Edge UI를 사용하여 키 저장소 및 트러스트 저장소 만들기

<ph type="x-smartling-placeholder"></ph> 현재 Apigee Edge 문서를 보고 있습니다.
Apigee X 문서.
정보

이 문서에서는 Edge용 키 저장소 및 트러스트 저장소를 생성, 수정, 삭제하는 방법을 설명합니다. 4.18.01 이상 버전의 클라우드 및 Edge용 비공개 클라우드용

Edge Cloud의 키 저장소/Truststore 및 가상 호스트 정보

Edge Cloud용 키 저장소/Truststore를 만드는 프로세스에는 몇 가지 규칙을 살펴보겠습니다 예를 들어 클라우드의 가상 호스트는 다음과 같습니다.

  • 가상 호스트는 TLS를 사용해야 합니다.
  • 가상 호스트는 포트 443만 사용할 수 있습니다.
  • 서명된 TLS 인증서를 사용해야 합니다. 서명되지 않은 인증서는 클라우드의 가상 호스트에 사용할 수 없습니다.
  • TLS 인증서로 지정된 도메인 이름이 가상 호스트의 호스트 별칭과 일치해야 합니다.

자세히 알아보기:

키 저장소 및 트러스트 저장소 구현 에지

TLS와 같이 공개 키 인프라를 사용하는 기능을 구성하려면 다음을 수행해야 합니다. 필요한 키와 디지털 인증서가 포함된 키 저장소와 truststore를 만듭니다.

Edge에서 키 저장소와 truststore는 모두 keystore 항목으로 표시됩니다. 별칭이 하나 이상 포함된 인스턴스입니다. 즉, 구현 차이가 없습니다. 트러스트스토어와 통신합니다

키 저장소와 트러스트 저장소의 차이점은 키 저장소와 트러스트 저장소는 TLS 핸드셰이크에서 어떻게 사용되는지 설명합니다.

  • 키 저장소 - 하나 이상을 포함하는 keystore 항목 aliases: 각 별칭에는 인증서/키 쌍이 포함됩니다.
  • truststore - 하나 이상을 포함하는 keystore 항목 aliases: 각 별칭에는 인증서만 포함됩니다.

가상 호스트 또는 대상 엔드포인트에 TLS를 구성할 때 키 저장소와 트러스트 저장소는 서로 다른 역할을 수행하는 데 도움이 될 수 있습니다. 가상 호스트 또는 대상을 구성할 때 엔드포인트에서 <SSLInfo>에 키 저장소와 트러스트 저장소를 별도로 지정합니다. 태그를 추가해야 합니다.

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>false</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
    </SSLInfo>
</VirtualHost>

이 예시에서는 가상 호스트에서 사용하는 키 저장소의 이름과 암호화합니다 변경할 수 있도록 reference를 사용하여 키 저장소 이름을 지정합니다. 인증이 만료됩니다. 별칭에는 가상 호스트를 식별하는 데 사용되는 인증서/키 쌍이 포함됩니다. TLS 클라이언트로 전송합니다. 이 예시에서는 신뢰할 수 있는 저장소가 없으며 필요합니다.

트러스트 저장소가 필요한 경우(예: 양방향 TLS 구성) <TrustStore> 태그를 사용하여 truststore를 지정합니다.

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>true</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
        <TrustStore>ref://truststoreref</TrustStore>
    </SSLInfo>
</VirtualHost>

이 예에서 <TrustStore> 태그는 키 저장소만 참조하지만 특정 별칭을 지정하지 마세요 키 저장소의 각 별칭에는 TLS 핸드셰이크 프로세스의 일부로 사용됩니다.

지원되는 인증서 형식

형식 API 및 UI 업로드 지원 북쪽 방향 지원됨 확인 완료
PEM
* PKCS12
참고: Apigee는 내부적으로
PKCS12를 PEM으로 변환합니다.
* DER 아니요 아니요
* PKCS7 아니요 아니요 아니요

* 가능하면 PEM을 사용하는 것이 좋습니다.

