Edge kullanıcı arayüzünü kullanarak anahtar depoları ve güven deposu oluşturma

Apigee Edge belgelerini görüntülüyorsunuz.
. Git: Apigee X belgeleri. bilgi

Bu dokümanda, Edge için anahtar depolarının ve güven depolarının nasıl oluşturulacağı, değiştirileceği ve silineceği açıklanmaktadır .

Edge Cloud için anahtar depoları/truststore'lar ve sanal ana makineler hakkında

Edge Cloud için anahtar depoları/trust depoları oluşturma sürecinde sanal ana makinelerin kullanımıyla ilgili kuralları gözden geçirin. Örneğin, Cloud'daki sanal ana makinelerde:

  • Sanal ana makineler TLS kullanmalıdır.
  • Sanal ana makineler yalnızca 443 numaralı bağlantı noktasını kullanabilir.
  • İmzalanmış bir TLS sertifikası kullanmalısınız. İmzalanmamış sertifikaların Cloud'da sanal ana makinelerle kullanılmasına izin verilmez.
  • TLS sertifikasında belirtilen alan adı, sanal ana makinenin ana makine takma adıyla eşleşmelidir.

Daha fazla bilgi:

Anahtar depoları ve güven depolarını uygulama Kenar

TLS gibi ortak anahtar altyapısına dayanan işlevleri yapılandırmak için gerekli anahtarları ve dijital sertifikaları içeren anahtar depoları ve güven depoları oluşturmalıdır.

Edge'de anahtar depoları ve güven depoları anahtar deposu varlığıyla temsil edilir. Bir veya daha fazla takma ad içeren içerikler Yani, iki hafta içinde ve Edge'deki bir güven deposu arasında geçiş yapar.

Anahtar depoları ve güven deposu arasındaki fark, kullanılabilecek giriş türlerinden türetilir. bunların TLS el sıkışmasında nasıl kullanıldığını öğrenin:

  • anahtar deposu - bir veya daha fazla anahtar deposu içeren anahtar deposu varlığı takma adlar: Her takma ad, bir sertifika/anahtar çifti içerir.
  • güven deposu - bir veya daha fazla öğe içeren anahtar deposu varlığı takma adlar: Her takma ad yalnızca bir sertifika içerir.

Sanal ana makine veya hedef uç nokta için TLS yapılandırılırken, anahtar depoları ve güven depoları farklı roller üstlenmeye başladı. Sanal ana makine veya hedef yapılandırırken anahtar depolarını ve güven depolarını <SSLInfo> içinde ayrı ayrı belirtirsiniz. etiketini kullanabilirsiniz:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>false</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
    </SSLInfo>
</VirtualHost>

Bu örnekte, sanal ana makine tarafından TLS anahtar deposu. Anahtar deposu adını değiştirebilmeniz için bu adı belirtmek üzere bir referans kullanırsınız sertifikanın geçerliliği sona erdiğinde. Takma ad, sanal ana makineyi tanımlamak için kullanılan bir sertifika/anahtar çifti içerir sanal ana makineye erişen bir TLS istemcisine gönderir. Bu örnekte güven deposu yoktur gereklidir.

Bir güven deposu gerekiyorsa, örneğin 2 yönlü bir TLS yapılandırması için Truststore'u belirtmek için <TrustStore> etiketi:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>true</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
        <TrustStore>ref://truststoreref</TrustStore>
    </SSLInfo>
</VirtualHost>

Bu örnekte, <TrustStore> etiketi yalnızca bir anahtar deposuna referans verir ve belirli bir takma ad belirtmemelidir. Anahtar deposundaki her takma ad, anahtar deposundaki bir sertifika veya sertifika zinciri TLS el sıkışma sürecinin bir parçası olarak kullanılır.

Desteklenen sertifika biçimleri

Biçim API ve kullanıcı arayüzü yüklemesi desteklenir Kuzeye giden desteklenir Doğrulandı
PEM Evet Evet Evet
* PKCS12 Evet Evet Evet
Not: Apigee, PKCS12'yi dahili olarak
PEM'ye dönüştürür.
* AY Hayır Hayır Evet
* PKCS7 Hayır Hayır Hayır

* Mümkünse PEM kullanmanızı öneririz.

