsselspeicher aus.

Die Seite „TLS-Schlüsselspeicher“ wird angezeigt:

Wie in der vorherigen Abbildung erwähnt, können Sie auf der Seite „TLS-Schlüsselspeicher“ Folgendes tun:

Alias ansehen

So rufen Sie einen Alias auf:

  1. Rufen Sie die Seite „TLS-Schlüsselspeicher“ auf.
  2. Wählen Sie die Umgebung aus (normalerweise prod oder test).
  3. Klicken Sie auf die Zeile mit dem Alias, den Sie aufrufen möchten.

    Details zum Aliaszertifikat und -schlüssel werden angezeigt.

    Sie sehen alle Informationen zum Alias, einschließlich des Ablaufdatums.

  4. Mit den Schaltflächen oben auf der Seite können Sie das Zertifikat verwalten und Folgendes tun:
    • Laden Sie das Zertifikat als PEM-Datei herunter.
    • Generieren Sie einen CSR. Wenn Sie ein abgelaufenes Zertifikat haben und es verlängern möchten, können Sie eine CSR-Anfrage (Certificate Signing Request) herunterladen. Sie senden den CSR dann an Ihre Zertifizierungsstelle, um ein neues Zertifikat zu erhalten.
    • Zertifikat aktualisieren Achtung: Wenn Sie ein Zertifikat aktualisieren, das derzeit von einem virtuellen Host oder Zielserver/Zielendpunkt verwendet wird, müssen Sie sich an den Apigee Edge-Support wenden, um die Router und Nachrichtenprozessoren neu zu starten. So aktualisieren Sie ein Zertifikat am besten:
      1. Erstellen Sie einen neuen Schlüsselspeicher oder Truststore.
      2. Fügen Sie das neue Zertifikat dem neuen Schlüsselspeicher oder Truststore hinzu.
      3. Aktualisieren Sie die Referenz im virtuellen Host oder Zielserver/Zielendpunkt auf den Schlüsselspeicher oder Truststore. Weitere Informationen finden Sie unter TLS-Zertifikat für die Cloud aktualisieren.
      4. Löschen Sie den Alias. Hinweis: Wenn Sie einen Alias löschen, der derzeit von einem virtuellen Host oder Zielendpunkt verwendet wird, schlägt der Zugriff auf den virtuellen Host oder Zielendpunkt fehl.

Schlüsselspeicher/Truststore und Alias erstellen

Sie können einen Schlüsselspeicher entweder als TLS-Schlüsselspeicher oder als TLS-Truststore verwenden. Ein Schlüsselspeicher ist spezifisch für eine Umgebung in Ihrer Organisation, z. B. die Test- oder Produktionsumgebung. Wenn Sie den Schlüsselspeicher also in einer Testumgebung testen möchten, bevor Sie ihn in Ihrer Produktionsumgebung bereitstellen, müssen Sie ihn in beiden Umgebungen erstellen.

Wenn Sie einen Schlüsselspeicher in einer Umgebung erstellen möchten, müssen Sie nur den Namen des Schlüsselspeichers angeben. Nachdem Sie einen benannten Schlüsselspeicher in einer Umgebung erstellt haben, können Sie Aliasse erstellen und ein Zertifikat/Schlüsselpaar (Schlüsselspeicher) oder nur ein Zertifikat (Truststore) in den Alias hochladen.

So erstellen Sie einen Schlüsselspeicher:

  1. Rufen Sie die Seite „TLS-Schlüsselspeicher“ auf.
  2. Wählen Sie die Umgebung aus (normalerweise prod oder test).
  3. Klicken Sie auf + Schlüsselspeicher.
  4. Geben Sie den Namen des Schlüsselspeichers an. Der Name darf nur alphanumerische Zeichen enthalten.
  5. Klicken Sie auf Schlüsselspeicher hinzufügen. Der neue Schlüsselspeicher wird in der Liste angezeigt.
  6. Verwenden Sie eine der folgenden Methoden, um einen Alias hinzuzufügen. Weitere Informationen finden Sie unter Unterstützte Zertifikatsdateiformate.