별칭 구현 정보

Edge에서 키 저장소에는 하나 이상의 별칭이 포함되어 있으며 각 별칭은 별칭 포함:

  • PEM 또는 PKCS12/PFX 파일 형식의 TLS 인증서 - 인증서로 서명된 인증서 인증 기관 (CA), 마지막 인증서가 서명되는 인증서 체인이 포함된 파일 CA 또는 자체 서명 인증서에 의해 인증됩니다.
  • PEM 또는 PKCS12/PFX 파일 형식의 비공개 키 Edge는 최대 2048비트의 키 크기를 지원합니다. 가 암호는 선택사항입니다.

Edge에서 truststore에는 하나 이상의 별칭이 포함됩니다. 각 별칭에는 다음 항목이 포함됩니다.

  • PEM 파일 형식의 TLS 인증서 - 인증 기관에서 서명한 인증서 (CA), 마지막 인증서가 CA에 의해 서명되는 인증서 체인 또는 자체 서명된 인증서

Edge는 키 저장소를 만들고, 별칭을 만들고, 인증서/키를 업로드하는 데 사용하는 UI 및 API를 제공합니다. 인증서를 업데이트해야 합니다 트러스트 저장소를 만드는 데 사용하는 UI와 API는 키 저장소를 만드는 데 사용됩니다. 차이점은 트러스트 저장소를 만들 때 별칭을 만든다는 것입니다. 지정할 수 있습니다

인증서 및 키 형식 정보 파일

인증서와 키를 PEM 파일 또는 PKCS12/PFX 파일로 나타낼 수 있습니다. PEM 파일은 X.509 형식 인증서 또는 비공개 키가 PEM 파일로 정의되지 않은 경우 openssl와 같은 유틸리티를 사용하여 PEM 파일을 생성합니다.

하지만 많은 .crt 파일 및 .key 파일이 이미 PEM 형식으로 되어 있습니다. 이러한 파일이 텍스트인 경우 파일로 저장되며 다음 안에 포함되어 있습니다.

-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----

또는:

-----BEGIN ENCRYPTED PRIVATE KEY-----
-----END ENCRYPTED PRIVATE KEY-----

그러면 파일이 PEM 형식과 호환되며 키 저장소 또는 truststore를 복사합니다.

인증서 체인 정보

인증서가 체인의 일부인 경우 해당 인증서가 키 저장소 또는 트러스트 저장소에 있어야 합니다.

  • 키 저장소 - 인증서가 체인의 일부인 경우 모든 키를 포함하는 단일 파일을 만들어야 합니다. 인증서의 역할을 합니다 인증서는 순서가 있어야 하며 마지막 인증서는 루트여야 합니다. 중간 인증서 중 한 곳에서만 가져올 수 있습니다.
  • Truststore - 인증서가 체인의 일부인 경우 단일 파일을 만들어야 합니다. 포함하는 모든 인증서를 포함하고 해당 파일을 별칭에 업로드하거나 체인의 모든 인증서를 업로드합니다. 트러스트 저장소에 별도로 추가해야 합니다. 이러한 애셋을 단일 인증서의 경우 이 인증서는 순서가 있어야 하며 마지막 인증서는 루트 인증서이거나 중간 인증서를 복사합니다.
  • 여러 인증서가 포함된 단일 파일을 만드는 경우 빈 줄을 삽입해야 합니다. 넣으세요.

예를 들어 모든 인증서를 단일 PEM 파일로 결합할 수 있습니다. 인증서는 마지막 인증서는 루트 인증서 또는 루트에서 서명한 중간 인증서여야 합니다. 인증서:

-----BEGIN CERTIFICATE----- 
(Your Primary TLS certificate) 
-----END CERTIFICATE----- 

-----BEGIN CERTIFICATE----- 
(Intermediate certificate) 
-----END CERTIFICATE-----
 
-----BEGIN CERTIFICATE----- 
(Root certificate or intermediate certificate signed by a root certificate) 
-----END CERTIFICATE-----

인증서가 PKCS12/PFX 파일로 표시되는 경우 openssl를 사용할 수 있습니다. 명령을 사용하여 인증서 체인에서 PKCS12/PFX 파일을 만들 수 있습니다.