Takma ad uygulama hakkında

Edge'de anahtar deposu bir veya daha fazla takma ad içerir. Bu takma adların her biri takma ad şunu içerir:

  • PEM veya PKCS12/PFX dosyası olarak TLS sertifikası (sertifika tarafından imzalanmış bir sertifika) yetkili (CA), son sertifikanın imzalandığı bir sertifika zinciri içeren bir dosya bir CA veya kendinden imzalı bir sertifika tarafından sağlanır.
  • PEM veya PKCS12/PFX dosyası olarak özel anahtar. Edge, 2.048 bite kadar anahtar boyutlarını destekler. CEVAP parola isteğe bağlıdır.

Edge'de truststore bir veya daha fazla takma ad içerir her takma ad bir şunları içerir:

  • PEM dosyası olarak TLS sertifikası (bir sertifika yetkilisi tarafından imzalanmış bir sertifika) (CA), son sertifikanın bir CA tarafından imzalandığı bir sertifika zinciri veya kendinden imzalı bir sertifika sertifikası.

Edge; anahtar depoları oluşturmak, takma adlar oluşturmak ve sertifika/anahtar yüklemek için kullanabileceğiniz bir kullanıcı arayüzü ve API sağlar eşlemeleri ve sertifikaları güncelleyin. Truststore oluşturmak için kullandığınız kullanıcı arayüzü ve API bir anahtar deposu oluşturmak için kullanabilirsiniz. Aralarındaki fark, güven deposu oluşturduğunuzda takma adlar oluşturmanız ve yer alır.

Sertifikanın ve anahtarın biçimi hakkında dosyalar

Sertifikaları ve anahtarları PEM dosyaları veya PKCS12/PFX dosyaları olarak temsil edebilirsiniz. PEM dosyaları şunlara uygundur: X.509 biçimini kullanın. Sertifikanız veya gizli anahtarınız bir PEM dosyası tarafından tanımlanmamışsa openssl gibi yardımcı programları kullanarak bir PEM dosyası oluşturabilirsiniz.

Ancak birçok .crt dosyası ve .key dosyası zaten PEM biçimindedir. Bu dosyalar metin biçimindeyse ve aşağıdakilerin içine eklenir:

-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----

veya:

-----BEGIN ENCRYPTED PRIVATE KEY-----
-----END ENCRYPTED PRIVATE KEY-----

Bu durumda dosyalar PEM biçimiyle uyumlu olduğundan bunları bir anahtar deposunda veya bir anahtar deposunda kullanabilirsiniz güven deposunu kullanarak, PEM dosyasına dönüştürmeyin.

Sertifika zincirleri hakkında

Bir sertifika bir zincirin parçasıysa bunu, sertifikanın anahtar deposunda veya güven deposunda

  • Anahtar deposu: Sertifika, bir zincirin parçasıysa tüm anahtar kelimelerini içeren tek bir dosya tercih edebilirsiniz. Sertifikaların sıralı olması ve son sertifikanın bir root olması gerekir veya kök sertifika tarafından imzalanmış bir ara sertifika içerir.
  • Truststore: Sertifika, bir zincirin parçasıysa tek bir dosya oluşturmanız gerekir ve bu dosyayı bir takma ada yüklemeli ya da zincirdeki tüm sertifikaları yüklemelidir. takma ad kullanarak güven deposuna ayrı olarak yükleyebilirsiniz. Bunları bir veya bir kök sertifika ya da yeni bir sertifika varsa, sertifikaların sıralı olması ve bir kök sertifika tarafından imzalanmış ara sertifika.
  • Birden fazla sertifika içeren tek bir dosya oluşturursanız boş bir satır eklemeniz gerekir arasında geçiş yapıyor.

Örneğin, tüm sertifikaları tek bir PEM dosyasında birleştirebilirsiniz. Sertifikaların sipariş ve son sertifika, bir kök sertifika ya da bir kök tarafından imzalanmış bir ara sertifika olmalıdır sertifika:

-----BEGIN CERTIFICATE----- 
(Your Primary TLS certificate) 
-----END CERTIFICATE----- 

-----BEGIN CERTIFICATE----- 
(Intermediate certificate) 
-----END CERTIFICATE-----
 
-----BEGIN CERTIFICATE----- 
(Root certificate or intermediate certificate signed by a root certificate) 
-----END CERTIFICATE-----

Sertifikalarınız PKCS12/PFX dosyaları olarak temsil ediliyorsa openssl komutuna ekleyerek aşağıdaki gibi sertifika zincirinden bir PKCS12/PFX dosyası oluşturun:

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

Bir güven deposundaki sertifika zincirleriyle çalışırken, her zaman tüm sertifikaları yüklemeniz gerekmez. her şeyi kapsıyor. Örneğin, bir istemci sertifikası, client_cert_1 ve istemci sertifikasını verenin sertifikası (ca_cert).

