إنشاء ملفات تخزين مفاتيح ومخزن الثقة باستخدام واجهة مستخدم Edge

أنت تطّلع على مستندات Apigee Edge.
انتقِل إلى مستندات Apigee X. info

يوضّح هذا المستند كيفية إنشاء وتعديل وحذف ملفّات تخزين المفاتيح وملفّات تخزين الثقة لإصدار Edge لـ Cloud وEdge لإصدار Private Cloud 4.18.01 والإصدارات الأحدث.

لمحة عن ملفّات تخزين المفاتيح/ملفّات تخزين الثقة والمضيفين الافتراضيين في Edge Cloud

تتطلّب عملية إنشاء ملفّات تخزين المفاتيح/ملفّات تخزين الثقة في Edge Cloud اتّباع جميع القواعد المتعلّقة باستخدام المضيفين الظاهريين. على سبيل المثال، مع المضيفين الظاهريين في السحابة الإلكترونية:

  • يجب أن تستخدم المضيفات الافتراضية بروتوكول TLS.
  • يمكن للمضيفين الظاهريين استخدام المنفذ 443 فقط.
  • يجب استخدام شهادة TLS موقَّعة. لا يُسمح باستخدام الشهادات غير الموقَّعة مع المضيفين الظاهريين في السحابة الإلكترونية.
  • يجب أن يتطابق اسم النطاق المحدّد من خلال شهادة بروتوكول أمان طبقة النقل (TLS) مع الاسم المعرِّف للمضيف الظاهري.

مزيد من المعلومات:

تنفيذ ملفّات تخزين المفاتيح وملفّات تخزين الثقة في Chrome

لضبط الوظائف التي تعتمد على بنية المفتاح العام، مثل بروتوكول أمان طبقة النقل (TLS)، عليك إنشاء ملفّات تخزين مفاتيح وملفّات تخزين ثقة تحتوي على المفاتيح والشهادات الرقمية اللازمة.

في Edge، يتم تمثيل كلّ من ملفات تخزين المفاتيح وملفات تخزين الثقة بعنصر تخزين مفاتيح يحتوي على أسماء بديلة واحدة أو أكثر. وهذا يعني أنّه ما مِن فرق في التنفيذ بين ملف تخزين المفاتيح وملف تخزين الثقة في Edge.

يرجع الفرق بين ملفّات تخزين المفاتيح وملفّات تخزين الثقة إلى أنواع الإدخالات التي تحتوي عليها وطريقة استخدامها في عملية مصافحة بروتوكول أمان طبقة النقل (TLS):

  • ملف تخزين مفاتيح التشفير: عنصر ملف تخزين مفاتيح التشفير يحتوي على واحد أو أكثر من الأسماء البديلة، حيث يحتوي كل اسم بديل على زوج من الشهادات/المفاتيح.
  • ملفّ تخزين الثقة: عنصر ملفّ تخزين مفاتيح التشفير يحتوي على واحد أو أكثر من الأسماء البديلة، حيث يحتوي كلّ اسم بديل على شهادة فقط.

عند ضبط بروتوكول أمان طبقة النقل (TLS) لخادم افتراضي أو نقطة نهاية مستهدَفة، توفّر ملفّات تخزين المفاتيح وملفّات تخزين الثقة أدوارًا مختلفة في عملية مصافحة بروتوكول أمان طبقة النقل (TLS). عند ضبط مضيف افتراضي أو نقطة نهاية مستهدفة، يمكنك تحديد ملفّات تخزين المفاتيح وملفّات تخزين الثقة بشكل منفصل في علامة <SSLInfo> ، كما هو موضّح أدناه للمضيف الافتراضي:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>false</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
    </SSLInfo>
</VirtualHost>

في هذا المثال، يمكنك تحديد اسم مخزن المفاتيح والاسم المعرِّف المستخدَمَين من قِبل المضيف الافتراضي لملف تعريف مفتاح بروتوكول أمان طبقة النقل (TLS). يمكنك استخدام مرجع لتحديد اسم ملف تخزين المفاتيح حتى تتمكّن من تغييره لاحقًا عند انتهاء صلاحية الشهادة. يحتوي الاسم المعرِّف على زوج مفتاح/شهادة يُستخدَم لتعريف المضيف الافتراضي لعميل بروتوكول أمان طبقة النقل (TLS) الذي يصل إلى المضيف الافتراضي. في هذا المثال، لا يلزم توفُّر ملف تخزين ثقة.

