Schlüsselspeicher und Truststore mithilfe der Edge-Benutzeroberfläche erstellen

<ph type="x-smartling-placeholder"></ph> Sie sehen die Dokumentation zu Apigee Edge.
Gehen Sie zur Apigee X-Dokumentation. Weitere Informationen

In diesem Dokument wird beschrieben, wie Sie Schlüsselspeicher und Truststores für Edge erstellen, ändern und löschen. für die Cloud und für Edge ab Version 4.18.01 der privaten Cloud.

Informationen zu Schlüsselspeichern/Truststores und virtuellen Hosts für Edge Cloud

Zum Erstellen von Schlüsselspeichern/Truststores für Edge Cloud müssen Sie alle zur Verwendung virtueller Hosts. Zum Beispiel mit virtuellen Hosts in der Cloud:

  • Virtuelle Hosts müssen TLS verwenden.
  • Virtuelle Hosts können nur Port 443 verwenden.
  • Sie müssen ein signiertes TLS-Zertifikat verwenden. Nicht signierte Zertifikate sind für die Verwendung mit virtuellen Hosts in der Cloud nicht zulässig.
  • Der im TLS-Zertifikat angegebene Domainname muss mit dem Hostalias des virtuellen Hosts übereinstimmen.

Weitere Informationen:

Die Implementierung von Schlüsselspeichern und Truststores in Rand

Um Funktionen zu konfigurieren, die auf einer Public-Key-Infrastruktur wie TLS beruhen, müssen Sie Erstellen von Schlüsselspeichern und Truststores, die die erforderlichen Schlüssel und digitalen Zertifikate enthalten.

In Edge werden Schlüsselspeicher und Truststores beide durch eine keystore-Entität dargestellt. die einen oder mehrere Aliasse enthalten. Das heißt, es gibt keinen Implementierungsunterschied. zwischen einem Schlüsselspeicher und einem Truststore in Edge.

Der Unterschied zwischen Schlüsselspeichern und Truststore wird anhand der Arten von Einträgen abgeleitet, die sie enthalten und wie sie in TLS-Handshakes verwendet werden:

  • keystore – keystore-Entität, die mindestens einen enthält. aliases, wobei jeder Alias ein Zertifikat/Schlüssel-Paar enthält.
  • Truststore – eine keystore-Entität, die ein oder mehrere Elemente enthält. aliases, wobei jeder Alias nur ein Zertifikat enthält.

Beim Konfigurieren von TLS für einen virtuellen Host oder Zielendpunkt bieten Schlüsselspeicher und Truststores verschiedenen Rollen im TLS-Handshakeprozess. Beim Konfigurieren eines virtuellen Hosts oder Ziels Endpunkt müssen Sie Schlüsselspeicher und Truststores separat in der <SSLInfo> angeben. wie unten für einen virtuellen Host angegeben:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>false</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
    </SSLInfo>
</VirtualHost>

In diesem Beispiel geben Sie den Namen des Schlüsselspeichers und das Alias an, die vom virtuellen Host für dessen TLS-Schlüsselspeicher. Sie verwenden eine Referenz, um den Schlüsselspeichernamen anzugeben, damit Sie ihn ändern können. wenn das Zertifikat abläuft. Der Alias enthält ein Zertifikat/Schlüsselpaar, mit dem der virtuelle Host identifiziert wird. mit einem TLS-Client, der auf den virtuellen Host zugreift. In diesem Beispiel gibt es keinen Truststore erforderlich.

Wenn ein Truststore erforderlich ist, z. B. für eine bidirektionale TLS-Konfiguration, verwenden Sie die Methode <TrustStore>-Tag zum Angeben des Truststores:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>true</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
        <TrustStore>ref://truststoreref</TrustStore>
    </SSLInfo>
</VirtualHost>

In diesem Beispiel verweist das Tag <TrustStore> nur auf einen Schlüsselspeicher, keinen bestimmten Alias. Jeder Alias im Schlüsselspeicher enthält ein Zertifikat oder eine Zertifikatkette, die wird im Rahmen des TLS-Handshakes verwendet.