İki yönlü TLS kimlik doğrulaması sırasında sunucu, client_cert_1, TLS el sıkışma sürecinin bir parçası olarak istemciye gönderilir.

Alternatif olarak, aynı sertifikayla imzalanmış client_cert_2 adlı ikinci bir sertifikanız daha vardır. ca_cert. Ancak client_cert_2 dosyasını güven deposuna yüklemezsiniz. Truststore hâlâ yalnızca client_cert_1 ve ca_cert içeriyor.

Sunucu, TLS el sıkışmasının parçası olarak client_cert_2 öğesini ilettiğinde istek yardımcı olur. Bunun nedeni, Edge'in client_cert_2 olduğunda TLS doğrulamasının başarılı olmasına izin vermesidir güven deposunda yoktur, ancak güven deposunda bulunan bir sertifika tarafından imzalanmıştır. Eğer CA sertifikasını (ca_cert) Trustedstore'dan kaldırıp TLS doğrulamasını başarısız olur.

TLS Anahtar Depoları sayfasını keşfetme

Aşağıda açıklandığı şekilde TLS Anahtar Depoları sayfasına erişin.

Edge

Edge kullanıcı arayüzünü kullanarak TLS Anahtar Depoları sayfasına erişmek için:

  1. https://apigee.com/edge adresinde kuruluş yöneticisi olarak oturum açın.
  2. Kuruluşunuzu seçin.
  3. Yönetici > Ortam > TLS Anahtar Depoları.

Klasik Edge (Private Cloud)

Klasik Edge kullanıcı arayüzünü kullanarak TLS Anahtar Depoları sayfasına erişmek için:

  1. http://ms-ip:9000 uygulamasında kuruluş yöneticisi olarak oturum açın. Burada ms-ip, Yönetim Sunucusu düğümünün IP adresi veya DNS adı.
  2. Kuruluşunuzu seçin.
  3. Yönetici > Ortam Yapılandırması > TLS Anahtar Depoları.

TLS Anahtar Depoları sayfası görüntülenir:

Önceki şekilde vurgulandığı gibi, TLS Anahtar Depoları sayfası aşağıdakileri yapmanızı sağlar:

ziyaret edin.

Takma adı görüntüleme

Bir takma adı görüntülemek için:

  1. TLS Anahtar Depoları sayfasına erişin.
  2. Ortamı seçin (genellikle prod veya test).
  3. Görüntülemek istediğiniz takma adla ilişkili satırı tıklayın.

    Takma ad sertifikası ve anahtarıyla ilgili ayrıntılar gösterilir.
    .
    Takma adla ilgili, geçerlilik bitiş tarihi de dahil olmak üzere tüm bilgileri görebilirsiniz.

  4. Sayfanın en üstündeki düğmeleri kullanarak sertifikayı yöneterek:
    • Sertifikayı PEM dosyası olarak indirin.
    • CSR oluşturun. Süresi dolmuş bir sertifikanızı yenilemek istiyorsanız [Sertifika İmzalama İsteği (CSR)]. Ardından, yeni bir müşteri kimliği almak için CSR'yi sertifikası.
    • Sertifika güncelleme. Dikkat: Aynı durumdaki bir sertifikayı güncellerseniz bir sanal ana makine veya hedef sunucu/hedef uç noktası tarafından kullanılıyorsa Yönlendiricileri ve Mesaj İşlemcilerini yeniden başlatmak için Apigee Edge Destek Ekibi ile iletişime geçin. Bir sertifika:
      1. Yeni bir anahtar deposu veya güven deposu oluşturun.
      2. Yeni sertifikayı yeni anahtar deposuna veya güven deposuna ekleyin.
      3. Sanal ana makinede referansı güncelleyin veya hedef sunucu/hedef uç noktasını anahtar deposu veya güven deposu. Bkz. Daha fazlası için Cloud için bir TLS sertifikası güncelleyin.
      4. Takma adı silin. Not: Bir takma adı sildiğinizde bir sanal ana makine veya hedef uç nokta tarafından kullanılıyorsa sanal ana makine ya da başarısız olur.