إذا كان ملف تخزين الثقة مطلوبًا، على سبيل المثال لإعداد بروتوكول أمان طبقة النقل (TLS) ثنائي الاتجاه، استخدِم العلامة <TrustStore> لتحديد ملف تخزين الثقة:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>true</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
        <TrustStore>ref://truststoreref</TrustStore>
    </SSLInfo>
</VirtualHost>

في هذا المثال، تشير علامة <TrustStore> إلى متجر مفاتيح فقط، ولا تحديد بديلاً معيّنًا. يحتوي كل عنوان بديل في ملف تخزين المفاتيح على شهادة أو سلسلة شهادات يتم استخدامها كجزء من عملية مصافحة بروتوكول أمان طبقة النقل (TLS).

تنسيقات الشهادات المتوافقة

التنسيق إتاحة تحميل البيانات من خلال واجهة برمجة التطبيقات وواجهة المستخدم التوافق مع الطلبات الواردة تمّ التحقق من الملف
PEM نعم نعم نعم
* PKCS12 نعم نعم نعم
ملاحظة: تُحوِّل Apigee
PKCS12 إلى PEM داخليًا.
* DER لا لا نعم
‫* PKCS7 لا لا لا

* ننصحك باستخدام PEM إن أمكن.

استخدام ملفّات تخزين مفاتيح التشفير PKCS12 مع Edge for Private Cloud 4.53.00 أو الإصدارات الأحدث

إذا كنت تستخدم Edge for Private Cloud 4.53.00 أو إصدارًا أحدث، يجب استخدام متجر مفاتيح PKCS12 فقط لتحميل المفاتيح والشهادات ذات الصلة إلى Apigee. للحصول على مساعدة بشأن تحويل مفاتيحك وشهاداتك الحالية إلى تنسيق PKCS12/PFX، يُرجى الاطّلاع على مقالة تحويل الشهادات إلى تنسيق متوافق.

لمحة عن تنفيذ عنوان بريد إلكتروني بديل

في Edge، يحتوي متجر مفاتيح على أسماء بديلة واحدة أو أكثر، حيث يحتوي كل اسم بديل على ما يلي:

  • شهادة بروتوكول أمان طبقة النقل (TLS) بتنسيق PEM أو ملف PKCS12/PFX: إما شهادة موقَّعة من هيئة إصدار الشهادات (CA) أو ملف يحتوي على سلسلة من الشهادات تم توقيع الشهادة الأخيرة فيها من قِبل هيئة إصدار الشهادات أو شهادة موقَّعة ذاتيًا
  • المفتاح الخاص كملف PEM أو PKCS12/PFX يتيح Edge أحجام مفاتيح تصل إلى 2048 بت. إنّ عبارة المرور اختيارية.

في Edge، يحتوي ملف تخزين الثقة على أسماء بديلة واحدة أو أكثر، حيث يحتوي كل اسم بديل على:

  • شهادة بروتوكول أمان طبقة النقل (TLS) بتنسيق ملف PEM: إما شهادة موقَّعة من مرجع تصديق (CA) ، أو سلسلة من الشهادات تم توقيع الشهادة الأخيرة فيها من قِبل مرجع تصديق، أو شهادة موقَّعة ذاتيًا

يوفّر Edge واجهة مستخدم وواجهة برمجة تطبيقات يمكنك استخدامهما لإنشاء ملفات تخزين مفاتيح وإنشاء أسماء بديلة وتحميل أزواج الشهادات/المفاتيح وتعديل الشهادات. واجهة المستخدم وواجهة برمجة التطبيقات اللتان تستخدمهما لإنشاء ملف تخزين ثقة هما نفس الواجهات التي تستخدمها لإنشاء ملف تخزين مفاتيح. يكمن الاختلاف في أنّك عند إنشاء مخبأ ثقة، تنشئ أسماء بديلة تحتوي على شهادة فقط.

لمحة عن تنسيق ملفَي الشهادة والمفتاح

يمكنك تمثيل الشهادات والمفاتيح كملفات PEM أو كملفات PKCS12/PFX. تتوافق ملفات PEM مع تنسيق X.509. إذا لم يتم تحديد شهادتك أو مفتاحك الخاص من خلال ملف PEM، يمكنك تحويله إلى ملف PEM باستخدام أدوات مثل openssl.

ومع ذلك، هناك العديد من ملفات ‎ .crt وملفات ‎ .key بتنسيق PEM. إذا كانت هذه الملفات ملفات ملفَّات نصية ومضمّنة في:

-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----

أو:

-----BEGIN ENCRYPTED PRIVATE KEY-----
-----END ENCRYPTED PRIVATE KEY-----

بعد ذلك، تصبح الملفات متوافقة مع تنسيق PEM ويمكنك استخدامها في ملف تخزين مفاتيح أو ملف تخزين ثقة بدون تحويلها إلى ملف PEM.