Unterstützte Zertifikatsformate

Format API- und UI-Upload unterstützt Richtung Norden unterstützt Überprüft
PEM Ja Ja Ja
* PKCS12 Ja Ja Ja
Hinweis: Apigee konvertiert
PKCS12 intern in PEM.
* DER Nein Nein Ja
* PKCS7 Nein Nein Nein

* Wir empfehlen, nach Möglichkeit PEM zu verwenden.

Alias implementieren

In Edge enthält ein Schlüsselspeicher einen oder mehrere Aliasse, wobei jeder Alias enthält:

  • TLS-Zertifikat als PEM- oder PKCS12/PFX-Datei – entweder ein von einem Zertifikat signiertes Zertifikat Zertifizierungsstelle (CA), eine Datei mit einer Kette von Zertifikaten, in denen das letzte Zertifikat signiert ist oder ein selbst signiertes Zertifikat.
  • Privater Schlüssel als PEM- oder PKCS12/PFX-Datei. Edge unterstützt Schlüsselgrößen von bis zu 2.048 Bit. A Passphrase ist optional.

In Edge enthält ein Truststore einen oder mehrere Aliasse, wobei enthält jeder Alias Folgendes:

  • TLS-Zertifikat als PEM-Datei – entweder ein von einer Zertifizierungsstelle signiertes Zertifikat (CA), eine Zertifikatskette, bei der das letzte Zertifikat von einer Zertifizierungsstelle signiert ist, oder ein selbst signiertes Zertifikat.

Edge bietet eine Benutzeroberfläche und eine API, mit denen Sie Schlüsselspeicher, Aliase erstellen, Zertifikat/Schlüssel hochladen können. und Zertifikate aktualisieren. Die Benutzeroberfläche und die API, die Sie zum Erstellen eines Truststores verwenden, sind identisch mit zum Erstellen eines Schlüsselspeichers. Der Unterschied besteht darin, dass Sie beim Erstellen eines Truststore Aliasse erstellen. die nur ein Zertifikat enthalten.

Format des Zertifikats und des Schlüssels Dateien

Sie können Zertifikate und Schlüssel als PEM-Dateien oder als PKCS12/PFX-Dateien darstellen. PEM-Dateien entsprechen den das X.509-Format. Wenn Ihr Zertifikat oder Ihr privater Schlüssel nicht in einer PEM-Datei definiert ist, können Sie sie in mithilfe von Dienstprogrammen wie openssl eine PEM-Datei erstellen.

Viele CRT- und Schlüsseldateien liegen jedoch bereits im PEM-Format vor. Wenn es sich bei diesen Dateien um Textdateien handelt -Dateien und befinden sich in:

-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----

oder

-----BEGIN ENCRYPTED PRIVATE KEY-----
-----END ENCRYPTED PRIVATE KEY-----

Dann sind die Dateien mit dem PEM-Format kompatibel und können in einem Schlüsselspeicher oder ohne sie in eine PEM-Datei zu konvertieren.

Zertifikatketten

Wenn ein Zertifikat zu einer Kette gehört, wird es unterschiedlich behandelt, je nachdem, ob es in einem Schlüsselspeicher oder in einem Truststore:

  • Keystore: Wenn ein Zertifikat Teil einer Kette ist, müssen Sie eine einzelne Datei mit allen der Zertifikate in der Kette. Die Zertifikate müssen in der richtigen Reihenfolge sein und das letzte Zertifikat muss eine Root-Zertifizierungsstelle sein. oder ein von einem Root-Zertifikat signiertes Zwischenzertifikat.
  • Truststore: Wenn ein Zertifikat zu einer Kette gehört, müssen Sie entweder eine einzelne Datei erstellen. mit allen Zertifikaten und laden Sie die Datei in einen Alias hoch oder laden Sie alle Zertifikate in der Kette hoch getrennt vom Truststore und verwenden für jedes Zertifikat einen eigenen Alias. Wenn Sie sie als ein einzelnes Zertifikat haben, müssen die Zertifikate korrekt angeordnet sein und das letzte Zertifikat muss ein Stammzertifikat oder ein Von einem Root-Zertifikat signiertes Zwischenzertifikat.
  • Wenn Sie eine einzelne Datei erstellen, die mehrere Zertifikate enthält, müssen Sie eine leere Zeile einfügen zwischen den einzelnen Zertifikaten.