Alias aus einem Zertifikat erstellen (nur Truststore)

So erstellen Sie einen Alias aus einem Zertifikat:

  1. Rufen Sie die Seite „TLS-Schlüsselspeicher“ auf.
  2. Bewegen Sie den Mauszeiger auf den Schlüsselspeicher, um das Aktionsmenü aufzurufen, und klicken Sie auf +.
  3. Geben Sie den Aliasnamen an.
  4. Wählen Sie unter „Zertifikatsdetails“ im Drop-down-Menü „Typ“ die Option Nur Zertifikat aus.
  5. Klicken Sie neben Zertifikatsdatei auf Datei auswählen, suchen Sie die PEM-Datei mit dem Zertifikat und klicken Sie auf Öffnen.
  6. Standardmäßig prüft die API, ob das Zertifikat nicht abgelaufen ist. Optional können Sie Abgelaufenes Zertifikat zulassen auswählen, um die Validierung zu überspringen.
  7. Wählen Sie Speichern aus, um das Zertifikat hochzuladen und den Alias zu erstellen.

Alias aus einer JAR-Datei erstellen (nur Schlüsselspeicher)

So erstellen Sie einen Alias aus einer JAR-Datei:

  1. Rufen Sie die Seite „TLS-Schlüsselspeicher“ auf.
  2. Bewegen Sie den Mauszeiger auf den Schlüsselspeicher, um das Aktionsmenü aufzurufen, und klicken Sie auf +.
  3. Geben Sie den Aliasnamen an.
  4. Wählen Sie unter „Zertifikatdetails“ im Drop-down-Menü „Typ“ die Option JAR-Datei aus.
  5. Klicken Sie neben JAR-Datei auf Datei auswählen, suchen Sie die JAR-Datei mit dem Zertifikat und dem Schlüssel und klicken Sie auf Öffnen.
  6. Wenn der Schlüssel ein Passwort hat, geben Sie das Passwort an. Wenn der Schlüssel kein Passwort hat, lassen Sie dieses Feld leer.
  7. Standardmäßig prüft die API, ob das Zertifikat nicht abgelaufen ist. Optional können Sie Abgelaufenes Zertifikat zulassen auswählen, um die Validierung zu überspringen.
  8. Wählen Sie Speichern aus, um den Schlüssel und das Zertifikat hochzuladen und den Alias zu erstellen.

Alias aus einem Zertifikat und einem Schlüssel erstellen (nur Schlüsselspeicher)

So erstellen Sie einen Alias aus einem Zertifikat und einem Schlüssel:

  1. Rufen Sie die Seite „TLS-Schlüsselspeicher“ auf.
  2. Bewegen Sie den Mauszeiger auf den Schlüsselspeicher, um das Aktionsmenü aufzurufen, und klicken Sie auf +.
  3. Geben Sie den Aliasnamen an.
  4. Wählen Sie unter „Zertifikatsdetails“ im Drop-down-Menü „Typ“ die Option Zertifikat und Schlüssel aus.
  5. Klicken Sie neben Zertifikatsdatei auf Datei auswählen, suchen Sie die PEM-Datei mit dem Zertifikat und klicken Sie auf Öffnen.
  6. Wenn der Schlüssel ein Passwort hat, geben Sie das Schlüsselpasswort an. Wenn der Schlüssel kein Passwort hat, lassen Sie dieses Feld leer.
  7. Klicken Sie neben Schlüsseldatei auf Datei auswählen, suchen Sie die PEM-Datei mit dem Schlüssel und klicken Sie auf Öffnen.
  8. Standardmäßig prüft die API, ob das Zertifikat nicht abgelaufen ist. Optional können Sie Abgelaufenes Zertifikat zulassen auswählen, um die Validierung zu überspringen.
  9. Wählen Sie Speichern aus, um den Schlüssel und das Zertifikat hochzuladen und den Alias zu erstellen.