لمحة عن سلاسل الشهادات

إذا كانت الشهادة جزءًا من سلسلة، يتم التعامل معها بشكل مختلف استنادًا إلى ما إذا كانت الشهادة مستخدَمة في ملف تخزين مفاتيح أو في ملف تخزين ثقة:

  • Keystore: إذا كان أحد الشهادات جزءًا من سلسلة، يجب إنشاء ملف واحد يحتوي على كل الشهادات في السلسلة. يجب أن تكون الشهادات مرتبة ويجب أن تكون الشهادة الأخيرة شهادة جذر أو شهادة وسيطة موقَّعة من شهادة جذر.
  • ملف تخزين الثقة: إذا كان أحد الشهادات جزءًا من سلسلة، عليك إنشاء ملف واحد يحتوي على كل الشهادات وتحميل هذا الملف إلى عنوان بديل، أو تحميل كل الشهادات في السلسلة بشكل منفصل إلى ملف تخزين الثقة باستخدام عنوان بديل مختلف لكل شهادة. في حال تحميلها كشهادة واحدة، يجب ترتيب الشهادات ويجب أن تكون الشهادة الأخيرة شهادة جذر أو شهادة متوسطة موقَّعة بشهادة جذر.
  • إذا أنشأت ملفًا واحدًا يحتوي على عدة شهادات، عليك إدراج سطر فارغ بين كل شهادة.

على سبيل المثال، يمكنك دمج جميع الشهادات في ملف PEM واحد. يجب أن تكون الشهادات مرتبة، ويجب أن تكون الشهادة الأخيرة شهادة جذر أو شهادة وسيطة موقَّعة من شهادة جذر:

-----BEGIN CERTIFICATE----- 
(Your Primary TLS certificate) 
-----END CERTIFICATE----- 

-----BEGIN CERTIFICATE----- 
(Intermediate certificate) 
-----END CERTIFICATE-----
 
-----BEGIN CERTIFICATE----- 
(Root certificate or intermediate certificate signed by a root certificate) 
-----END CERTIFICATE-----

إذا كانت شهاداتك معروضة كملفات PKCS12/PFX، يمكنك استخدام الأمر openssl لإنشاء ملف PKCS12/PFX من سلسلة الشهادات، كما هو موضّح أدناه:

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

عند العمل مع سلاسل الشهادات في مخبأ الثقة، ليس عليك دائمًا تحميل كل الشهادات في السلسلة. على سبيل المثال، يمكنك تحميل شهادة العميل client_cert_1 و شهادة مُصدِر شهادة العميل ca_cert.

أثناء مصادقة TLS الثنائية، تنجح مصادقة العميل عندما يرسل الخادم client_cert_1 إلى العميل كجزء من عملية مصافحة TLS.

بدلاً من ذلك، لديك شهادة ثانية، client_cert_2، موقَّعة بالشهادة نفسها، ca_cert. ومع ذلك، لا تحمِّل client_cert_2 إلى ملف تخزين الثقة. لا يزال ملف تخزين الثقة يحتوي على client_cert_1 وca_cert فقط.

عندما يُرسِل الخادم client_cert_2 كجزء من عملية تأكيد الاتصال من خلال بروتوكول أمان طبقة النقل، يتم إكمال الطلب. ويعود السبب في ذلك إلى أنّ Edge يسمح بنجاح عملية التحقّق من بروتوكول أمان طبقة النقل (TLS) عندما لا تكون client_cert_2 متوفّرة في ملف تخزين الموثوق بهم ولكن تم توقيعها من خلال شهادة متوفّرة في ملف تخزين الموثوق بهم. في حال إزالة شهادة مرجع التصديق ca_cert من ملف تخزين الثقة، سيتعذّر إثبات صحة بروتوكول أمان طبقة النقل.

اعتبارات FIPS

إذا كنت تستخدم Edge for Private Cloud 4.53.00 أو إصدارًا أحدث على نظام تشغيل متوافق مع معيار FIPS، يجب استخدام متجر مفاتيح PKCS12 فقط لتحميل المفاتيح والشهادات ذات الصلة إلى Apigee.

استكشاف صفحة "ملفات تخزين مفاتيح بروتوكول أمان طبقة النقل (TLS)"

انتقِل إلى صفحة "ملفات تخزين مفاتيح طبقة النقل الآمنة"، كما هو موضّح أدناه.

Edge

للوصول إلى صفحة "ملفات تخزين مفاتيح طبقة النقل الآمنة" باستخدام واجهة مستخدم Edge:

  1. سجِّل الدخول إلى https://apigee.com/edge بصفتك مشرف مؤسسة.
  2. اختَر مؤسستك.
  3. اختَر المشرف > البيئة > مخازن مفاتيح بروتوكول أمان طبقة النقل (TLS).