Anahtar deposu/güven deposu ve takma ad oluşturma

TLS anahtar deposu veya TLS güven deposu olarak kullanmak üzere bir anahtar deposu oluşturabilirsiniz. Anahtar deposu kuruluşunuzdaki bir ortama (ör. test veya üretim ortamı) özgüdür. Bu nedenle, anahtar deposunu alanınıza dağıtmadan önce bir test ortamında test etmek isterseniz bunu her iki ortamda da oluşturmanız gerekir.

Bir ortamda anahtar deposu oluşturmak için yalnızca anahtar deposu adını belirtmeniz gerekir. Siz bir ortamda adlandırılmış anahtar deposu oluşturduktan sonra, takma adlar oluşturabilir ve bir sertifika/anahtar çifti yükleyebilirsiniz (anahtar deposu) veya takma ada yalnızca sertifika (truststore) yükleyin.

Anahtar deposu oluşturmak için:

  1. TLS Anahtar Depoları sayfasına erişin.
  2. Ortamı seçin (genellikle prod veya test).
  3. + Anahtar Deposu'nu tıklayın.
  4. Anahtar deposu adını belirtin. Ad yalnızca alfanümerik karakterler içerebilir.
  5. Anahtar Deposu Ekle'yi tıklayın. Yeni anahtar deposu listede görünür.
  6. Takma ad eklemek için aşağıdaki prosedürlerden birini uygulayın. Şu kaynakları da inceleyin Desteklenen sertifika dosyası biçimleri.

Sertifikadan takma ad oluşturma (güvenilir mağaza) )

Bir sertifikadan takma ad oluşturmak için:

  1. TLS Anahtar Depoları sayfasına erişin.
  2. İşlem menüsünü görüntülemek için imleci anahtar deposunun üzerine getirin ve + işaretini tıklayın.
  3. Takma Ad'ı belirtin.
  4. Certificate details (Sertifika ayrıntıları) bölümünde, Type (Tür) açılır menüsünden Certificate Only'yi (Yalnızca Sertifika) seçin.
  5. Sertifika Dosyası'nın yanındaki Dosya Seç'i tıklayın, ardından Sertifikayı içeren PEM dosyasını açıp 'ı tıklayın.
  6. API, varsayılan olarak sertifika süresinin dolup dolmadığını kontrol eder. İsteğe bağlı olarak Doğrulamayı atlamak için Süresi Dolan Sertifikaya İzin Ver'i seçin.
  7. Sertifikayı yüklemek ve takma adı oluşturmak için Kaydet'i seçin.

JAR dosyasından takma ad oluşturma (yalnızca anahtar deposu)

JAR dosyasından takma ad oluşturmak için:

  1. TLS Anahtar Depoları sayfasına erişin.
  2. İşlem menüsünü görüntülemek için imleci anahtar deposunun üzerine getirin ve + işaretini tıklayın.
  3. Takma Ad'ı belirtin.
  4. Certificate details (Sertifika ayrıntıları) bölümünde Type (Tür) açılır menüsünden JAR File'ı (JAR Dosyası) seçin.
  5. JAR Dosyası'nın yanındaki Dosya Seç'i tıklayın, sertifikayı ve anahtarı içeren JAR dosyasına gidip 'ı tıklayın.
  6. Anahtarda şifre varsa Şifre'yi belirtin. anahtarda bu alanı boş bırakın.
  7. API, varsayılan olarak sertifika süresinin dolup dolmadığını kontrol eder. İsteğe bağlı olarak Doğrulamayı atlamak için Süresi Dolan Sertifikaya İzin Ver'i seçin.
  8. Anahtarı ve sertifikayı yükleyip takma adı oluşturmak için Kaydet'i seçin.

