Tạo kho khoá và kho tin cậy bằng giao diện người dùng Edge

Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến Tài liệu về Apigee X. thông tin

Tài liệu này mô tả cách tạo, sửa đổi và xoá kho khoá cũng như kho tin cậy cho Edge dành cho Cloud và Edge dành cho Private Cloud phiên bản 4.18.01 trở lên.

Giới thiệu về kho khoá/cửa hàng tin cậy và máy chủ ảo cho Edge Cloud

Để tạo kho khoá/cửa hàng tin cậy cho Edge Cloud, bạn phải tuân thủ tất cả quy tắc về việc sử dụng máy chủ ảo. Ví dụ: với máy chủ ảo trên Đám mây:

  • Máy chủ ảo phải sử dụng TLS.
  • Máy chủ ảo chỉ có thể sử dụng cổng 443.
  • Bạn phải sử dụng một chứng chỉ TLS đã ký. Không cho phép sử dụng chứng chỉ chưa ký với máy chủ ảo trong Đám mây.
  • Tên miền mà chứng chỉ TLS chỉ định phải khớp với bí danh máy chủ lưu trữ của máy chủ ảo.

Tìm hiểu thêm:

Triển khai kho khoá và kho tin cậy trong Cạnh

Để định cấu hình chức năng dựa trên cơ sở hạ tầng khoá công khai, chẳng hạn như TLS, bạn cần phải tạo kho khoá và kho lưu trữ tin cậy chứa các khoá và chứng chỉ kỹ thuật số cần thiết.

Trong Edge, kho khoá và kho tin cậy đều được biểu thị bằng một thực thể keystore (kho khoá) có chứa một hoặc nhiều email đại diện. Tức là không có sự khác biệt khi triển khai giữa kho khoá và một kho tin cậy trên Edge.

Sự khác biệt giữa kho khoá và kho khoá tin cậy bắt nguồn từ loại mục nhập chứa và cách chúng được sử dụng trong bắt tay TLS:

  • kho khoá – một thực thể keystore có chứa một hoặc nhiều aliases, trong đó mỗi bí danh chứa một cặp chứng chỉ/khoá.
  • Truststore – một thực thể keystore chứa một hoặc nhiều aliases, trong đó mỗi bí danh chỉ chứa một chứng chỉ.

Khi định cấu hình TLS cho máy chủ ảo hoặc điểm cuối đích, kho khoá và kho tin cậy sẽ cung cấp vai trò khác nhau trong quy trình bắt tay TLS. Khi định cấu hình máy chủ ảo hoặc mục tiêu điểm cuối, bạn chỉ định riêng kho khoá và kho tin cậy trong <SSLInfo> như được hiển thị dưới đây đối với máy chủ ảo:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>false</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
    </SSLInfo>
</VirtualHost>

Trong ví dụ này, bạn chỉ định tên của kho khoá và bí danh mà máy chủ lưu trữ ảo sử dụng cho kho khoá TLS. Bạn cần sử dụng tệp tham chiếu để chỉ định tên kho khoá sao cho có thể thay đổi tên đó sau này khi chứng chỉ hết hạn. Bí danh chứa một cặp chứng chỉ/khoá dùng để xác định máy chủ ảo cho máy khách TLS truy cập vào máy chủ ảo. Trong ví dụ này, không có cửa hàng tin cậy là bắt buộc.

Nếu cần một kho lưu trữ tin cậy, chẳng hạn như đối với cấu hình TLS 2 chiều, hãy sử dụng Thẻ <TrustStore> để chỉ định kho tin cậy:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>true</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
        <TrustStore>ref://truststoreref</TrustStore>
    </SSLInfo>
</VirtualHost>

Trong ví dụ này, thẻ <TrustStore> chỉ tham chiếu đến một kho khoá. Thẻ này có không chỉ định bí danh cụ thể. Mỗi bí danh trong kho khoá chứa một chứng chỉ hoặc một chuỗi chứng chỉ được sử dụng trong quy trình bắt tay TLS.