Classic Edge (سحابة خاصة)

للوصول إلى صفحة "ملفات تخزين مفاتيح طبقة النقل الآمنة" باستخدام واجهة مستخدم Edge الكلاسيكية:

  1. سجِّل الدخول إلى http://ms-ip:9000 بصفتك مشرف مؤسسة، حيث يكون ms-ip هو عنوان IP أو اسم نظام أسماء النطاقات الخاص بعقدة "خادم الإدارة".
  2. اختَر مؤسستك.
  3. اختَر المشرف > إعدادات البيئة > مخازن مفاتيح بروتوكول طبقة المقابس الآمنة (TLS).

يتم عرض صفحة "ملفات تخزين مفاتيح طبقة النقل الآمنة":

كما هو موضّح في الشكل السابق، تتيح لك صفحة "ملفات تخزين مفاتيح طبقة النقل الآمنة" إجراء ما يلي:

عرض عنوان بريد إلكتروني بديل

لعرض عنوان بديل للبريد الإلكتروني:

  1. الدخول إلى صفحة "ملفات تخزين مفاتيح TLS"
  2. اختَر "البيئة" (عادةً prod أو test).
  3. انقر على الصف المرتبط بالعنوان البديل الذي تريد عرضه.

    يتم عرض تفاصيل شهادة الاسم المعرِّف والمفتاح.

    يمكنك الاطّلاع على كل المعلومات المتعلّقة بالعنوان البديل، بما في ذلك تاريخ انتهاء الصلاحية.

  4. يمكنك إدارة الشهادة باستخدام الأزرار في أعلى الصفحة لإجراء ما يلي:
    • نزِّل شهادة الاعتماد كملف PEM.
    • أنشئ طلب توقيع شهادة (CSR). إذا كانت لديك شهادة منتهية الصلاحية وأردت تجديدها، يمكنك تنزيل طلب توقيع شهادة (CSR). بعد ذلك، تُرسِل طلب الحصول على شهادة إلى هيئة إصدار الشهادات للحصول على شهادة جديدة.
    • تعديل شهادة تحذير: في حال تعديل شهادة يتم استخدامها حاليًا من قِبل مضيف افتراضي أو خادم مستهدَف/نقطة نهاية مستهدَفة، عليك التواصل مع فريق دعم Apigee Edge لإعادة تشغيل أجهزة التوجيه ومعالجات الرسائل. الطريقة المقترَحة لتعديل الشهادة هي:
      1. أنشئ ملف تخزين مفاتيح أو ملف تخزين ثقة جديدَين.
      2. أضِف الشهادة الجديدة إلى ملف تخزين المفاتيح أو ملف تخزين الثقة الجديد.
      3. عدِّل الإشارة في المضيف الافتراضي أو الخادم المستهدَف/نقطة النهاية المستهدَفة إلى ملف تخزين المفاتيح أو ملف تخزين الثقة. اطّلِع على تعديل شهادة طبقة النقل الآمنة (TLS) في Cloud للحصول على مزيد من المعلومات.
      4. احذف الاسم المعرِّف. ملاحظة: إذا حذفت عنوانًا بديلاً وكان يتم استخدامه حاليًا من قِبل مضيف افتراضي أو نقطة نهاية مستهدَفة، سيتعطّل المضيف الافتراضي أو نقطة النهاية المستهدَفة.

إنشاء ملف تخزين مفاتيح/ملف تخزين ثقة وعنوان بديل

يمكنك إنشاء مخزن مفاتيح لاستخدامه كمخزن مفاتيح بروتوكول أمان طبقة النقل (TLS) أو مخزن شهادات الجذر الموثوق بها لبروتوكول أمان طبقة النقل (TLS). ملف تخزين المفاتيح هو خاص ببيئة في مؤسستك، مثل بيئة الاختبار أو الإنتاج. لذلك، إذا أردت اختبار ملف تخزين المفاتيح في بيئة اختبار قبل نشره في بيئة الإنتاج، عليك إنشاؤه في كلتا البيئتَين.

لإنشاء ملف تخزين مفاتيح في بيئة، ما عليك سوى تحديد اسم ملف تخزين المفاتيح. بعد إنشاء ملف تخزين مفاتيح مُعنوَن في بيئة، يمكنك بعد ذلك إنشاء أسماء بديلة وتحميل زوج شهادة/مفتاح (ملف تخزين مفاتيح) أو تحميل شهادة فقط (ملف تخزين ثقة) إلى الاسم البديل.