Sertifikadan takma ad oluşturarak ve anahtar (yalnızca anahtar deposu)

Sertifikadan ve anahtardan takma ad oluşturmak için:

  1. TLS Anahtar Depoları sayfasına erişin.
  2. İşlem menüsünü görüntülemek için imleci anahtar deposunun üzerine getirin ve + işaretini tıklayın.
  3. Takma Ad'ı belirtin.
  4. Sertifika ayrıntıları bölümünde, Tür açılır menüsünden Sertifika ve Anahtar'ı seçin.
  5. Certificate File'ın (Sertifika Dosyası) yanındaki Choose File'ı (Dosya Seç) tıklayın, sertifikayı içeren PEM dosyasına gidin ve Open'ı (Aç) tıklayın.
  6. Anahtarda şifre varsa Anahtar Şifresi'ni belirtin. anahtarda bu alanı boş bırakın.
  7. Anahtar Dosyası'nın yanındaki Dosya Seç'i tıklayın, anahtarı içeren PEM dosyasına gidin ve 'ı tıklayın.
  8. API, varsayılan olarak sertifika süresinin dolup dolmadığını kontrol eder. İsteğe bağlı olarak Doğrulamayı atlamak için Süresi Dolan Sertifikaya İzin Ver'i seçin.
  9. Anahtarı ve sertifikayı yükleyip takma adı oluşturmak için Kaydet'i seçin.

Bir PKCS12/PFX dosyası (yalnızca anahtar deposu)

Sertifikayı ve anahtarı içeren bir PKCS12 dosyasından takma ad oluşturmak için:

  1. TLS Anahtar Depoları sayfasına erişin.
  2. İşlem menüsünü görüntülemek için imleci anahtar deposunun üzerine getirin ve + işaretini tıklayın.
  3. Takma Ad'ı belirtin.
  4. Sertifika ayrıntıları altındaki Tür açılır menüsünden PKCS12/PFX'i seçin.
  5. PKCS12/PFX'in yanındaki Dosya Seç'i tıklayıp anahtarı ve sertifikayı içeren dosyayı seçip 'ı tıklayın.
  6. Anahtarda şifre varsa PKCS12/PFX dosyası için Password (Şifre) değerini belirtin. Anahtarın şifresi yoksa bu alanı boş bırakın.
  7. API, varsayılan olarak sertifika süresinin dolup dolmadığını kontrol eder. İsteğe bağlı olarak Doğrulamayı atlamak için Süresi Dolan Sertifikaya İzin Ver'i seçin.
  8. Dosyayı yüklemek ve takma adı oluşturmak için Kaydet'i seçin.

Bir kendinden imzalı sertifika (yalnızca anahtar deposu)

Kendinden imzalı sertifika kullanan bir takma ad oluşturmak için gerekli bilgileri içeren bir form Sertifikayı oluşturmak için gereken bilgiler. Edge daha sonra sertifikayı ve özel anahtar çiftini oluşturur. bunları takma ada yükler.

Kendinden imzalı bir sertifikadan takma ad oluşturmak için:

  1. TLS Anahtar Depoları sayfasına erişin.
  2. İşlem menüsünü görüntülemek için imleci anahtar deposunun üzerine getirin ve + işaretini tıklayın.
  3. Takma Ad'ı belirtin.
  4. Sertifika ayrıntıları bölümünde, Tür açılır menüsünden Kendinden İmzalı Sertifika'yı seçin.
  5. Aşağıdaki tabloyu kullanarak formu doldurun.
  6. Sertifika ve özel anahtar çiftini oluşturmak ve bunları şuraya yüklemek için Kaydet'i seçin: takma addır.

Oluşturulan sertifikada aşağıdaki ek alanları görürsünüz:

  • Düzenleyen
    Sertifikayı imzalayan ve yayınlayan tüzel kişi. Kendinden imzalı sertifikalar için Sertifikayı oluştururken belirttiğiniz CN.
  • Geçerlilik
    Sertifika geçerlilik süresi iki tarihle gösterilir: Sertifikanın geçerlilik süresinin başladığı ve sertifika geçerlilik süresinin sona erdiği tarihi gösterir. Her ikisi de UTCTime veya GeneralizedTime değerleri olarak kodlanır.