Alias aus einer PKCS12-/PFX-Datei erstellen (nur Keystore)

So erstellen Sie einen Alias aus einer PKCS12-Datei mit dem Zertifikat und dem Schlüssel:

  1. Rufen Sie die Seite „TLS-Schlüsselspeicher“ auf.
  2. Bewegen Sie den Mauszeiger auf den Schlüsselspeicher, um das Aktionsmenü aufzurufen, und klicken Sie auf +.
  3. Geben Sie den Aliasnamen an.
  4. Wählen Sie unter „Zertifikatsdetails“ im Drop-down-Menü „Typ“ die Option PKCS12/PFX aus.
  5. Klicken Sie neben PKCS12/PFX auf Datei auswählen, suchen Sie die Datei mit dem Schlüssel und dem Zertifikat und klicken Sie auf Öffnen.
  6. Wenn der Schlüssel ein Passwort hat, geben Sie das Passwort für die PKCS12-/PFX-Datei an. Wenn der Schlüssel kein Passwort hat, lassen Sie dieses Feld leer.
  7. Standardmäßig prüft die API, ob das Zertifikat nicht abgelaufen ist. Optional können Sie Abgelaufenes Zertifikat zulassen auswählen, um die Validierung zu überspringen.
  8. Wählen Sie Speichern aus, um die Datei hochzuladen und den Alias zu erstellen.

Alias aus einem selbst signierten Zertifikat erstellen (nur Schlüsselspeicher)

Wenn Sie einen Alias mit einem selbst signierten Zertifikat erstellen möchten, füllen Sie ein Formular mit den erforderlichen Informationen zum Erstellen des Zertifikats aus. Edge erstellt dann das Zertifikat und ein privates Schlüsselpaar und lädt sie auf den Alias hoch.

So erstellen Sie einen Alias aus einem selbst signierten Zertifikat:

  1. Rufen Sie die Seite „TLS-Schlüsselspeicher“ auf.
  2. Bewegen Sie den Mauszeiger auf den Schlüsselspeicher, um das Aktionsmenü aufzurufen, und klicken Sie auf +.
  3. Geben Sie den Aliasnamen an.
  4. Wählen Sie unter „Zertifikatdetails“ im Drop-down-Menü „Typ“ die Option Selbstsigniertes Zertifikat aus.
  5. Füllen Sie das Formular anhand der Tabelle unten aus.
  6. Wählen Sie Speichern aus, um das Zertifikat und das Schlüsselpaar zu erstellen und in den Alias hochzuladen.

Im generierten Zertifikat sind die folgenden zusätzlichen Felder zu sehen:

  • Aussteller
    Die Entität, die das Zertifikat signiert und ausgestellt hat. Bei einem selbst signierten Zertifikat ist dies die CN, die Sie beim Erstellen des Zertifikats angegeben haben.
  • Gültigkeit
    Die Gültigkeitsdauer des Zertifikats, dargestellt als zwei Datumsangaben: das Datum, an dem die Gültigkeit des Zertifikats beginnt, und das Datum, an dem die Gültigkeit des Zertifikats endet. Beide können als UTCTime- oder GeneralizedTime-Werte codiert werden.

In der folgenden Tabelle werden die Formularfelder beschrieben:

Formularfeld Beschreibung Standard Erforderlich
Aliasname Alias name. Die maximale Länge beträgt 128 Zeichen. Ja
Schlüsselgröße Größe des Schlüssels in Bits. Der Standard- und Höchstwert ist 2.048 Bit. 2048 Nein
Signaturalgorithmus Signaturalgorithmus zum Generieren des privaten Schlüssels. Gültige Werte sind „SHA512withRSA“, „SHA384withRSA“ und „SHA256withRSA“ (Standard). SHA256withRSA Nein
Gültigkeit des Zertifikats in Tagen Gültigkeitsdauer des Zertifikats in Tagen. Es wird ein positiver Wert ungleich Null akzeptiert. 365 Nein
Gemeinsamer Name Der Common Name (CN) der Organisation gibt die voll qualifizierten Domainnamen an, die mit dem Zertifikat verknüpft sind. Sie besteht in der Regel aus einem Host und einem Domainnamen. Beispiel: api.enterprise.apigee.com, www.apigee.com usw. Die maximale Länge beträgt 64 Zeichen.

Je nach Zertifikattyp kann der CN ein oder mehrere Hostnamen sein, die zu derselben Domain gehören (z.B. beispiel.de, www.beispiel.de), ein Platzhaltername (z.B. *.beispiel.de) oder eine Liste von Domains. Geben Sie kein Protokoll (http:// oder https://), keine Portnummer und keinen Ressourcenpfad an.