لإنشاء ملف تخزين مفاتيح:

  1. الدخول إلى صفحة "ملفات تخزين مفاتيح TLS"
  2. اختَر "البيئة" (عادةً prod أو test).
  3. انقر على + ملف تخزين المفاتيح.
  4. حدِّد اسم ملف تخزين المفاتيح. لا يمكن أن يتضمّن الاسم سوى أحرف أبجدية رقمية.
  5. انقر على إضافة حِزمة مفاتيح. يظهر مخبّر المفاتيح الجديد في القائمة.
  6. استخدِم إحدى الطريقتَين التاليتَين لإضافة اسم مستعار. اطّلِع أيضًا على تنسيقات ملفات الشهادات المتوافقة.

إنشاء عنوان بديل من شهادة (متجر الثقة فقط)

لإنشاء عنوان بديل من شهادة، اتّبِع الخطوات التالية:

  1. الدخول إلى صفحة "ملفات تخزين مفاتيح TLS"
  2. ضَع مؤشر الماوس فوق ملف تخزين المفاتيح لعرض قائمة الإجراءات وانقر على +.
  3. حدِّد اسم العنوان البديل.
  4. ضمن تفاصيل الشهادة، اختَر الشهادة فقط في القائمة المنسدلة "النوع".
  5. انقر على اختيار ملف بجانب ملف الشهادة، وانتقِل إلىملف PEM الذي يحتوي على الشهادة، ثم انقر على فتح.
  6. تتحقّق واجهة برمجة التطبيقات تلقائيًا من عدم انتهاء صلاحية الشهادة. يمكنك اختياريًا تحديد السماح بشهادة منتهي الصلاحية لتخطّي عملية التحقّق.
  7. انقر على حفظ لتحميل شهادة الاعتماد وإنشاء الاسم المعرِّف.

إنشاء عنوان بديل من ملف JAR (ملف تخزين المفاتيح فقط)

لإنشاء عنوان بديل من ملف JAR:

  1. الدخول إلى صفحة "ملفات تخزين مفاتيح TLS"
  2. ضَع المؤشر فوق ملف تخزين المفاتيح لعرض قائمة الإجراءات وانقر على +.
  3. حدِّد اسم العنوان البديل.
  4. ضمن تفاصيل الشهادة، اختَر ملف JAR في القائمة المنسدلة "النوع".
  5. انقر على اختيار ملف بجانب ملف JAR، وانتقِل إلى ملف JAR الذي يحتوي على شهادة الاعتماد والمفتاح، ثم انقر على فتح.
  6. إذا كان المفتاح يتضمّن كلمة مرور، حدِّد كلمة المرور. إذا لم يكن المفتاح يتضمّن كلمة مرور، اترك هذا الحقل فارغًا.
  7. تتحقّق واجهة برمجة التطبيقات تلقائيًا من عدم انتهاء صلاحية الشهادة. يمكنك اختياريًا تحديد السماح بشهادة منتهي الصلاحية لتخطّي عملية التحقّق.
  8. انقر على حفظ لتحميل المفتاح والشهادة وإنشاء الاسم المعرِّف.

إنشاء عنوان بديل من شهادة ومفتاح (ملف تخزين المفاتيح فقط)

لإنشاء عنوان بديل من شهادة ومفتاح:

  1. الدخول إلى صفحة "ملفات تخزين مفاتيح TLS"
  2. ضَع مؤشر الماوس فوق ملف تخزين المفاتيح لعرض قائمة الإجراءات وانقر على +.
  3. حدِّد الاسم البديل للبريد الإلكتروني.
  4. ضمن تفاصيل الشهادة، اختَر الشهادة والمفتاح في القائمة المنسدلة "النوع".
  5. انقر على اختيار ملف بجانب ملف الشهادة، وانتقِل إلى ملف PEM الذي يحتوي على الشهادة، ثم انقر على فتح.
  6. إذا كان المفتاح يتضمّن كلمة مرور، حدِّد كلمة مرور المفتاح. إذا لم يكن المفتاح يتضمّن كلمة مرور، اترك هذا الحقل فارغًا.
  7. انقر على اختيار ملف بجانب ملف المفتاح، وانتقِل إلى ملف PEM الذي يحتوي على المفتاح، ثم انقر على فتح.
  8. تتحقّق واجهة برمجة التطبيقات تلقائيًا من عدم انتهاء صلاحية الشهادة. يمكنك اختياريًا تحديد السماح بشهادة منتهي الصلاحية لتخطّي عملية التحقّق.
  9. انقر على حفظ لتحميل المفتاح والشهادة وإنشاء الاسم المعرِّف.