So lassen sich beispielsweise alle Zertifikate in einer PEM-Datei zusammenfassen. Die Zertifikate müssen und das letzte Zertifikat muss ein Root-Zertifikat oder ein Zwischenzertifikat sein, das von einem Stammzertifikat Zertifikat:

-----BEGIN CERTIFICATE----- 
(Your Primary TLS certificate) 
-----END CERTIFICATE----- 

-----BEGIN CERTIFICATE----- 
(Intermediate certificate) 
-----END CERTIFICATE-----
 
-----BEGIN CERTIFICATE----- 
(Root certificate or intermediate certificate signed by a root certificate) 
-----END CERTIFICATE-----

Wenn Ihre Zertifikate als PKCS12/PFX-Dateien dargestellt werden, können Sie die Datei openssl verwenden. Befehl zum Erstellen einer PKCS12/PFX-Datei aus einer Zertifikatskette, wie unten gezeigt:

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

Wenn Sie mit Zertifikatketten in einem Truststore arbeiten, müssen Sie nicht immer alle Zertifikate in der Kette an. Beispiel: Sie laden das Clientzertifikat client_cert_1 und das Zertifikat des Ausstellers des Clientzertifikats ca_cert.

Bei der bidirektionalen TLS-Authentifizierung ist die Clientauthentifizierung erfolgreich, wenn der Server client_cert_1 als Teil des TLS-Handshakes an den Client.

Alternativ haben Sie ein zweites Zertifikat, client_cert_2, das mit demselben Zertifikat signiert wurde. ca_cert. Sie laden client_cert_2 jedoch nicht in den Truststore hoch. Der Truststore enthält weiterhin nur client_cert_1 und ca_cert.

Wenn der Server client_cert_2 im Rahmen des TLS-Handshakes übergibt, wird die Anfrage erfolgreich ist. Das liegt daran, dass Edge die TLS-Überprüfung erfolgreich macht, wenn client_cert_2 ist nicht im Truststore vorhanden, wurde jedoch von einem Zertifikat signiert, das im Truststore vorhanden ist. Wenn Entfernen Sie das CA-Zertifikat ca_cert aus dem Truststore und führen Sie dann die TLS-Überprüfung durch. schlägt fehl.

Seite „TLS-Schlüsselspeicher“ ansehen

Rufen Sie die Seite mit den TLS-Schlüsselspeichern wie unten beschrieben auf.

Edge

So greifen Sie über die Edge-Benutzeroberfläche auf die Seite mit den TLS-Schlüsselspeichern zu:

  1. Melden Sie sich unter https://apigee.com/edge als Organisationsadministrator an.
  2. Wählen Sie Ihre Organisation aus.
  3. Wählen Sie Verwaltung > Umgebung > TLS-Schlüsselspeicher.

Classic Edge (Private Cloud)

So greifen Sie über die Benutzeroberfläche von Classic Edge auf die Seite mit den TLS-Schlüsselspeichern zu:

  1. Melden Sie sich bei http://ms-ip:9000 als Organisationsadministrator an, wobei ms-ip die IP-Adresse oder der DNS-Name des Management Server-Knotens ist.
  2. Wählen Sie Ihre Organisation aus.
  3. Wählen Sie Verwaltung > Umgebungskonfiguration > TLS-Schlüsselspeicher.

Die Seite "TLS-Schlüsselspeicher" wird angezeigt:

Wie in der vorherigen Abbildung hervorgehoben, können Sie auf der Seite „TLS-Schlüsselspeicher“ Folgendes tun:

Alias ansehen

So rufen Sie einen Alias auf:

  1. Rufen Sie die Seite "TLS-Schlüsselspeicher" auf.
  2. Wählen Sie die Umgebung aus (normalerweise prod oder test).
  3. Klicken Sie auf die Zeile mit dem Alias, den Sie aufrufen möchten.