Các định dạng chứng chỉ được hỗ trợ

Định dạng Có hỗ trợ tải lên API và giao diện người dùng Được hỗ trợ về hướng bắc Đã xác thực
PEM
* PKCS12
Lưu ý: Apigee chuyển đổi nội bộ
PKCS12 thành PEM.
* DER (DER) Không Không
* PKCS7 Không Không Không

* Bạn nên dùng PEM nếu có thể.

Giới thiệu về cách triển khai bí danh

Trên Edge, một kho khoá chứa một hoặc nhiều email đại diện, trong đó mỗi bí danh bí danh chứa:

  • Chứng chỉ TLS dưới dạng tệp PEM hoặc PKCS12/PFX – đây là chứng chỉ do một chứng chỉ ký tổ chức phát hành chứng chỉ (CA), một tệp chứa chuỗi chứng chỉ mà chứng chỉ mới nhất được ký bởi một CA hoặc chứng chỉ tự ký.
  • Khoá riêng tư dưới dạng tệp PEM hoặc PKCS12/PFX. Edge hỗ trợ kích thước khoá tối đa 2048 bit. Đáp cụm mật khẩu là tuỳ chọn.

Trên Edge, một kho tin cậy chứa một hoặc nhiều email đại diện, trong đó mỗi bí danh chứa:

  • Chứng chỉ TLS dưới dạng tệp PEM – là chứng chỉ do một tổ chức phát hành chứng chỉ ký (CA), một chuỗi chứng chỉ mà trong đó chứng chỉ cuối cùng được một CA ký hoặc một chứng chỉ tự ký chứng chỉ.

Edge cung cấp một giao diện người dùng và API mà bạn sử dụng để tạo kho khoá, tạo bí danh, tải chứng chỉ/khoá lên các cặp và cập nhật chứng chỉ. Giao diện người dùng và API mà bạn sử dụng để tạo kho tin cậy giống như giao diện của bạn sử dụng để tạo một kho khoá. Sự khác biệt là khi bạn tạo kho tin cậy, bạn tạo các bí danh chỉ chứa một chứng chỉ.

Giới thiệu về định dạng của chứng chỉ và khoá tệp

Bạn có thể biểu thị các chứng chỉ và khoá dưới dạng tệp PEM hoặc tệp PKCS12/PFX. Tệp PEM tuân thủ ở định dạng X.509. Nếu chứng chỉ hoặc khoá riêng tư của bạn không được xác định bằng tệp PEM, bạn có thể chuyển đổi chứng chỉ hoặc khoá này thành tệp PEM bằng cách sử dụng các tiện ích như openssl.

Tuy nhiên, nhiều tệp .crt và tệp .key đã ở định dạng PEM. Nếu những tệp này là văn bản tệp, và được đặt trong:

-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----

hoặc:

-----BEGIN ENCRYPTED PRIVATE KEY-----
-----END ENCRYPTED PRIVATE KEY-----

Sau đó, các tệp này tương thích với định dạng PEM và bạn có thể sử dụng chúng trong kho khoá hoặc đáng tin cậy mà không cần chuyển đổi chúng thành tệp PEM.

Giới thiệu về chuỗi chứng chỉ

Nếu chứng chỉ là một phần của chuỗi, bạn sẽ xử lý chứng chỉ theo cách khác dựa trên việc chứng chỉ đó có được sử dụng trong một kho khoá hoặc trong một kho tin cậy:

  • Kho khoá – Nếu chứng chỉ là một phần của chuỗi, thì bạn phải tạo một tệp chứa tất cả các chứng chỉ trong chuỗi. Các chứng chỉ phải theo thứ tự và chứng chỉ cuối cùng phải là một gốc hoặc chứng chỉ trung gian được ký bởi một chứng chỉ gốc.
  • Truststore – Nếu một chứng chỉ là một phần của chuỗi, thì bạn phải tạo một tệp duy nhất chứa tất cả các chứng chỉ và tải tệp đó lên một bí danh hoặc tải tất cả các chứng chỉ trong chuỗi riêng biệt với Truststore bằng cách sử dụng một bí danh khác cho mỗi chứng chỉ. Nếu bạn tải chúng lên dưới dạng chứng chỉ đơn, các chứng chỉ phải theo thứ tự và chứng chỉ cuối cùng phải là chứng chỉ gốc hoặc chứng chỉ trung gian được ký bởi một chứng chỉ gốc.
  • Nếu tạo một tệp chứa nhiều chứng chỉ, bạn phải chèn một dòng trống giữa mỗi chứng chỉ.