إنشاء عنوان بديل من ملف PKCS12/PFX (متجر المفاتيح فقط)

لإنشاء عنوان بديل من ملف PKCS12 يحتوي على الشهادة والمفتاح:

  1. الدخول إلى صفحة "ملفات تخزين مفاتيح TLS"
  2. ضَع مؤشر الماوس فوق ملف تخزين المفاتيح لعرض قائمة الإجراءات وانقر على +.
  3. حدِّد اسم العنوان البديل.
  4. ضمن تفاصيل الشهادة، اختَر PKCS12/PFX في القائمة المنسدلة "النوع".
  5. انقر على اختيار ملف بجانب PKCS12/PFX، وانتقِل إلىملف الذي يحتوي على المفتاح والشهادة، ثم انقر على فتح.
  6. إذا كان المفتاح يتضمّن كلمة مرور، حدِّد كلمة المرور لملف PKCS12/PFX. إذا لم يكن المفتاح يحتوي على كلمة مرور، اترك هذا الحقل فارغًا.
  7. تتحقّق واجهة برمجة التطبيقات تلقائيًا من عدم انتهاء صلاحية الشهادة. يمكنك اختياريًا تحديد السماح بشهادة منتهي الصلاحية لتخطّي عملية التحقّق.
  8. انقر على حفظ لتحميل الملف وإنشاء الاسم المعرِّف.

إنشاء عنوان بديل من شهادة موقعة ذاتيًا (ملف تخزين المفاتيح فقط)

لإنشاء عنوان بديل يستخدم شهادة موقَّعة ذاتيًا، عليك ملء نموذج يتضمّن المعلومات اللازمة لإنشاء الشهادة. بعد ذلك، ينشئ Edge الشهادة وزوج مفتاح خاص ويحملهما إلى الاسم المعرِّف.

لإنشاء عنوان بديل من شهادة موقَّعة ذاتيًا:

  1. الدخول إلى صفحة "ملفات تخزين مفاتيح TLS"
  2. ضَع المؤشر فوق ملف تخزين المفاتيح لعرض قائمة الإجراءات وانقر على +.
  3. حدِّد اسم العنوان البديل.
  4. ضمن تفاصيل الشهادة، اختَر شهادة موقَّعة ذاتيًا في القائمة المنسدلة "النوع".
  5. يُرجى ملء النموذج باستخدام الجدول أدناه.
  6. انقر على حفظ لإنشاء شهادة التشفير وزوج المفتاح الخاص وتحميلهما إلى الاسم المعرِّف.

في الشهادة التي تم إنشاؤها، ستظهر لك الحقول الإضافية التالية:

  • جهة الإصدار
    الجهة التي وقّعت الشهادة وأصدرتها. بالنسبة إلى الشهادة الموقَّعة ذاتيًا، هذا هو CN الذي حدّدته عند إنشاء الشهادة.
  • الصلاحية
    فترة صلاحية الشهادة معروضة كتاريخَين: تاريخ بدء فترة صلاحية الشهادة وتاريخ انتهاء فترة صلاحيتها. يمكن ترميز كلٍ منهما كقيم UTCTime أو GeneralizedTime.

يوضّح الجدول التالي حقول النموذج:

حقل النموذج الوصف تلقائي مطلوب
اسم العنوان البديل اسم العنوان البديل الحد الأقصى للطول هو 128 حرفًا. لا ينطبق نعم
حجم المفتاح حجم المفتاح، بوحدات البت القيمة التلقائية والحد الأقصى هو 2048 بت. 2048 لا
خوارزمية التوقيع خوارزمية التوقيع لإنشاء المفتاح الخاص في ما يلي القيم الصالحة: "SHA512withRSA"، و"SHA384withRSA" و "SHA256withRSA" (القيمة التلقائية). SHA256withRSA لا
صلاحية الشهادة بالأيام مدة صلاحية الشهادة بالأيام يمكن إدخال قيمة موجبة غير صفرية. 365 لا
الاسم الشائع يحدِّد الاسم العام (CN) للمؤسسة أسماء النطاقات المؤهَّلة بالكامل المرتبطة بالشهادة. ويتألف عادةً من مضيف واسم نطاق. على سبيل المثال، api.enterprise.apigee.com وwww.apigee.com وما إلى ذلك. الحد الأقصى للطول هو 64 حرفًا.

استنادًا إلى نوع الشهادة، يمكن أن يكون الاسم المعرِّف للجهة (CN) اسم مضيف واحدًا أو أكثر ينتمي إلى النطاق نفسه (مثل example.com www.example.com)، أو اسمًا بدلاً (مثل *.example.com) أو قائمة بالنطاقات. يجب عدم تضمين أي بروتوكول (http:// أو https://) أو رقم منفذ أو مسار مورد.

لا تكون الشهادة صالحة إلا إذا كان اسم المضيف للطلب يتطابق مع اسم شائع واحد على الأقل من أسماء الشهادات.