    Es werden Details zum Aliaszertifikat und -schlüssel angezeigt.

    Sie sehen alle Informationen zum Alias, einschließlich des Ablaufdatums.

  4. Über die Schaltflächen oben auf der Seite können Sie das Zertifikat verwalten und folgende Aktionen ausführen: <ph type="x-smartling-placeholder">
      </ph>
    • Laden Sie das Zertifikat als PEM-Datei herunter.
    • Generieren Sie eine CSR. Wenn Sie ein abgelaufenes Zertifikat haben und es verlängern möchten, können Sie ein Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) Senden Sie die Zertifizierungsstelle dann an Ihre Zertifizierungsstelle, um eine neue Zertifikat.
    • Aktualisieren Sie ein Zertifikat. Achtung: Wenn Sie ein Zertifikat aktualisieren, von einem virtuellen Host oder Zielserver/Zielendpunkt verwendet wird, wenden Sie sich an den Apigee Edge-Support, um die Router und Message Processor neu zu starten. Die empfohlene Methode zum Aktualisieren eines Zertifikat zu: <ph type="x-smartling-placeholder">
        </ph>
      1. Erstellen Sie einen neuen Schlüsselspeicher oder Truststore.
      2. Fügen Sie das neue Zertifikat dem neuen Schlüsselspeicher oder Truststore hinzu.
      3. Aktualisieren Sie die Referenz im virtuellen Host oder Zielserver/Zielendpunkt mit dem Keystore oder Truststore. Weitere Informationen finden Sie unter . Aktualisieren Sie ein TLS-Zertifikat für die Cloud, um weitere Informationen zu erhalten.
      4. Löschen Sie das Alias. Hinweis: Wenn Sie einen Alias löschen, der aktuell von einem virtuellen Host oder Zielendpunkt verwendet wird, Zielendpunkt schlägt fehl.

Schlüsselspeicher/Truststore und Alias erstellen

Sie können einen Schlüsselspeicher zur Verwendung als TLS-Keystore oder als TLS-Truststore erstellen. Einen Schlüsselspeicher die für eine bestimmte Umgebung in Ihrem Unternehmen gilt, z. B. die Test- oder Produktionsumgebung. Wenn Sie den Schlüsselspeicher also in einer Testumgebung testen möchten, bevor Sie ihn in Ihrem in einer Produktionsumgebung müssen, müssen Sie sie in beiden Umgebungen erstellen.

Zum Erstellen eines Schlüsselspeichers in einer Umgebung müssen Sie nur den Namen des Schlüsselspeichers angeben. Nachdem Sie benannten Schlüsselspeicher in einer Umgebung erstellen, können Sie dann Aliase erstellen und ein Zertifikat/Schlüssel-Paar hochladen. (Schlüsselspeicher) oder laden Sie nur ein Zertifikat (Truststore) in den Alias hoch.

So erstellen Sie einen Schlüsselspeicher:

  1. Rufen Sie die Seite "TLS-Schlüsselspeicher" auf.
  2. Wählen Sie die Umgebung aus (normalerweise prod oder test).
  3. Klicken Sie auf + Schlüsselspeicher.
  4. Geben Sie den Schlüsselspeichernamen an. Der Name darf nur alphanumerische Zeichen enthalten.
  5. Klicken Sie auf Schlüsselspeicher hinzufügen. Der neue Schlüsselspeicher wird in der Liste angezeigt.
  6. Verwenden Sie eines der folgenden Verfahren, um ein Alias hinzuzufügen. Siehe auch Unterstützte Dateiformate für Zertifikate.