Das Zertifikat ist nur gültig, wenn der Hostname der Anfrage mit mindestens einem der gemeinsamen Namen des Zertifikats übereinstimmt.

 Ja
E-Mail E-Mail-Adresse. Die maximale Länge beträgt 255 Zeichen. Nein
Name der Organisationseinheit Name des Organisationsteams. Die maximale Länge beträgt 64 Zeichen. Nein
Name der Organisation Name der Organisation. Die maximale Länge beträgt 64 Zeichen. Nein
Ort Name der Stadt. Die maximale Länge beträgt 128 Zeichen. Nein
Bundesland Name des Bundeslandes/der Provinz. Die maximale Länge beträgt 128 Zeichen. Nein
Land Ländercode mit zwei Buchstaben. Beispiel: IN für Indien, US für USA. Nein
Alternative Namen Liste der alternativen Hostnamen. Ermöglicht das Binden zusätzlicher Identitäten an den Inhaber des Zertifikats. Zu den definierten Optionen gehören eine E-Mail-Adresse, ein DNS-Name, eine IP-Adresse und eine Uniform Resource Identifier (URI).

Maximal 255 Zeichen pro Wert. Sie können die Namen durch Kommas trennen oder nach jedem Namen die Eingabetaste drücken.

 Nein

Schlüsselspeicher oder Truststore testen

Sie können Ihren Truststore und Keystore in der Edge-Benutzeroberfläche testen, um sicherzustellen, dass sie richtig konfiguriert sind. Die Test-UI validiert eine TLS-Anfrage von Edge an einen Back-End-Dienst. Der Back-End-Dienst kann für uni- oder bilaterale TLS konfiguriert werden.

So testen Sie One-Way-TLS:

  1. Rufen Sie die Seite „TLS-Schlüsselspeicher“ auf.
  2. Wählen Sie die Umgebung aus (normalerweise prod oder test).
  3. Bewegen Sie den Mauszeiger auf den TLS-Schlüsselspeicher, den Sie testen möchten, um das Aktionsmenü aufzurufen, und klicken Sie auf Testen. Das folgende Dialogfeld mit dem Namen des Truststores wird angezeigt:
  4. Geben Sie den Hostnamen des Backend-Dienstes ein.
  5. Geben Sie die TLS-Portnummer ein (normalerweise 443).
  6. Optional können Sie Protokolle oder Chiffren angeben.
  7. Wählen Sie Testen aus.

So testen Sie die bidirektionale TLS-Verbindung:

  1. Klicken Sie für den gewünschten Truststore auf die Schaltfläche Testen.
  2. Wählen Sie im Dialogfeld für den SSL-Testtyp die Option Zwei-Wege aus. Das folgende Dialogfeld wird angezeigt:
  3. Geben Sie den Namen des Schlüsselspeichers an, der für die bidirektionale TLS-Verschlüsselung verwendet wird.
  4. Geben Sie den Aliasnamen im Schlüsselspeicher an, der das Zertifikat und den Schlüssel enthält.
  5. Geben Sie den Hostnamen des Backend-Dienstes ein.
  6. Geben Sie die TLS-Portnummer ein (normalerweise 443).
  7. Optional können Sie Protokolle oder Chiffren angeben.
  8. Wählen Sie Testen aus.

Einem Truststore ein Zertifikat für die bidirektionale TLS-Verschlüsselung hinzufügen

Wenn Sie Zwei-Wege-TLS für eingehende Verbindungen verwenden, also für eine API-Anfrage an Edge, enthält der Truststore ein Zertifikat oder eine CA-Kette für jeden Client, der Anfragen an Edge senden darf.

Wenn Sie den Truststore zum ersten Mal konfigurieren, können Sie alle Zertifikate für die bekannten Clients hinzufügen. Im Laufe der Zeit möchten Sie dem Truststore jedoch möglicherweise zusätzliche Zertifikate hinzufügen, wenn Sie neue Clients hinzufügen.