 لا ينطبق نعم
البريد الإلكتروني عنوان البريد الإلكتروني الحد الأقصى للطول هو 255 حرفًا. لا ينطبق لا
اسم الوحدة التنظيمية اسم فريق المؤسسة. الحد الأقصى للطول هو 64 حرفًا. لا ينطبق لا
اسم المؤسسة اسم المؤسسة الحد الأقصى للطول هو 64 حرفًا. لا ينطبق لا
منطقة محلية اسم المدينة أو البلدة الحد الأقصى للطول هو 128 حرفًا. لا ينطبق لا
الولاية/المقاطعة اسم الولاية أو المقاطعة الحد الأقصى للطول هو 128 حرفًا. لا ينطبق لا
البلد رمز البلد المكوّن من حرفَين على سبيل المثال، IN للهند وUS للولايات المتحدة الأمريكية. لا ينطبق لا
الأسماء البديلة قائمة بأسماء المضيفين البديلة يسمح بربط هويات إضافية بموضوع الشهادة. تشمل الخيارات المحدّدة عنوان البريد الإلكتروني على الإنترنت، واسم نظام أسماء النطاقات، وعنوان IP، ومعرّف الموارد المنتظم (URI).

255 حرفًا بحد أقصى لكل قيمة يمكنك فصل الأسماء بفواصل أو بالضغط على مفتاح Enter بعد كل اسم.

 لا ينطبق لا

اختبار ملف تخزين مفاتيح أو ملف تخزين ثقة

يمكنك اختبار ملفّ تخزين الثقة وملفّ تخزين المفاتيح في واجهة مستخدِم Edge للتأكّد من ضبطهما بشكلٍ صحيح. تُجري واجهة مستخدم الاختبار عملية التحقّق من طلب بروتوكول أمان طبقة النقل (TLS) من Edge إلى خدمة الخلفية. يمكن ضبط خدمة الخلفية لتتوافق مع بروتوكول أمان طبقة النقل (TLS) أحادي الاتجاه أو ثنائي الاتجاه.

لاختبار بروتوكول أمان طبقة النقل (TLS) أحادي الاتجاه:

  1. الدخول إلى صفحة "ملفات تخزين مفاتيح TLS"
  2. اختَر "البيئة" (عادةً prod أو test).
  3. ضع المؤشر فوق ملف تخزين مفاتيح طبقة النقل الآمنة (TLS) الذي تريد اختباره لعرض قائمة الإجراءات، ثم انقر على اختبار. يظهر مربّع الحوار التالي يعرض اسم ملف تخزين الثقة:
  4. أدخِل اسم مضيف خدمة الخلفية.
  5. أدخِل رقم منفذ بروتوكول أمان طبقة النقل (TLS) (عادةً 443).
  6. يمكنك اختياريًا تحديد أي بروتوكولات أو رموز تشفير.
  7. انقر على اختبار.

لاختبار بروتوكول أمان طبقة النقل (TLS) الثنائي الاتجاه:

  1. انقر على الزر اختبار لملف تخزين الثقة المطلوب.
  2. في مربّع الحوار، اختَر اتجاهان في نوع اختبار طبقة المقابس الآمنة. يظهر مربّع الحوار التالي:
  3. حدِّد اسم ملف تخزين المفاتيح المستخدَم في بروتوكول TLS ثنائي الاتجاه.
  4. حدِّد الاسم البديل في مخزن المفاتيح الذي يحتوي على الشهادة والمفتاح.
  5. أدخِل اسم مضيف خدمة الخلفية.
  6. أدخِل رقم منفذ بروتوكول أمان طبقة النقل (TLS) (عادةً 443).
  7. يمكنك اختياريًا تحديد أي بروتوكولات أو رموز تشفير.
  8. انقر على اختبار.

إضافة شهادة إلى مستودع ثقة لاستخدام بروتوكول أمان طبقة النقل (TLS) ثنائي الاتجاه

عند استخدام بروتوكول أمان طبقة النقل (TLS) ثنائي الاتجاه للاتصالات الواردة، أي طلب واجهة برمجة تطبيقات إلى Edge، يحتوي مخبّر الثقة على شهادة أو سلسلة هيئة إصدار الشهادات لكل عميل مسموح له بتقديم طلبات إلى Edge.

عند ضبط ملف تخزين الثقة في البداية، يمكنك إضافة جميع الشهادات للعملاء المعروفين. ومع ذلك، قد تحتاج بمرور الوقت إلى إضافة شهادات إضافية إلى ملف تخزين الثقة عند إضافة عملاء جدد.

لإضافة شهادات جديدة إلى مستودع ثقة يُستخدَم لبروتوكول أمان طبقة النقل (TLS) ثنائي الاتجاه:

  1. تأكَّد من استخدام مرجع إلى ملف تخزين الثقة في المضيف الافتراضي.
  2. حمِّل شهادة جديدة إلى ملف تخزين الثقة كما هو موضّح أعلاه في إنشاء عنوان بديل من شهادة (ملف تخزين الثقة فقط).