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

트러스트 저장소에서 인증서 체인으로 작업할 때는 포함할 수 있습니다. 예를 들어 클라이언트 인증서, client_cert_1, 클라이언트 인증서 발급기관의 인증서인 ca_cert입니다.

양방향 TLS 인증 시 서버에서 TLS 핸드셰이크 프로세스의 일부로 클라이언트에 대한 client_cert_1

또는 동일한 인증서로 서명된 두 번째 인증서인 client_cert_2이 있습니다. ca_cert입니다. 하지만 client_cert_2는 트러스트 저장소에 업로드하지 않습니다. 트러스트 저장소에는 여전히 client_cert_1ca_cert만 포함되어 있습니다.

서버가 TLS 핸드셰이크의 일부로 client_cert_2를 전달하면 요청은 성공합니다. 에지에서 client_cert_2가 사용되면 TLS 확인이 성공하기 때문입니다. 트러스트(Trust)에 존재하지 않지만 트러스트 저장소에 있는 인증서로 서명되었습니다. 만약 트러스트 저장소에서 CA 인증서(ca_cert)를 삭제한 후 TLS 확인 있습니다

TLS 키 저장소 페이지 탐색

아래에 설명된 대로 TLS 키 저장소 페이지에 액세스합니다.

에지

Edge UI를 사용하여 TLS 키 저장소 페이지에 액세스하려면 다음 안내를 따르세요.

  1. 조직 관리자https://apigee.com/edge에 로그인합니다.
  2. 조직을 선택합니다.
  3. 관리 > 환경 > TLS 키 저장소.

Classic Edge (Private Cloud)

기본 Edge UI를 사용하여 TLS 키 저장소 페이지에 액세스하려면 다음 안내를 따르세요.

  1. 조직 관리자http://ms-ip:9000에 로그인합니다. 여기서 ms-ip는 관리 서버 노드의 IP 주소 또는 DNS 이름입니다.
  2. 조직을 선택합니다.
  3. 관리 > 환경 구성 > TLS 키 저장소.

TLS 키 저장소 페이지가 표시됩니다.

이전 그림에 강조 표시된 것처럼 TLS 키 저장소 페이지를 사용하면 다음 작업을 할 수 있습니다.

를 통해 개인정보처리방침을 정의할 수 있습니다.

별칭 보기

별칭을 보려면 다음 단계를 따르세요.

  1. TLS 키 저장소 페이지에 액세스
  2. 환경을 선택합니다(일반적으로 prod 또는 test).
  3. 확인하려는 별칭과 연결된 행을 클릭합니다.

    별칭 인증서 및 키에 대한 세부정보가 표시됩니다.

    만료일을 포함하여 별칭에 대한 모든 정보를 볼 수 있습니다.

  4. 페이지 상단의 버튼을 사용하여 인증서를 관리합니다. <ph type="x-smartling-placeholder">
      </ph>
    • 인증서를 PEM 파일로 다운로드합니다.
    • CSR를 생성합니다. 만료된 인증서를 갱신하려면 인증서 서명 요청 (CSR) 그런 다음 CSR을 CA로 보내 새 인증서
    • 인증서를 업데이트합니다. 주의: 최신 인증서를 대상 서버/대상 엔드포인트에서 사용 중인 경우 라우터와 메시지 프로세서를 다시 시작하려면 Apigee Edge 지원팀에 문의하세요. kubectl run을 업데이트하는 권장 방법은 인증서의 사용 용도는 다음과 같습니다. <ph type="x-smartling-placeholder">
        </ph>
      1. 새 키 저장소 또는 truststore를 만듭니다.
      2. 새 키 저장소 또는 트러스트 저장소에 새 인증서를 추가합니다.
      3. 가상 호스트에서 참조를 업데이트하거나, 대상 서버/대상 엔드포인트를 keystore 또는 truststore에 있어야 합니다. 를 참조하세요. 자세한 내용은 클라우드의 TLS 인증서 업데이트를 참고하세요.
      4. 별칭을 삭제합니다. 참고: 별칭을 삭제하는 경우 현재 가상 호스트나 대상 엔드포인트에서 사용 중인 경우, 해당 가상 호스트 또는 대상 엔드포인트는 실패합니다

keystore/truststore 및 별칭 만들기

TLS 키 저장소 또는 TLS 트러스트 저장소로 사용할 키 저장소를 생성할 수 있습니다. 키 저장소 조직의 환경에 따라 다릅니다(예: 테스트 또는 프로덕션 환경). 따라서 테스트 환경에서 키 저장소를 두 환경 모두에서 만들어야 합니다