Aşağıdaki tabloda form alanları açıklanmaktadır:

Form Alanı Açıklama Varsayılan Zorunlu
Takma Ad Takma ad. Maksimum uzunluk 128 karakterdir. Yok Evet
Anahtar Boyutu Anahtarın bit cinsinden boyutu. Varsayılan ve maksimum değer 2048 bit'tir. 2048 Hayır
İmza Algoritması Özel anahtar oluşturmak için imza algoritması. Geçerli değerler "SHA512withRSA", "RSA ile SHA384" ve "SHA256withRSA" (varsayılan). RSA ile SHA256 Hayır
Sertifika geçerlilik süresi (gün) Sertifikanın gün cinsinden geçerlilik süresi. Sıfır olmayan pozitif değer kabul eder. 365 Hayır
Ortak Ad Kuruluşun Ortak Adı (CN), tam nitelikli alan adlarını tanımlar sertifikayla ilişkilidir. Genellikle bir barındırıcı ve alan adından oluşur. Örneğin, api.enterprise.boole.com, www.Apigee.com vb. Maksimum uzunluk 64 karakterdir.

Sertifika türüne bağlı olarak CN, aynı alana ait bir veya daha fazla ana makine adı (ör. example.com, www.example.com), joker karakterli ad (ör. *.example.com) veya alan adları listesi. Şunları yapmayın: herhangi bir protokol (http:// veya https://), bağlantı noktası numarası veya kaynak yolu ekleyin.

Sertifika yalnızca istek ana makine adı izin verir.

 Yok Evet
E-posta E-posta adresi. Maksimum uzunluk 255 karakterdir. Yok Hayır
Kuruluş Birimi Adı Kuruluş ekibinin adı. Maksimum uzunluk 64 karakterdir. Yok Hayır
Kuruluş Adı Kuruluş adı. Maksimum uzunluk 64 karakterdir. Yok Hayır
Konum Şehir/Kasaba adı. Maksimum uzunluk 128 karakterdir. Yok Hayır
Eyalet/İl Eyalet/İl adı. Maksimum uzunluk 128 karakterdir. Yok Hayır
Ülke İki harfli ülke kodu. Örneğin, Hindistan için IN, Amerika Birleşik Devletleri için ABD. Yok Hayır
Alternatif adlar Alternatif ana makine adlarının listesi. Ek kimliklerin konuya bağlanmasına izin verir olabilir. Tanımlanan seçenekler arasında internet elektronik posta adresi, DNS ad, IP adresi ve tek tip kaynak tanımlayıcısı (URI) içermelidir.

Her değer için en fazla 255 karakter. Adları virgülle ayırabilir veya Enter tuşuna basın.

 Yok Hayır

Bir anahtar deposunu veya güven deposunu test etme

Yapılandırıldıklarını doğrulamak için güven deponuzu ve anahtar deponuzu Edge kullanıcı arayüzünde test edebilirsiniz. gerekir. Test Kullanıcı Arayüzü, Edge'den bir arka uç hizmetine gönderilen TLS isteğini doğrular. Arka uç hizmeti tek yönlü veya iki yönlü TLS'yi destekleyecek şekilde yapılandırılabilir.

Tek yönlü TLS'yi test etmek için:

  1. TLS Anahtar Depoları sayfasına erişin.
  2. Ortamı seçin (genellikle prod veya test).
  3. İşlemler menüsünü görüntülemek için imlecinizi test etmek istediğiniz TLS anahtar deposunun üzerine getirin ve Test et'i tıklayın. Aşağıdaki iletişim kutusu güven deposunun adını gösteren kutu görünür:
  4. Arka uç hizmetinin ana makine adını girin.
  5. TLS bağlantı noktası numarasını girin (genellikle 443).
  6. İsteğe bağlı olarak Protokolleri veya Şifreleri belirtin.
  7. Test et'i seçin.

İki yönlü TLS'yi test etmek için:

  1. İstediğiniz güven deposu için Test et düğmesini seçin.
  2. İletişim kutusunda SSL Test Türü olarak İki Yönlü'yü seçin. Aşağıdaki iletişim kutusu görünür:
  3. İki yönlü TLS'de kullanılan anahtar deposunun adını belirtin.
  4. Sertifikayı ve anahtarı içeren anahtar deposunda takma ad adını belirtin.
  5. Arka uç hizmetinin ana makine adını girin.
  6. TLS bağlantı noktası numarasını girin (genellikle 443).
  7. İsteğe bağlı olarak Protokolleri veya Şifreleri belirtin.
  8. Test et'i seçin.