Ví dụ: bạn có thể kết hợp tất cả các chứng chỉ vào một tệp PEM duy nhất. Phải có chứng chỉ và chứng chỉ cuối cùng phải là chứng chỉ gốc hoặc chứng chỉ trung gian do một chứng chỉ gốc ký chứng chỉ:

-----BEGIN CERTIFICATE----- 
(Your Primary TLS certificate) 
-----END CERTIFICATE----- 

-----BEGIN CERTIFICATE----- 
(Intermediate certificate) 
-----END CERTIFICATE-----
 
-----BEGIN CERTIFICATE----- 
(Root certificate or intermediate certificate signed by a root certificate) 
-----END CERTIFICATE-----

Nếu các chứng chỉ của bạn được biểu thị dưới dạng tệp PKCS12/PFX, bạn có thể sử dụng openssl để tạo tệp PKCS12/PFX từ chuỗi chứng chỉ, như được hiển thị dưới đây:

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

Khi làm việc với các chuỗi chứng chỉ trong kho tin cậy, bạn không phải lúc nào cũng phải tải tất cả chứng chỉ trong chuỗi. Ví dụ: bạn tải lên chứng chỉ máy khách, client_cert_1 và chứng chỉ của nhà phát hành chứng chỉ máy khách, ca_cert.

Trong quá trình xác thực TLS hai chiều, xác thực ứng dụng thành công khi máy chủ gửi client_cert_1 gửi đến máy khách trong quá trình bắt tay TLS.

Ngoài ra, bạn có chứng chỉ thứ hai, client_cert_2, được ký bằng cùng một chứng chỉ, ca_cert Tuy nhiên, bạn không tải client_cert_2 lên kho lưu trữ uy tín. Kho tin cậy vẫn chỉ chứa client_cert_1ca_cert.

Khi máy chủ truyền client_cert_2 trong quá trình bắt tay TLS, yêu cầu thành công. Nguyên nhân là do Edge cho phép xác minh TLS thành công khi client_cert_2 không tồn tại trong kho tin cậy nhưng đã được ký bằng chứng chỉ có trong kho tin cậy. Nếu bạn xoá chứng chỉ CA, ca_cert, khỏi kho tin cậy, sau đó xoá xác minh TLS không thành công.

Khám phá trang Kho khoá TLS

Truy cập trang Kho khoá TLS, như mô tả dưới đây.

Edge

Cách truy cập trang Kho khoá TLS bằng giao diện người dùng Edge:

  1. Đăng nhập vào https://apigee.com/edge với tư cách là quản trị viên tổ chức.
  2. Chọn tổ chức của bạn.
  3. Chọn Quản trị > Môi trường > Kho khoá TLS.

Classic Edge (Đám mây riêng tư)

Cách truy cập trang Kho khoá TLS bằng giao diện người dùng Classic Edge:

  1. Đăng nhập vào http://ms-ip:9000 với tư cách là quản trị viên của tổ chức, trong đó ms-ip là Địa chỉ IP hoặc tên DNS của nút Máy chủ quản lý.
  2. Chọn tổ chức của bạn.
  3. Chọn Quản trị > Cấu hình môi trường > Kho khoá TLS.

Trang Kho khoá TLS sẽ xuất hiện:

Như được đánh dấu trong hình trước, trang Kho khoá TLS cho phép bạn:

Xem email đại diện

Cách xem email đại diện:

  1. Truy cập trang Kho khoá TLS.
  2. Chọn Môi trường (thường là prod hoặc test).
  3. Nhấp vào hàng có liên kết với email đại diện mà bạn muốn xem.