환경의 키 저장소를 생성하려면 키 저장소 이름만 지정하면 됩니다. 사용자가 환경에서 이름이 지정된 키 저장소를 만들면 별칭을 만들고 인증서/키 쌍을 업로드할 수 있습니다. (키 저장소)로 설정하거나 인증서만 (truststore)를 별칭에 업로드합니다.

키 저장소를 생성하려면 다음 안내를 따르세요.

  1. TLS 키 저장소 페이지에 액세스
  2. 환경을 선택합니다(일반적으로 prod 또는 test).
  3. + 키 저장소를 클릭합니다.
  4. 키 저장소 이름을 지정합니다. 이름에는 영숫자 문자만 포함할 수 있습니다.
  5. 키 저장소 추가를 클릭합니다. 새 키 저장소가 목록에 표시됩니다.
  6. 다음 절차 중 하나를 사용하여 별칭을 추가합니다. 참고 항목 지원되는 인증서 파일 형식

인증서 (truststore)에서 별칭 만들기 만 해당)

인증서에서 별칭을 만들려면 다음 안내를 따르세요.

  1. TLS 키 저장소 페이지에 액세스
  2. 커서를 키 저장소 위에 두고 작업 메뉴를 표시하고 +를 클릭합니다.
  3. 별칭 이름을 지정합니다.
  4. 인증서 세부정보의 유형 드롭다운에서 인증서만을 선택합니다.
  5. 인증서 파일 옆에 있는 파일 선택을 클릭하고 인증서가 포함된 PEM 파일을 선택하고 열기를 클릭합니다.
  6. 기본적으로 API는 인증서가 만료되지 않았는지 확인합니다. (선택사항) 만료된 인증서 허용: 유효성 검사를 건너뜁니다.
  7. 저장을 선택하여 인증서를 업로드하고 별칭을 만듭니다.

JAR 파일에서 별칭 만들기 (키 저장소만 해당)

JAR 파일에서 별칭을 만들려면 다음 안내를 따르세요.

  1. TLS 키 저장소 페이지에 액세스
  2. 커서를 키 저장소 위에 두고 작업 메뉴를 표시하고 +를 클릭합니다.
  3. 별칭 이름을 지정합니다.
  4. 인증서 세부정보의 유형 드롭다운에서 JAR 파일을 선택합니다.
  5. JAR File(JAR 파일) 옆에 있는 Choose File(파일 선택)을 클릭하고 인증서 및 키가 포함된 JAR 파일로 이동한 후 Open(열기)을 클릭합니다.
  6. 키에 비밀번호가 있으면 Password를 지정합니다. 키에 이 입력란은 비워 두세요.
  7. 기본적으로 API는 인증서가 만료되지 않았는지 확인합니다. (선택사항) 만료된 인증서 허용: 유효성 검사를 건너뜁니다.
  8. 저장을 선택하여 키와 인증서를 업로드하고 별칭을 만듭니다.

인증서에서 별칭 생성 및 key (키 저장소만 해당)

인증서와 키에서 별칭을 만들려면 다음 안내를 따르세요.