Alias aus einem Zertifikat erstellen (Truststore )

So erstellen Sie einen Alias aus einem Zertifikat:

  1. Rufen Sie die Seite "TLS-Schlüsselspeicher" auf.
  2. Platzieren Sie den Cursor über dem Schlüsselspeicher, um das Aktionsmenü aufzurufen, und klicken Sie auf +.
  3. Geben Sie den Alias-Namen an.
  4. Wählen Sie unter „Zertifikatdetails“ im Drop-down-Menü „Typ“ die Option Nur Zertifikat aus.
  5. Klicken Sie neben Zertifikatsdatei auf Datei auswählen und gehen Sie zum PEM-Datei mit dem Zertifikat an und klicken Sie auf Öffnen.
  6. Standardmäßig prüft die API, ob das Zertifikat abgelaufen ist. Optional auswählen Abgelaufenes Zertifikat zulassen, um die Validierung zu überspringen.
  7. Wählen Sie Speichern aus, um das Zertifikat hochzuladen und den Alias zu erstellen.

Alias aus einer JAR-Datei erstellen (nur Schlüsselspeicher)

So erstellen Sie einen Alias aus einer JAR-Datei:

  1. Rufen Sie die Seite "TLS-Schlüsselspeicher" auf.
  2. Platzieren Sie den Cursor über dem Schlüsselspeicher, um das Aktionsmenü aufzurufen, und klicken Sie auf +.
  3. Geben Sie den Alias-Namen an.
  4. Wählen Sie unter „Zertifikatdetails“ im Drop-down-Menü „Typ“ die Option JAR-Datei aus.
  5. Klicken Sie neben JAR-Datei auf Datei auswählen, gehen Sie zur JAR-Datei mit dem Zertifikat und dem Schlüssel und klicken Sie auf Öffnen.
  6. Wenn der Schlüssel ein Passwort hat, geben Sie das Passwort an. wenn der Schlüssel keine Passwort eingeben, lassen Sie dieses Feld leer.
  7. Standardmäßig prüft die API, ob das Zertifikat abgelaufen ist. Optional auswählen Abgelaufenes Zertifikat zulassen, um die Validierung zu überspringen.
  8. Wählen Sie Speichern aus, um Schlüssel und Zertifikat hochzuladen und den Alias zu erstellen.

Alias aus einem Zertifikat erstellen und Schlüssel (nur Schlüsselspeicher)

So erstellen Sie einen Alias aus einem Zertifikat und einem Schlüssel:

  1. Rufen Sie die Seite "TLS-Schlüsselspeicher" auf.
  2. Platzieren Sie den Cursor über dem Schlüsselspeicher, um das Aktionsmenü aufzurufen, und klicken Sie auf +.
  3. Geben Sie den Alias-Namen an.
  4. Wählen Sie unter „Certificate details“ (Zertifikatdetails) im Drop-down-Menü „Type“ (Typ) die Option Certificate and Key (Zertifikat und Schlüssel) aus.
  5. Klicken Sie neben Zertifikatsdatei auf Datei auswählen, gehen Sie zur PEM-Datei mit dem Zertifikat und klicken Sie auf Öffnen.
  6. Wenn der Schlüssel ein Passwort hat, geben Sie das Schlüsselpasswort an. wenn der Schlüssel keine Passwort eingeben, lassen Sie dieses Feld leer.
  7. Klicken Sie neben Schlüsseldatei auf Datei auswählen, gehen Sie zur PEM-Datei mit dem Schlüssel und klicken Sie auf Öffnen.
  8. Standardmäßig prüft die API, ob das Zertifikat abgelaufen ist. Optional auswählen Abgelaufenes Zertifikat zulassen, um die Validierung zu überspringen.
  9. Wählen Sie Speichern aus, um Schlüssel und Zertifikat hochzuladen und den Alias zu erstellen.

Alias aus einem PKCS12/PFX-Datei (nur Schlüsselspeicher)

So erstellen Sie einen Alias aus einer PKCS12-Datei, die das Zertifikat und den Schlüssel enthält:

  1. Rufen Sie die Seite "TLS-Schlüsselspeicher" auf.
  2. Platzieren Sie den Cursor über dem Schlüsselspeicher, um das Aktionsmenü aufzurufen, und klicken Sie auf +.
  3. Geben Sie den Alias-Namen an.
  4. Wählen Sie unter „Certificate details“ (Zertifikatdetails) im Drop-down-Menü „Type“ (Typ) PKCS12/PFX aus.
  5. Klicken Sie neben PKCS12/PFX auf Datei auswählen und gehen Sie zum mit dem Schlüssel und dem Zertifikat aus und klicken Sie auf Öffnen.
  6. Wenn der Schlüssel ein Passwort hat, geben Sie das Passwort für die PKCS12/PFX-Datei an. Wenn der Schlüssel kein Passwort hat, lassen Sie dieses Feld leer.
  7. Standardmäßig prüft die API, ob das Zertifikat abgelaufen ist. Optional auswählen Abgelaufenes Zertifikat zulassen, um die Validierung zu überspringen.
  8. Wählen Sie Speichern aus, um die Datei hochzuladen und den Alias zu erstellen.

Alias aus einem selbst signiertes Zertifikat (nur Schlüsselspeicher)

Um einen Alias zu erstellen, der ein selbst signiertes Zertifikat verwendet, füllen Sie ein Formular mit den erforderlichen Informationen, die zum Erstellen des Zertifikats erforderlich sind. Edge erstellt dann das Zertifikat und ein privates Schlüsselpaar werden in den Alias hochgeladen.

So erstellen Sie einen Alias aus einem selbst signierten Zertifikat:

  1. Rufen Sie die Seite "TLS-Schlüsselspeicher" auf.
  2. Platzieren Sie den Cursor über dem Schlüsselspeicher, um das Aktionsmenü aufzurufen, und klicken Sie auf +.
  3. Geben Sie den Alias-Namen an.
  4. Wählen Sie unter „Zertifikatdetails“ im Drop-down-Menü „Typ“ die Option Selbst signiertes Zertifikat aus.
  5. Füllen Sie das Formular anhand der Tabelle unten aus.
  6. Wählen Sie Speichern aus, um das Paar aus Zertifikat und privatem Schlüssel zu erstellen und in dieses Verzeichnis hochzuladen: das Alias.

Im generierten Zertifikat werden die folgenden zusätzlichen Felder angezeigt:

  • Aussteller
    Die Entität, die das Zertifikat signiert und ausgestellt hat. Bei einem selbst signierten Zertifikat ist dies der CN, die Sie beim Erstellen des Zertifikats angegeben haben.
  • Gültigkeit
    Der Gültigkeitszeitraum des Zertifikats besteht aus zwei Datumsangaben: dem Datum, an dem das Zertifikat ausgestellt wurde. Gültigkeitszeitraum beginnt und mit dem Datum, an dem die Gültigkeit des Zertifikats endet. Beides kann als codiert als UTCTime- oder GeneralizedTime-Werte.

In der folgenden Tabelle werden die Formularfelder beschrieben:

Formularfeld Beschreibung Standard Erforderlich
Alias-Name Alias name. Die maximale Länge beträgt 128 Zeichen. Ja
Schlüsselgröße Größe des Schlüssels in Bit. Der Standardwert und der Höchstwert sind 2.048 Bit. 2048 Nein
Signaturalgorithmus Signaturalgorithmus zum Generieren des privaten Schlüssels. Gültige Werte sind "SHA512withRSA", „SHA384mitRSA“ und „SHA256withRSA“ (Standard). SHA256mit RSA Nein
Gültigkeit des Zertifikats in Tagen Gültigkeitsdauer des Zertifikats in Tagen. Akzeptiert einen positiven Wert ungleich Null. 365 Nein
Gemeinsamer Name Der Common Name (CN) der Organisation gibt den voll qualifizierten Domainnamen an die mit dem Zertifikat verknüpft sind. Sie besteht in der Regel aus einem Host und einem Domainnamen. Zum Beispiel: api.enterprise.apigee.com, www.apigee.com usw. Die maximale Länge beträgt 64 Zeichen.

Je nach Zertifikatstyp CN kann ein oder mehrere Hostnamen sein, die zur selben Domain gehören (z.B. beispiel.de, www.beispiel.de), ein Platzhaltername (z.B. *.beispiel.de) oder eine Liste von Domains. Das sollten Sie nicht tun: ein beliebiges Protokoll (http:// oder https://), eine Portnummer oder einen Ressourcenpfad enthalten.