    Thông tin chi tiết về khoá và chứng chỉ bí danh sẽ hiển thị.

    Bạn có thể xem tất cả thông tin về bí danh, bao gồm cả ngày hết hạn.

  4. Bạn có thể quản lý chứng chỉ này bằng các nút ở đầu trang để:
    • Tải chứng chỉ xuống dưới dạng tệp PEM.
    • Tạo CSR. Nếu có chứng chỉ đã hết hạn và muốn gia hạn, bạn có thể tải chứng chỉ xuống Yêu cầu ký chứng chỉ (CSR). Sau đó, bạn gửi CSR đến CA để lấy mã chứng chỉ.
    • Cập nhật chứng chỉ. Thận trọng: Nếu bạn cập nhật chứng chỉ hiện đang được một máy chủ ảo hoặc máy chủ đích/điểm cuối đích sử dụng, thì bạn phải liên hệ với Bộ phận hỗ trợ Apigee Edge để khởi động lại Bộ định tuyến và Bộ xử lý thư. Bạn nên áp dụng cách cập nhật chứng chỉ là:
      1. Tạo một kho khoá hoặc kho tin cậy mới.
      2. Thêm chứng chỉ mới vào kho khoá hoặc kho tin cậy mới.
      3. Cập nhật tham chiếu trong máy chủ ảo hoặc máy chủ đích/điểm cuối mục tiêu đến kho khoá hoặc kho tin cậy. Xem Hãy cập nhật chứng chỉ TLS cho Cloud để biết thêm thông tin.
      4. Xoá bí danh. Lưu ý: Nếu bạn xóa bí danh và bí danh đó hiện đang được máy chủ ảo hoặc điểm cuối đích sử dụng, thì máy chủ ảo hoặc điểm cuối đích sẽ không thành công.

Tạo kho khoá/kho tin cậy và bí danh

Bạn có thể tạo một kho khoá để sử dụng làm kho khoá TLS hoặc kho tin cậy TLS. Kho khoá dành riêng cho một môi trường trong tổ chức của bạn, ví dụ như môi trường thử nghiệm hoặc môi trường sản xuất. Do đó, nếu bạn muốn kiểm thử kho khoá trong một môi trường thử nghiệm trước khi triển khai kho khoá cho môi trường phát hành chính thức, bạn phải tạo mã đó trong cả hai môi trường.

Để tạo kho khoá trong một môi trường, bạn chỉ cần chỉ định tên kho khoá. Sau khi tạo kho khoá được đặt tên trong môi trường, sau đó bạn có thể tạo bí danh và tải một cặp chứng chỉ/khoá lên (keystore) hoặc chỉ tải một chứng chỉ (truststore) lên bí danh.

Cách tạo kho khoá:

  1. Truy cập trang Kho khoá TLS.
  2. Chọn Môi trường (thường là prod hoặc test).
  3. Nhấp vào + Kho khoá.
  4. Chỉ định tên kho khoá. Tên chỉ có thể chứa ký tự chữ-số.
  5. Nhấp vào Add Keystore (Thêm kho khoá). Kho khoá mới sẽ xuất hiện trong danh sách.
  6. Sử dụng một trong các quy trình sau để thêm bí danh. Xem thêm Các định dạng tệp chứng chỉ được hỗ trợ.

Tạo email đại diện qua một chứng chỉ (truststore) chỉ)

Cách tạo email đại diện từ một chứng chỉ:

  1. Truy cập trang Kho khoá TLS.
  2. Định vị con trỏ trên kho khoá để hiển thị trình đơn thao tác rồi nhấp vào +.
  3. Chỉ định Alias Name (Tên bí danh).
  4. Trong phần Chi tiết chứng chỉ, hãy chọn Chỉ chứng chỉ trong trình đơn thả xuống Loại.
  5. Nhấp vào Chọn tệp bên cạnh Tệp chứng chỉ, chuyển đến PEM chứa chứng chỉ này rồi nhấp vào Mở.
  6. Theo mặc định, API sẽ kiểm tra để đảm bảo chứng chỉ chưa hết hạn. Chọn (không bắt buộc) Cho phép Chứng chỉ đã hết hạn bỏ qua bước xác thực.
  7. Chọn Lưu để tải chứng chỉ lên và tạo bí danh.