  1. TLS 키 저장소 페이지에 액세스
  2. 커서를 키 저장소 위에 두고 작업 메뉴를 표시하고 +를 클릭합니다.
  3. 별칭 이름을 지정합니다.
  4. 인증서 세부정보의 유형 드롭다운에서 인증서 및 키를 선택합니다.
  5. 인증서 파일 옆에 있는 파일 선택을 클릭하고 인증서가 포함된 PEM 파일로 이동한 다음 열기를 클릭합니다.
  6. 키에 비밀번호가 있으면 키 비밀번호를 지정합니다. 키에 이 입력란은 비워 두세요.
  7. 키 파일 옆에 있는 파일 선택을 클릭하고 키가 포함된 PEM 파일로 이동한 다음 열기를 클릭합니다.
  8. 기본적으로 API는 인증서가 만료되지 않았는지 확인합니다. (선택사항) 만료된 인증서 허용: 유효성 검사를 건너뜁니다.
  9. 저장을 선택하여 키와 인증서를 업로드하고 별칭을 만듭니다.

다음에서 별칭 만들기: PKCS12/PFX 파일 (키 저장소만 해당)

인증서와 키가 포함된 PKCS12 파일에서 별칭을 만들려면 다음 안내를 따르세요.

  1. TLS 키 저장소 페이지에 액세스
  2. 커서를 키 저장소 위에 두고 작업 메뉴를 표시하고 +를 클릭합니다.
  3. 별칭 이름을 지정합니다.
  4. 인증서 세부정보의 유형 드롭다운에서 PKCS12/PFX를 선택합니다.
  5. PKCS12/PFX 옆에 있는 Choose File을 클릭하고 파일을 만들고 열기를 클릭합니다.
  6. 키에 비밀번호가 있는 경우 PKCS12/PFX 파일의 Password를 지정합니다. 키에 비밀번호가 없으면 이 입력란을 비워둡니다.
  7. 기본적으로 API는 인증서가 만료되지 않았는지 확인합니다. (선택사항) 만료된 인증서 허용: 유효성 검사를 건너뜁니다.
  8. 저장을 선택하여 파일을 업로드하고 별칭을 만듭니다.

다음에서 별칭 만들기: 자체 서명된 인증서 (키 저장소만 해당)

자체 서명 인증서를 사용하는 별칭을 만들려면 양식에 필요한 인증서를 만드는 데 필요한 정보입니다. 그런 다음 Edge는 인증서와 비공개 키 쌍을 생성하고 별칭에 업로드합니다.

자체 서명 인증서에서 별칭을 만들려면 다음 안내를 따르세요.

  1. TLS 키 저장소 페이지에 액세스
  2. 커서를 키 저장소 위에 두고 작업 메뉴를 표시하고 +를 클릭합니다.
  3. 별칭 이름을 지정합니다.
  4. 인증서 세부정보의 유형 드롭다운에서 자체 서명된 인증서를 선택합니다.
  5. 아래 표를 사용하여 양식을 작성합니다.
  6. 저장을 선택하여 인증서 및 비공개 키 쌍을 만들고 다음 위치에 업로드합니다. 별칭입니다.

생성된 인증서에 다음과 같은 추가 필드가 표시됩니다.

  • 발급기관
    인증서에 서명하고 발급한 기관입니다. 자체 서명 인증서의 경우 인증서를 만들 때 지정한 CN입니다.
  • 유효성
    인증서 유효 기간은 두 가지 날짜(인증서가 발급된 날짜)로 표시됩니다. 유효 기간이 시작되고 인증서 유효 기간이 끝나는 날짜입니다. 둘 다 UTCTime 또는 GeneralizedTime 값으로 인코딩됩니다.

다음 표에서는 양식 필드를 설명합니다.

양식 입력란 설명 기본값 필수
별칭 이름 별칭 이름입니다. 최대 길이는 128자(영문 기준)입니다. 해당 사항 없음
키 크기 키의 크기(비트)입니다. 기본값 및 최댓값은 2048비트입니다. 2048 아니요
서명 알고리즘 비공개 키를 생성하기 위한 서명 알고리즘. 유효한 값은 'SHA512withRSA'입니다. 'SHA384withRSA' 'SHA256withRSA'입니다. (기본값). SHA256withRSA 아니요
인증서 유효 기간(일) 인증서의 유효 기간(일)입니다. 0이 아닌 양의 값을 허용합니다. 365 아니요
공용이름 조직의 일반 이름(CN)은 정규화된 도메인 이름을 식별합니다. 확인할 수 있습니다 일반적으로 호스트와 도메인 이름으로 구성됩니다. 예를 들어 api.enterprise.apigee.com, www.apigee.com을 예로 들 수 있습니다. 최대 길이는 64자(영문 기준)입니다.