Das Zertifikat ist nur gültig, wenn der Hostname der Anfrage mit mindestens einem der allgemeine Namen von Zertifikaten.

 Ja
E-Mail E-Mail-Adresse. Die maximale Länge beträgt 255 Zeichen. Nein
Name der Organisationseinheit Name des Organisationsteams. Die maximale Länge beträgt 64 Zeichen. Nein
Name der Organisation Name der Organisation. Die maximale Länge beträgt 64 Zeichen. Nein
Ort Name der Stadt/Ort Die maximale Länge beträgt 128 Zeichen. Nein
Bundesland Name des Bundesstaats/der Provinz. Die maximale Länge beträgt 128 Zeichen. Nein
Land Ländercode aus zwei Buchstaben. Beispiel: IN für Indien, US für die Vereinigten Staaten. Nein
Alternative Namen Liste alternativer Hostnamen. Ermöglicht die Bindung zusätzlicher Identitäten an das Subjekt des Zertifikats an. Zu den Optionen gehören eine E-Mail-Adresse im Internet, ein DNS Name, eine IP-Adresse und einen einheitlichen Ressourcen-Identifikator (Uniform Resource Identifier, URI).

Maximal 255 Zeichen pro Wert. Sie können Namen durch Kommas trennen oder die Eingabetaste nach jedem Namen.

 Nein

Schlüsselspeicher oder Truststore testen

Sie können Ihren Truststore und Ihren Schlüsselspeicher in der Edge-Benutzeroberfläche testen, um zu prüfen, ob sie konfiguriert sind ordnungsgemäß funktioniert. Die Test-UI validiert eine TLS-Anfrage von Edge an einen Back-End-Dienst. Back-End-Dienst kann so konfiguriert werden, dass es ein- oder bidirektionales TLS unterstützt.

So testen Sie Einweg-TLS:

  1. Rufen Sie die Seite "TLS-Schlüsselspeicher" auf.
  2. Wählen Sie die Umgebung aus (normalerweise prod oder test).
  3. Bewegen Sie den Mauszeiger über den TLS-Schlüsselspeicher, den Sie testen möchten, um das Aktionsmenü aufzurufen, und klicken Sie auf Testen. Das folgende Dialogfeld wird angezeigt, der den Namen des Truststores enthält:
  4. Geben Sie den Hostnamen des Back-End-Dienstes ein.
  5. Geben Sie die TLS-Portnummer ein, normalerweise 443.
  6. Geben Sie optional Protokolle oder Chiffren an.
  7. Wählen Sie Testen aus.

So testen Sie Zwei-Wege-TLS:

  1. Klicken Sie für den gewünschten Truststore auf die Schaltfläche Test (Testen).
  2. Wählen Sie im Dialogfeld als SSL-Testtyp die Option Zweiwege-Verbindung aus. Das folgende Dialogfeld wird angezeigt:
  3. Geben Sie den Namen des Schlüsselspeichers an, der in Zwei-Wege-TLS verwendet wird.
  4. Geben Sie den Aliasnamen im Schlüsselspeicher an, der das Zertifikat und den Schlüssel enthält.
  5. Geben Sie den Hostnamen des Back-End-Dienstes ein.
  6. Geben Sie die TLS-Portnummer ein, normalerweise 443.
  7. Geben Sie optional Protokolle oder Chiffren an.
  8. Wählen Sie Testen aus.

Zertifikat zu einem Truststore für Zwei-Wege-TLS hinzufügen

Wenn Sie Zwei-Wege-TLS für eingehende Verbindungen, d. h. eine API-Anfrage in Edge, verwenden, Der Truststore enthält ein Zertifikat oder eine Zertifizierungsstellenkette für jeden Client, der Anfragen an Edge senden darf.

Bei der Erstkonfiguration des Truststores können Sie alle Zertifikate für die bekannten Clients hinzufügen. Im Laufe der Zeit kann es jedoch sinnvoll sein, dem Truststore weitere Zertifikate hinzuzufügen, wenn Sie neue Clients hinzufügen.