Tạo bí danh từ tệp JAR (chỉ kho khoá)

Cách tạo bí danh từ tệp JAR:

  1. Truy cập trang Kho khoá TLS.
  2. Định vị con trỏ trên kho khoá để hiển thị trình đơn thao tác rồi nhấp vào +.
  3. Chỉ định Alias Name (Tên bí danh).
  4. Trong phần Certificate details (Thông tin về chứng chỉ), hãy chọn JAR File (Tệp JAR) trong trình đơn thả xuống Type (Loại).
  5. Nhấp vào Chọn tệp bên cạnh Tệp JAR, chuyển đến tệp JAR chứa chứng chỉ và khoá, rồi nhấp vào Mở.
  6. Nếu khoá có mật khẩu, hãy chỉ định Mật khẩu. nếu khoá không có mật khẩu, hãy để trống trường này.
  7. Theo mặc định, API sẽ kiểm tra để đảm bảo chứng chỉ chưa hết hạn. Chọn (không bắt buộc) Cho phép Chứng chỉ đã hết hạn bỏ qua bước xác thực.
  8. Chọn Lưu để tải khoá và chứng chỉ lên, đồng thời tạo bí danh.

Tạo bí danh từ một chứng chỉ và khoá (chỉ dành cho kho khoá)

Cách tạo bí danh từ chứng chỉ và khoá:

  1. Truy cập trang Kho khoá TLS.
  2. Định vị con trỏ trên kho khoá để hiển thị trình đơn thao tác rồi nhấp vào +.
  3. Chỉ định Alias Name (Tên bí danh).
  4. Trong phần Chi tiết chứng chỉ, hãy chọn Chứng chỉ và khoá trong trình đơn thả xuống Loại.
  5. Nhấp vào Chọn tệp bên cạnh Tệp chứng chỉ, chuyển đến tệp PEM chứa chứng chỉ và nhấp vào Mở.
  6. Nếu khoá có mật khẩu, hãy chỉ định Mật khẩu khoá. nếu khoá không có mật khẩu, hãy để trống trường này.
  7. Nhấp vào Chọn tệp bên cạnh Tệp khoá, chuyển đến tệp PEM chứa khoá rồi nhấp vào Mở.
  8. Theo mặc định, API sẽ kiểm tra để đảm bảo chứng chỉ chưa hết hạn. Chọn (không bắt buộc) Cho phép Chứng chỉ đã hết hạn bỏ qua bước xác thực.
  9. Chọn Lưu để tải khoá và chứng chỉ lên, đồng thời tạo bí danh.

Tạo bí danh từ Tệp PKCS12/PFX (chỉ dành cho kho khoá)

Cách tạo bí danh từ tệp PKCS12 chứa chứng chỉ và khoá:

  1. Truy cập trang Kho khoá TLS.
  2. Định vị con trỏ trên kho khoá để hiển thị trình đơn thao tác rồi nhấp vào +.
  3. Chỉ định Alias Name (Tên bí danh).
  4. Trong phần Chi tiết chứng chỉ, chọn PKCS12/PFX trong trình đơn thả xuống Loại.
  5. Nhấp vào Chọn tệp bên cạnh PKCS12/PFX, chuyển đến chứa khoá và chứng chỉ, rồi nhấp vào Mở.
  6. Nếu khoá có mật khẩu, hãy chỉ định Password cho tệp PKCS12/PFX. nếu khoá không có mật khẩu, hãy để trống trường này.
  7. Theo mặc định, API sẽ kiểm tra để đảm bảo chứng chỉ chưa hết hạn. Chọn (không bắt buộc) Cho phép Chứng chỉ đã hết hạn bỏ qua bước xác thực.
  8. Chọn Lưu để tải tệp lên và tạo bí danh.