So fügen Sie einem Truststore, der für die bidirektionale TLS-Verschlüsselung verwendet wird, neue Zertifikate hinzu:

  1. Achten Sie darauf, dass Sie im virtuellen Host einen Verweis auf den Truststore verwenden.
  2. Laden Sie wie oben unter Alias aus einem Zertifikat erstellen (nur Truststore) beschrieben ein neues Zertifikat in den Truststore hoch.

  3. Aktualisieren Sie die Truststore-Referenz, um den gleichen Wert festzulegen. Durch dieses Update werden der Truststore und das neue Zertifikat in Edge neu geladen.

    Weitere Informationen finden Sie unter Referenzen ändern.

Schlüsselspeicher/Truststore oder Alias löschen

Seien Sie vorsichtig, wenn Sie einen Schlüsselspeicher/Truststore oder Alias löschen. Wenn Sie einen Schlüsselspeicher, einen Truststore oder einen Alias löschen, der von einem virtuellen Host, einem Zielendpunkt oder einem Zielserver verwendet wird, schlagen alle API-Aufrufe über den virtuellen Host oder Zielendpunkt/Zielserver fehl.

So löschen Sie in der Regel einen Schlüsselspeicher/Truststore oder Alias:

  1. Erstellen Sie wie oben beschrieben einen neuen Schlüsselspeicher, Truststore oder Alias.
  2. Aktualisieren Sie für eingehende Verbindungen, also API-Anfragen an Edge, die Konfiguration des virtuellen Hosts, damit sie auf den neuen Schlüsselspeicher und den neuen Schlüsselalias verweist.
  3. Für ausgehende Verbindungen, also von Apigee zu einem Backend-Server:
    1. Aktualisieren Sie die TargetEndpoint-Konfiguration für alle API-Proxys, die auf den alten Schlüsselspeicher und den alten Schlüsselalias verwiesen haben, sodass sie auf den neuen Schlüsselspeicher und den neuen Schlüsselalias verweisen. Wenn Ihr TargetEndpoint auf einen TargetServer verweist, aktualisieren Sie die TargetServer-Definition, um auf den neuen Schlüsselspeicher und den neuen Schlüsselalias zu verweisen.
    2. Wenn auf den Schlüsselspeicher und den Truststore direkt über die TargetEndpoint-Definition verwiesen wird, müssen Sie den Proxy neu bereitstellen. Wenn der TargetEndpoint auf eine TargetServer-Definition verweist und die TargetServer-Definition auf den Keystore und den Truststore verweist, ist keine Neubereitstellung des Proxys erforderlich.
  4. Prüfen Sie, ob Ihre API-Proxys ordnungsgemäß funktionieren.
  5. Löschen Sie den Schlüsselspeicher/Truststore oder Alias.

Schlüsselspeicher löschen

Sie können einen Schlüsselspeicher oder einen Vertrauensspeicher löschen, indem Sie den Mauszeiger in der Liste auf den Schlüsselspeicher oder den Vertrauensspeicher bewegen, um das Aktionsmenü aufzurufen, und auf  klicken. Wenn Sie einen Schlüsselspeicher oder Truststore löschen, der von einem virtuellen Host oder einem Zielendpunkt/Zielserver verwendet wird, schlagen alle API-Aufrufe über den virtuellen Host oder Zielendpunkt/Zielserver fehl.

Achtung: Sie sollten einen Schlüsselspeicher erst löschen, nachdem Sie Ihre virtuellen Hosts und Zielendpunkte/Zielserver auf die Verwendung eines neuen Schlüsselspeichers umgestellt haben.

Alias löschen

Sie können einen Alias löschen, indem Sie den Mauszeiger in der Liste auf den Alias bewegen, um das Aktionsmenü aufzurufen, und auf  klicken. Wenn Sie einen Alias löschen, der von einem virtuellen Host oder Zielendpunkt/Zielserver verwendet wird, schlagen alle API-Aufrufe über den virtuellen Host oder Zielendpunkt/Zielserver fehl.

Achtung: Sie sollten einen Alias erst löschen, wenn Sie Ihre virtuellen Hosts und Zielendpunkte/Zielserver so konvertiert haben, dass sie einen neuen Keystore und Alias verwenden.