인증서 유형에 따라 CN은 동일한 도메인에 속하는 하나 이상의 호스트 이름 (예: example.com, www.example.com), 와일드 카드 이름 (예: *.example.com) 또는 도메인 목록. 금지사항 프로토콜 (http:// 또는 https://), 포트 번호 또는 리소스 경로를 포함할 수 없습니다.

인증서는 요청 호스트 이름이 인증서 일반 이름도 지원합니다.

해당 사항 없음
이메일 이메일 주소입니다. 최대 길이는 255자(영문 기준)입니다. 해당 사항 없음 아니요
조직 단위 이름 조직팀 이름입니다. 최대 길이는 64자(영문 기준)입니다. 해당 사항 없음 아니요
조직 이름 조직 이름. 최대 길이는 64자(영문 기준)입니다. 해당 사항 없음 아니요
지역 시/군/구 이름입니다. 최대 길이는 128자(영문 기준)입니다. 해당 사항 없음 아니요
주/도 시/도 이름입니다. 최대 길이는 128자(영문 기준)입니다. 해당 사항 없음 아니요
국가 2자리 국가 코드입니다. 예를 들어 인도는 IN, 미국은 US입니다. 해당 사항 없음 아니요
대체 이름 대체 호스트 이름 목록입니다. 추가 ID를 주체에 결합할 수 있습니다. 하겠습니다. 정의된 옵션에는 인터넷 전자 메일 주소, DNS, 단일 리소스 식별자 (URI)로 표현됩니다

각 값은 255자(영문 기준) 이하여야 합니다. 이름을 쉼표로 구분하거나 각 이름 뒤에 Enter 키를 누릅니다.

해당 사항 없음 아니요

키 저장소 또는 truststore 테스트

Edge UI에서 truststore 및 keystore를 테스트하여 구성되었는지 확인할 수 있습니다. 있습니다. 테스트 UI는 Edge에서 백엔드 서비스로 전송되는 TLS 요청의 유효성을 검사합니다. 백엔드 서비스 단방향 또는 양방향 TLS를 지원하도록 구성할 수 있습니다.

단방향 TLS를 테스트하려면 다음 안내를 따르세요.

  1. TLS 키 저장소 페이지에 액세스
  2. 환경을 선택합니다(일반적으로 prod 또는 test).
  3. 테스트할 TLS 키 저장소 위에 커서를 올려 놓으면 작업 메뉴가 표시됩니다. 그런 다음 Test를 클릭합니다. 다음 대화상자 트러스트 저장소 이름을 보여주는 상자가 나타납니다.
  4. 백엔드 서비스의 호스트 이름을 입력합니다.
  5. TLS 포트 번호 (일반적으로 443)를 입력합니다.
  6. 원하는 경우 프로토콜 또는 암호화를 지정합니다.
  7. 테스트를 선택합니다.

양방향 TLS를 테스트하려면 다음 안내를 따르세요.

  1. 원하는 트러스트 저장소에서 테스트 버튼을 선택합니다.
  2. 대화상자에서 SSL 테스트 유형으로 양방향을 선택합니다. 다음 대화상자가 나타납니다.
  3. 양방향 TLS에 사용되는 키 저장소의 이름을 지정합니다.
  4. 인증서와 키가 포함된 키 저장소에 별칭 이름을 지정합니다.
  5. 백엔드 서비스의 호스트 이름을 입력합니다.
  6. TLS 포트 번호 (일반적으로 443)를 입력합니다.
  7. 원하는 경우 프로토콜 또는 암호화를 지정합니다.
  8. 테스트를 선택합니다.

양방향 TLS용 트러스트 저장소에 인증서 추가

인바운드 연결(Edge에 대한 API 요청)에 양방향 TLS를 사용하는 경우 트러스트 저장소에는 Edge에 요청할 수 있는 클라이언트마다 인증서 또는 CA 체인이 포함됩니다.