İki yönlü TLS için güven deposuna sertifika ekleme

Gelen bağlantılar için iki yönlü TLS (Edge'ye iletilen bir API isteği) kullanırken güven deposu, Edge'e istek göndermesine izin verilen her istemci için bir sertifika veya CA zinciri içerir.

Truststore'u ilk kez yapılandırdığınızda, bilinen istemcilerin tüm sertifikalarını ekleyebilirsiniz. Ancak, zaman içinde yeni istemciler ekledikçe güven deposuna başka sertifikalar eklemek isteyebilirsiniz.

İki yönlü TLS için kullanılan bir güven deposuna yeni sertifikalar eklemek için:

  1. Sanal ana makinede güven deposuna yönelik bir referans kullandığınızdan emin olun.
  2. Truststore'a yeni bir sertifika yüklemek için yukarıdaki Sertifikadan takma ad oluşturma (yalnızca güvenilir sertifika).

  3. Truststore referansını aynı değere ayarlayacak şekilde güncelleyin. Bu güncelleme, Edge'in güven deposunu ve yeni sertifikayı yeniden yüklemesine neden olur.

    Daha fazla bilgi için Referansta değişiklik yapma başlıklı makaleyi inceleyin.

Anahtar deposunu/güven deposunu veya takma adı silme

Bir anahtar deposunu/güvenilir depoyu veya takma adı silerken dikkatli olmanız gerekir. Bir anahtar deposunu silerseniz güven deposu veya sanal ana makine, hedef uç nokta ya da hedef sunucu tarafından kullanılan takma ad, Sanal ana makine veya hedef uç nokta/hedef sunucu üzerinden yapılan API çağrıları başarısız olur.

Bir anahtar deposunu/güvenilir depoyu veya takma adı silmek için kullandığınız işlem genellikle şu şekildedir:

  1. Yukarıda açıklandığı şekilde yeni bir anahtar deposu/güven deposu veya takma ad oluşturun.
  2. Gelen bağlantılar için (Edge'ye iletilen bir API isteği) sanal ana makine yapılandırmasını kullanabilir.
  3. Giden bağlantılar için, yani Apigee'den arka uç sunucusuna:
    1. Eski anahtar deposunu ve anahtar takma adını kullanır. TargetEndpoint bir TargetServer'a referans veriyorsa TargetServer tanımını yeni anahtar deposuna referans verecek şekilde güncelleyin. ve anahtar takma adı.
    2. Anahtar deposuna ve güven deposuna doğrudan TargetEndpoint'ten başvuruluyorsa proxy'yi yeniden dağıtmanız gerekir. TargetEndpoint, bir TargetServer tanımı ise; TargetServer tanımı ise, anahtar deposuna ve güven deposu varsa proxy'nin yeniden dağıtımı gerekmez.
  4. API proxy'lerinizin düzgün şekilde çalıştığını doğrulayın.
  5. Anahtar deposunu/güven deposunu veya takma adı silin.

Anahtar deposu silme

İşlemleri görüntülemek için imlecinizi listedeki anahtar deposunun veya güvenilir kişinin üzerine getirerek bir anahtar deposunu veya güven deposunu silebilirsiniz. Menü'yü açıp 'i tıklayın. Çalışmakta olan bir anahtar deposunu veya güven deposunu silerseniz sanal ana makine veya hedef uç nokta/hedef sunucu tarafından kullanılır; sanal ana makine üzerinden yapılan tüm API çağrıları veya hedef uç nokta/hedef sunucu başarısız olur.

Dikkat: Anahtarınızı dönüştürene kadar anahtar deposunu silmemeniz gerekir. sanal ana makineler ve hedef uç noktalar/hedef sunucuları yeni bir anahtar deposu kullanacak şekilde güncelleyin.

Takma adı silme

Bir takma adı silmek için imlecinizi listedeki takma adın üzerine getirerek işlemleri görüntüleyebilirsiniz. Menü'yü açıp 'i tıklayın. Sanal ana makine tarafından kullanılan bir takma adı silerseniz veya hedef uç nokta/hedef sunucu, sanal ana makine veya hedef uç nokta/hedef üzerinden tüm API çağrıları başarısız olur.

Dikkat: Sanal takma adınızı dönüştürene kadar bir takma adı silmemeniz gerekir. ana makineleri ve hedef uç noktaları/hedef sunucuları yeni bir anahtar deposu ile takma ad kullanacak şekilde güncelleyin.