  3. عدِّل مرجع ملف تخزين الثقة لضبطه على القيمة نفسها. يؤدي هذا التعديل إلى إعادة تحميل Edge لملف تخزين الثقة والشهادة الجديدة.

    اطّلِع على تعديل مرجع لمعرفة المزيد.

حذف ملف تخزين مفاتيح التشفير/ملف تخزين الثقة أو عنوان بديل

يجب توخي الحذر عند حذف ملفات تخزين المفاتيح أو ملفات تخزين الثقة أو الأسماء البديلة. في حال حذف ملفات تخزين مفاتيح أو ملفات تخزين ثقة أو عناوين بديلة يستخدمها مضيف افتراضي أو نقطة نهاية مستهدفة أو خادم مستهدف، ستتعذّر جميع طلبات البيانات من واجهة برمجة التطبيقات من خلال المضيف الافتراضي أو نقطة النهاية المستهدفة/الخادم المستهدف.

في العادة، تكون العملية التي تستخدمها لحذف ملف تخزين مفاتيح التشفير/ملف تخزين الثقة أو الاسم المعرِّف هي:

  1. أنشئ ملف تخزين مفاتيح/ملف تخزين ثقة أو عنوان بديل جديدَين كما هو موضّح أعلاه.
  2. بالنسبة إلى عمليات الربط الواردة، أي طلب واجهة برمجة التطبيقات إلى Edge، عدِّل إعدادات المضيف الافتراضي للإشارة إلى ملف تخزين المفاتيح الجديد والاسم المعرِّف للمفتاح.
  3. بالنسبة إلى عمليات الاتصال الصادرة، أي من Apigee إلى خادم خلفية:
    1. عدِّل إعدادات TargetEndpoint لأيّ وكلاء واجهة برمجة تطبيقات يشير إلى ملف تخزين مفاتيح التشفير القديم والاسم المعرِّف للمفتاح القديم للإشارة إلى ملف تخزين مفاتيح التشفير الجديد والاسم المعرِّف للمفتاح الجديد. إذا كان TargetEndpoint يشير إلى TargetServer، عدِّل تعريف TargetServer للإشارة إلى ملف تخزين المفاتيح والاسم المعرِّف الجديد للمفتاح.
    2. إذا تمت الإشارة إلى ملف تخزين المفاتيح وملف تخزين الثقة مباشرةً من تعريف TargetEndpoint ، عليك إعادة نشر الخادم الوكيل. إذا كانت TargetEndpoint تشير إلى تعريف TargetServer، وكان تعريف TargetServer يشير إلى ملف تخزين المفاتيح وملف تخزين الثقة، لن يكون من الضروري إعادة نشر الخادم الوكيل.
  4. تأكَّد من أنّ الخوادم الوكيلة لواجهات برمجة التطبيقات تعمل بشكل صحيح.
  5. احذف ملف تخزين المفاتيح أو ملف تخزين الثقة أو الاسم المعرِّف.

حذف مخبأ مفاتيح

يمكنك حذف ملف تخزين مفاتيح أو ملف تخزين ثقة من خلال وضع المؤشر فوق ملف تخزين المفاتيح أو ملف تخزين الثقة في القائمة لعرض قائمة الإجراءات والنقر على . في حال حذف متجر مفاتيح أو متجر ثقة يستخدمه مضيف افتراضي أو نقطة نهاية مستهدفة/خادم مستهدف، ستتعذّر جميع طلبات البيانات من واجهة برمجة التطبيقات من خلال المضيف الافتراضية أو نقطة النهاية المستهدفة/الخادم المستهدف.

تحذير: يجب عدم حذف مخبّر مفاتيح التشفير إلى أن تحوّل المضيفين الظاهريين ونقاط النهاية المستهدَفة/الخوادم المستهدَفة لاستخدام مخبّر مفاتيح تشفير جديد.

حذف اسم بديل

يمكنك حذف عنوان بريد إلكتروني بديل عن طريق وضع المؤشر فوق العنوان البديل في القائمة لعرض قائمة الإجراءات والنقر على . في حال حذف عنوان بديل يستخدمه مضيف افتراضي أو نقطة نهاية مستهدفة/خادم مستهدف، ستتعذّر جميع طلبات البيانات من واجهة برمجة التطبيقات التي يتم إجراؤها من خلال المضيف الافتراضي أو نقطة النهاية المستهدفة/الخادم المستهدف.

تحذير: يجب عدم حذف اسم مستعار إلى أن تحوّل المضيفين الظاهريين ونقاط النهاية المستهدَفة/الخوادم المستهدَفة لاستخدام ملفات تخزين مفاتيح وأسماء مستعارة جديدة.