트러스트 저장소를 처음 구성할 때 알려진 클라이언트의 모든 인증서를 추가할 수 있습니다. 그러나 시간이 지남에 따라 새 클라이언트를 추가할 때 트러스트 저장소에 인증서를 추가해야 할 수도 있습니다.

양방향 TLS에 사용되는 트러스트 저장소에 새 인증서를 추가하려면 다음 안내를 따르세요.

  1. 가상 호스트의 truststore에 대한 참조를 사용하고 있는지 확인하세요.
  2. 위의 설명에 따라 트러스트 저장소에 새 인증서를 업로드합니다. 인증서에서 별칭 만들기 (truststore만 해당)
  3. 트러스트 저장소 참조를 업데이트하여 동일한 값으로 설정합니다. 이 업데이트를 통해 Edge가 truststore와 새 인증서를 새로고침합니다.

    자세한 내용은 참조 수정하기를 참고하세요.

keystore/truststore 또는 별칭 삭제

keystore/truststore 또는 별칭을 삭제할 때는 주의해야 합니다. 키 저장소를 삭제하면 가상 호스트, 대상 엔드포인트 또는 대상 서버에서 사용하는 트러스트 저장소 또는 별칭은 모두 가상 호스트 또는 대상 엔드포인트/대상 서버를 통한 API 호출이 실패합니다.

일반적으로 keystore/truststore 또는 별칭을 삭제하는 데 사용하는 프로세스는 다음과 같습니다.

  1. 위에 설명된 대로 새 keystore/truststore 또는 별칭을 생성합니다.
  2. 인바운드 연결, 즉 Edge에 대한 API 요청의 경우 새 키 저장소와 키 별칭을 참조하도록 가상 호스트 구성입니다.
  3. 아웃바운드 연결의 경우: Apigee에서 백엔드 서버로의 연결입니다. <ph type="x-smartling-placeholder">
      </ph>
    1. 이전 항목을 참조한 API 프록시의 TargetEndpoint 구성을 업데이트합니다. 새 키 저장소와 키 별칭을 참조할 키 저장소 및 키 별칭입니다. TargetEndpoint가 TargetServer를 참조하는 경우 새 키 저장소를 참조하도록 TargetServer 정의를 업데이트하세요. 키 별칭이 있습니다
    2. keystore와 truststore가 TargetEndpoint에서 직접 참조되는 경우 프록시를 다시 배포해야 합니다. TargetEndpoint가 TargetServer 정의, TargetServer 정의는 키 저장소 및 트러스트 저장소를 사용하는 경우 프록시 재배포가 필요하지 않습니다.
  4. API 프록시가 올바르게 작동하는지 확인합니다.
  5. keystore/truststore 또는 별칭을 삭제합니다.

키 저장소 삭제

목록에서 keystore 또는 trustore 위에 커서를 올려놓으면 작업을 표시하는 keystore 또는 truststore를 삭제할 수 있습니다. 메뉴를 열고 버튼을 클릭합니다. 배포 중인 키 저장소 또는 트러스트 저장소를 삭제하는 경우 가상 호스트 또는 대상 엔드포인트/대상 서버에서 사용. 가상 호스트를 통한 모든 API 호출 또는 대상 엔드포인트/대상 서버가 실패합니다

주의: 키를 변환하기 전에는 키 저장소를 삭제하면 안 됩니다. 새 키 저장소를 사용하기 위한 가상 호스트 및 대상 엔드포인트/대상 서버입니다.

별칭 삭제하기

목록의 별칭 위에 커서를 올려놓으면 별칭을 삭제할 수 있습니다. 그러면 작업이 표시됩니다. 메뉴를 열고 버튼을 클릭합니다. 가상 호스트에서 사용 중인 별칭을 삭제하거나 대상 엔드포인트/대상 서버, 가상 호스트 또는 대상 엔드포인트/대상을 통한 모든 API 호출 서버 오류가 발생합니다

주의: 가상 머신을 변환하기 전에는 별칭을 삭제하면 안 됩니다. 호스트 및 대상 엔드포인트/대상 서버를 사용하여 새 키 저장소와 별칭을 사용합니다.