So fügen Sie einem Truststore, der für Zwei-Wege-TLS verwendet wird, neue Zertifikate hinzu:

  1. Achten Sie darauf, dass Sie einen Verweis auf den Truststore im virtuellen Host verwenden.
  2. Laden Sie ein neues Zertifikat in den Truststore hoch, wie oben unter Alias aus einem Zertifikat erstellen (nur Truststore)

  3. Aktualisieren Sie die Truststore-Referenz, um sie auf denselben Wert festzulegen. Dieses Update führt dazu, dass Edge den Truststore und das neue Zertifikat neu lädt.

    Weitere Informationen findest du unter Referenz ändern.

Schlüsselspeicher/Truststore oder Alias löschen

Beim Löschen eines Schlüsselspeichers, Truststores oder Alias ist Vorsicht geboten. Wenn Sie einen Schlüsselspeicher löschen, Truststore oder Alias, der von einem virtuellen Host, Zielendpunkt oder Zielserver verwendet wird, API-Aufrufe über den virtuellen Host oder den Zielendpunkt/Zielserver schlagen fehl.

In der Regel löschen Sie einen Schlüsselspeicher, Truststore oder Alias wie folgt:

  1. Erstellen Sie wie oben beschrieben einen neuen Schlüsselspeicher, Truststore oder Alias.
  2. Aktualisieren Sie für eingehende Verbindungen, d. h. eine API-Anfrage an Edge, den virtuelle Hostkonfiguration, um auf den neuen Schlüsselspeicher und den neuen Schlüsselalias zu verweisen.
  3. Für ausgehende Verbindungen, also von Apigee zu einem Back-End-Server: <ph type="x-smartling-placeholder">
      </ph>
    1. Aktualisieren Sie die TargetEndpoint-Konfiguration für alle API-Proxys, die auf die alte Keystore und Schlüsselalias, um auf den neuen Schlüsselspeicher und den neuen Schlüsselalias zu verweisen. Wenn Ihr TargetEndpoint auf einen TargetServer verweist, aktualisieren Sie die TargetServer-Definition, um auf den neuen Schlüsselspeicher zu verweisen und Schlüsselalias.
    2. Wenn der Schlüsselspeicher und der Truststore direkt vom TargetEndpoint referenziert werden definieren, müssen Sie den Proxy noch einmal bereitstellen. Wenn der TargetEndpoint auf einen TargetServer-Definition und die TargetServer-Definition auf den Schlüsselspeicher und Truststore ist keine erneute Proxy-Bereitstellung erforderlich.
  4. Bestätigen Sie, dass Ihre API-Proxys ordnungsgemäß funktionieren.
  5. Löschen Sie den Schlüsselspeicher, Truststore oder Alias.

Schlüsselspeicher löschen

Sie können einen Schlüsselspeicher oder Truststore löschen, indem Sie den Cursor über dem Schlüsselspeicher oder Truststore in der Liste positionieren, um die Aktionen anzuzeigen. und dann auf . Wenn Sie einen Schlüsselspeicher oder Truststore löschen, von einem virtuellen Host oder Zielendpunkt/Zielserver verwendet werden, alle API-Aufrufe über den virtuellen Host oder der Zielserver schlägt fehl.

Achtung: Löschen Sie einen Schlüsselspeicher erst, nachdem Sie Ihre virtuelle Hosts und Zielendpunkte/Zielserver einen neuen Schlüsselspeicher verwenden.

Alias löschen

Sie können ein Alias löschen, indem Sie den Cursor über das Alias in der Liste bewegen, um die Aktionen anzuzeigen. und dann auf . Wenn Sie einen Alias löschen, der von einem virtuellen Host oder Zielendpunkt/Zielserver, alle API-Aufrufe über den virtuellen Host oder Zielendpunkt/Ziel ausfallen.

Achtung: Sie sollten einen Alias erst löschen, wenn Sie Ihre virtuelle für Hosts und Zielendpunkte/Zielserver einen neuen Schlüsselspeicher und Alias verwenden.