Tạo bí danh từ chứng chỉ tự ký (chỉ dành cho kho khoá)

Để tạo một bí danh sử dụng chứng chỉ tự ký, bạn hãy điền vào biểu mẫu những thông tin cần thiết bắt buộc để tạo chứng chỉ. Edge sau đó tạo chứng chỉ và một cặp khoá riêng tư và tải chúng lên bí danh.

Cách tạo email đại diện bằng chứng chỉ tự ký:

  1. Truy cập trang Kho khoá TLS.
  2. Định vị con trỏ trên kho khoá để hiển thị trình đơn thao tác rồi nhấp vào +.
  3. Chỉ định Alias Name (Tên bí danh).
  4. Trong phần Chi tiết chứng chỉ, chọn Chứng chỉ tự ký trong trình đơn thả xuống Loại.
  5. Điền vào biểu mẫu bằng cách sử dụng bảng bên dưới.
  6. Chọn Lưu để tạo cặp chứng chỉ và khoá riêng tư rồi tải chúng lên bí danh.

Trong chứng chỉ đã tạo, bạn sẽ thấy các trường bổ sung sau:

  • Công ty phát hành
    Pháp nhân đã ký và cấp chứng chỉ. Đối với chứng chỉ tự ký, đây là CN mà bạn đã chỉ định khi tạo chứng chỉ.
  • Hiệu lực
    Thời hạn hiệu lực của chứng chỉ được biểu thị dưới dạng hai ngày: ngày mà chứng chỉ thời hạn hiệu lực của chứng chỉ bắt đầu và ngày kết thúc thời hạn có hiệu lực của chứng chỉ. Cả hai đều có thể được mã hoá thành các giá trị UTCTime hoặc GeneralizedTime.

Bảng sau đây mô tả các trường của biểu mẫu:

Trường trên biểu mẫu Mô tả Mặc định Bắt buộc
Tên bí danh Tên bí danh. Độ dài tối đa là 128 ký tự. Không áp dụng
Kích thước khoá Kích thước của khoá, tính bằng bit. Giá trị mặc định và giá trị tối đa là 2048 bit. 2048 Không
Giải thuật ký Thuật toán chữ ký để tạo khoá riêng tư. Các giá trị hợp lệ là "SHA512withRSA", "SHA384withRSA" và "SHA256withRSA" (mặc định). SHA256withRSA Không
Thời hạn hiệu lực của chứng chỉ tính theo ngày Thời hạn có hiệu lực của chứng chỉ, tính bằng ngày. Chấp nhận giá trị dương khác 0. 365 Không
Tên Chung Tên phổ biến (CN) của tổ chức giúp xác định(các) tên miền đủ điều kiện được liên kết với chứng chỉ. Tài khoản này thường bao gồm một máy chủ và một tên miền. Ví dụ: api.enterprise.apigee.com, www.apigee.com, v.v. Độ dài tối đa là 64 ký tự.

Tùy thuộc vào loại chứng chỉ, CN có thể là một hoặc nhiều tên máy chủ thuộc cùng một miền (ví dụ: example.com, www.example.com), tên ký tự đại diện (ví dụ: *.example.com) hoặc danh sách miền. Không nên bao gồm mọi giao thức (http:// hoặc https://), số cổng hoặc đường dẫn tài nguyên.

Chứng chỉ chỉ hợp lệ nếu tên máy chủ yêu cầu khớp với ít nhất một trong tên chung của chứng chỉ.

 Không áp dụng
Email Địa chỉ email. Độ dài tối đa là 255 ký tự. Không áp dụng Không
Tên đơn vị tổ chức Tên nhóm của tổ chức. Độ dài tối đa là 64 ký tự. Không áp dụng Không
Tên tổ chức Tên tổ chức. Độ dài tối đa là 64 ký tự. Không áp dụng Không
Thành phố Tên thành phố/thị trấn. Độ dài tối đa là 128 ký tự. Không áp dụng Không
Tiểu bang/Tỉnh Tên tiểu bang/tỉnh. Độ dài tối đa là 128 ký tự. Không áp dụng Không
Quốc gia Mã quốc gia gồm hai chữ cái. Ví dụ: Ấn Độ cho Ấn Độ, Hoa Kỳ cho Hoa Kỳ. Không áp dụng Không
Tên khác Danh sách tên máy chủ thay thế. Cho phép ràng buộc danh tính khác với đối tượng của chứng chỉ. Các tuỳ chọn được xác định bao gồm địa chỉ thư điện tử trên Internet, DNS tên, địa chỉ IP và giá trị nhận dạng tài nguyên đồng nhất (URI).

Tối đa 255 ký tự cho mỗi giá trị. Bạn có thể phân tách các tên bằng dấu phẩy hoặc bằng cách nhấn phím Enter sau mỗi tên.

 Không áp dụng Không

Kiểm thử kho khoá hoặc kho tin cậy

Bạn có thể kiểm thử kho tin cậy và kho khoá trong giao diện người dùng Edge để xác minh rằng các mục này đã được định cấu hình đúng cách. Test Ui xác thực một yêu cầu TLS từ Edge với một dịch vụ phụ trợ. Dịch vụ phụ trợ có thể được định cấu hình để hỗ trợ TLS một chiều hoặc hai chiều.

Cách kiểm thử TLS một chiều:

  1. Truy cập trang Kho khoá TLS.
  2. Chọn Môi trường (thường là prod hoặc test).
  3. Định vị con trỏ trên kho khoá TLS mà bạn muốn kiểm thử để hiển thị trình đơn thao tác rồi nhấp vào Test (Kiểm thử). Hộp thoại sau đây hộp thoại sẽ xuất hiện hiển thị tên kho tin cậy:
  4. Nhập tên máy chủ của dịch vụ phụ trợ.
  5. Nhập số cổng TLS (thường là 443).
  6. Nếu muốn, hãy chỉ định bất kỳ Giao thức hoặc thuật toán mật mã nào.
  7. Chọn Kiểm tra.

Cách kiểm thử TLS hai chiều:

  1. Đối với kho lưu trữ tin cậy mong muốn, hãy chọn nút Test (Kiểm thử).
  2. Trong hộp thoại, hãy chọn Hai chiều cho Loại kiểm tra SSL. Hộp thoại sau đây sẽ xuất hiện:
  3. Chỉ định tên của kho khoá được dùng trong TLS hai chiều.
  4. Chỉ định tên bí danh trong kho khoá chứa chứng chỉ và khoá.
  5. Nhập tên máy chủ của dịch vụ phụ trợ.
  6. Nhập số cổng TLS (thường là 443).
  7. Nếu muốn, hãy chỉ định bất kỳ Giao thức hoặc thuật toán mật mã nào.
  8. Chọn Kiểm tra.

Thêm chứng chỉ vào kho tin cậy cho TLS hai chiều

Khi sử dụng TLS hai chiều cho kết nối đến, tức là một yêu cầu API gửi vào Edge, kho tin cậy chứa một chuỗi chứng chỉ hoặc CA cho mỗi ứng dụng được phép gửi yêu cầu đến Edge.

Khi bắt đầu định cấu hình kho tin cậy, bạn có thể thêm tất cả chứng chỉ cho các ứng dụng đã biết. Tuy nhiên, theo thời gian, bạn có thể muốn thêm các chứng chỉ bổ sung vào kho tin cậy khi thêm khách hàng mới.

Cách thêm các chứng chỉ mới vào kho tin cậy dùng cho TLS hai chiều:

  1. Đảm bảo rằng bạn đang sử dụng tệp tham chiếu đến kho tin cậy trong máy chủ ảo.
  2. Tải chứng chỉ mới lên kho tin cậy như mô tả ở trên trong Tạo bí danh từ một chứng chỉ (chỉ dành cho kho đáng tin cậy).

  3. Cập nhật tham chiếu kho tin cậy để đặt tham chiếu đó thành cùng một giá trị. Bản cập nhật này khiến Edge tải lại kho tin cậy và chứng chỉ mới.

    Hãy xem bài viết Sửa đổi tệp đối chiếu để tìm hiểu thêm.

Xoá kho khoá/cửa hàng đáng tin cậy hoặc bí danh

Bạn phải thận trọng khi xoá một kho khoá/cửa hàng đáng tin cậy hoặc email đại diện. Nếu bạn xoá một kho khoá, kho tin cậy hoặc email đại diện đang được một máy chủ lưu trữ ảo, điểm cuối đích hoặc máy chủ mục tiêu sử dụng, tất cả đều Các lệnh gọi API qua máy chủ lưu trữ ảo hoặc thiết bị đầu cuối/máy chủ đích mục tiêu sẽ không thực hiện được.

Thông thường, quy trình bạn sử dụng để xoá kho khoá/kho tin cậy hoặc bí danh là:

  1. Tạo một kho khoá/cửa hàng đáng tin cậy hoặc email đại diện mới như mô tả ở trên.
  2. Đối với kết nối đến, nghĩa là một yêu cầu API vào Edge, hãy cập nhật cấu hình máy chủ ảo để tham chiếu kho khoá và bí danh khoá mới.
  3. Đối với kết nối ra ngoài, nghĩa là từ Apigee đến máy chủ phụ trợ:
    1. Cập nhật cấu hình TargetEndpoint cho mọi proxy API tham chiếu đến cấu hình cũ kho khoá và bí danh khoá để tham chiếu kho khoá và bí danh khoá mới. Nếu TargetEndpoint của bạn tham chiếu một TargetServer, hãy cập nhật định nghĩa TargetServer để tham chiếu kho khoá mới và bí danh khoá.
    2. Nếu kho khoá và kho tin cậy được tham chiếu trực tiếp từ TargetEndpoint định nghĩa, thì bạn phải triển khai lại proxy. Nếu TargetEndpoint tham chiếu đến một Định nghĩa TargetServer và định nghĩa TargetServer tham chiếu kho khoá và Truststore thì không cần triển khai lại proxy.
  4. Xác nhận rằng các proxy API của bạn đang hoạt động chính xác.
  5. Xoá kho khoá/truststore hoặc bí danh.

Xoá kho khoá

Bạn có thể xoá kho khoá hoặc kho khoá tin cậy bằng cách đặt con trỏ trên kho khoá hoặc trustore trong danh sách để hiện thao tác Trình đơn thao tác rồi nhấp vào . Nếu bạn xoá một kho khoá hoặc kho tin cậy đang được được máy chủ ảo hoặc điểm cuối đích/máy chủ mục tiêu sử dụng, tất cả lệnh gọi API đều qua máy chủ ảo hoặc máy chủ đích/máy chủ mục tiêu sẽ bị lỗi.

Thận trọng: Bạn không nên xóa kho khoá cho đến khi đã chuyển đổi máy chủ ảo và thiết bị đầu cuối/máy chủ mục tiêu đích để sử dụng kho khoá mới.

Xoá bí danh

Bạn có thể xoá một bí danh bby đặt con trỏ lên bí danh đó trong danh sách để hiển thị các thao tác Trình đơn thao tác rồi nhấp vào . Nếu bạn xoá bí danh đang được một máy chủ ảo sử dụng hoặc thiết bị đầu cuối/máy chủ mục tiêu, tất cả lệnh gọi API thông qua máy chủ ảo hoặc điểm cuối/mục tiêu máy chủ của bạn sẽ bị lỗi.

Thận trọng: Bạn không nên xoá email đại diện cho đến khi đã chuyển đổi email đại diện máy chủ lưu trữ và thiết bị đầu cuối/máy chủ mục tiêu đích để sử dụng kho khoá và bí danh mới.