Edge kullanıcı arayüzünü kullanarak anahtar depoları ve güven deposu oluşturma

Apigee Edge belgelerini görüntülüyorsunuz.
Apigee X belgelerine gidin. info

Bu belgede, Cloud için Edge ve Özel Bulut için Edge'in 4.18.01 ve sonraki sürümlerinde anahtar depolarının ve güven depolarının nasıl oluşturulacağı, değiştirileceği ve silineceği açıklanmaktadır.

Edge Cloud için anahtar depoları/güvenlik deposu ve sanal ana makineler hakkında

Edge Cloud için anahtar depoları/güvenlik depoları oluşturma işlemi, sanal ana makinelerin kullanımıyla ilgili tüm kurallara uymanızı gerektirir. Örneğin, Cloud'daki sanal ana makinelerde:

  • Sanal ana makineler TLS kullanmalıdır.
  • Sanal ana makineler yalnızca 443 numaralı bağlantı noktasını kullanabilir.
  • İmzalı bir TLS sertifikası kullanmanız gerekir. Cloud'daki sanal ana makinelerde imzalanmamış sertifikalara izin verilmez.
  • TLS sertifikası tarafından belirtilen alan adı, sanal ana makinenin ana makine takma adıyla eşleşmelidir.

Daha fazla bilgi:

Edge'de anahtar depolarını ve güven depolarını uygulama

TLS gibi ortak anahtar altyapısına dayalı işlevleri yapılandırmak için gerekli anahtarları ve dijital sertifikaları içeren anahtar depoları ve güven depoları oluşturmanız gerekir.

Edge'de hem anahtar depoları hem de güven depoları, bir veya daha fazla takma ad içeren bir anahtar deposu öğesiyle temsil edilir. Yani Edge'de anahtar deposu ile güven deposu arasında uygulama farkı yoktur.

Anahtar deposu ile güven deposu arasındaki fark, içerdikleri giriş türlerinden ve TLS el sıkışma işleminde nasıl kullanıldıklarından kaynaklanır:

  • keystore: Bir veya daha fazla takma ad içeren anahtar mağazası varlığı. Her takma ad, bir sertifika/anahtar çifti içerir.
  • truststore: Bir veya daha fazla takma ad içeren bir anahtar mağazası öğesi. Her takma ad yalnızca bir sertifika içerir.

Sanal ana makine veya hedef uç nokta için TLS yapılandırırken anahtar depoları ve güven depoları, TLS el sıkışma sürecinde farklı roller sağlar. Bir sanal ana makineyi veya hedef uç noktasını yapılandırırken <SSLInfo> etiketinde anahtar depolarını ve güven depolarını ayrı ayrı belirtirsiniz. Aşağıda sanal ana makine için gösterilmiştir:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>false</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
    </SSLInfo>
</VirtualHost>

Bu örnekte, sanal ana makinenin TLS anahtar deposu için kullandığı anahtar deposunun adını ve takma adını belirtirsiniz. Anahtar mağazası adını belirtmek için bir referans kullanırsınız. Böylece, daha sonra sertifika geçerlilik süresi sona erdiğinde adını değiştirebilirsiniz. Takma ad, sanal ana makineye erişen bir TLS istemcisinin sanal ana makineyi tanımlamak için kullandığı bir sertifika/anahtar çifti içerir. Bu örnekte güven mağazası gerekmez.

Örneğin, 2 yönlü TLS yapılandırması için güven mağazası gerekiyorsa güven mağazasını belirtmek üzere <TrustStore> etiketini kullanın:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>true</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
        <TrustStore>ref://truststoreref</TrustStore>
    </SSLInfo>
</VirtualHost>

Bu örnekte <TrustStore> etiketi yalnızca bir anahtar deposuna referans verir, belirli bir takma ad belirtmez. Anahtar deposundaki her takma ad, TLS el sıkışma sürecinin bir parçası olarak kullanılan bir sertifika veya sertifika zinciri içerir.

Desteklenen sertifika biçimleri

Biçim API ve kullanıcı arayüzü yükleme desteklenir Kuzeye giden desteklenir Doğrulandı
PEM Evet Evet Evet
* PKCS12 Evet Evet Evet
Not: Apigee, PKCS12'yi dahili olarak PEM'e dönüştürür.
* DER Hayır Hayır Evet
* PKCS7 Hayır Hayır Hayır

* Mümkünse PEM kullanmanızı öneririz.

PKCS12 anahtar depolarını Private Cloud için Edge 4.53.00 veya sonraki sürümlerle kullanma

Özel Bulut için Edge 4.53.00 veya sonraki bir sürümü kullanıyorsanız anahtarları ve ilgili sertifikaları Apigee'ye yüklemek için yalnızca PKCS12 anahtar mağazası kullanmalısınız. Mevcut anahtarlarınızı ve sertifikalarınızı PKCS12/PFX biçimine dönüştürme konusunda yardım için Sertifikaları desteklenen biçime dönüştürme başlıklı makaleyi inceleyin.

Takma ad uygulama hakkında

Edge'de anahtar deposu, bir veya daha fazla takma ad içerir. Her takma ad şunları içerir:

  • PEM veya PKCS12/PFX dosyası olarak TLS sertifikası: Sertifika yetkilisi (CA) tarafından imzalanmış bir sertifika, son sertifikanın CA tarafından imzalandığı bir sertifika zinciri içeren bir dosya veya kendi kendine imzalanmış bir sertifika.
  • PEM veya PKCS12/PFX dosyası olarak özel anahtar. Edge, 2048 bite kadar anahtar boyutlarını destekler. Parola isteğe bağlıdır.

Edge'de güvenlik mağazası, bir veya daha fazla takma ad içerir. Her takma ad şunları içerir:

  • PEM dosyası olarak TLS sertifikası: Sertifika yetkilisi (CA) tarafından imzalanmış bir sertifika, son sertifikanın CA tarafından imzalandığı bir sertifika zinciri veya kendi kendine imzalanmış bir sertifika.

Edge, anahtar depoları oluşturmak, takma adlar oluşturmak, sertifika/anahtar çiftleri yüklemek ve sertifikaları güncellemek için kullanabileceğiniz bir kullanıcı arayüzü ve API sağlar. Güven deposu oluşturmak için kullandığınız kullanıcı arayüzü ve API, anahtar deposu oluşturmak için kullandığınızla aynıdır. Aradaki fark, güven mağazası oluşturduğunuzda yalnızca sertifika içeren takma adlar oluşturmanızdır.

Sertifika ve anahtar dosyalarının biçimi hakkında

Sertifikaları ve anahtarları PEM dosyaları veya PKCS12/PFX dosyaları olarak gösterebilirsiniz. PEM dosyaları X.509 biçimine uygun olmalıdır. Sertifikanızın veya özel anahtarınızın PEM dosyası ile tanımlanmadığı durumlarda openssl gibi yardımcı programları kullanarak PEM dosyasına dönüştürebilirsiniz.

Ancak birçok .crt dosyası ve .key dosyası zaten PEM biçimindedir. Bu dosyalar metin dosyasıysa ve şu uzantılara sahipse:

-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----

veya:

-----BEGIN ENCRYPTED PRIVATE KEY-----
-----END ENCRYPTED PRIVATE KEY-----

Ardından dosyalar PEM biçimiyle uyumlu hale gelir ve bunları PEM dosyasına dönüştürmeden bir anahtar deposunda veya güven deposunda kullanabilirsiniz.

Sertifika zincirleri hakkında

Bir sertifika bir zincirin parçasıysa sertifika bir anahtar deposunda mı yoksa güven deposunda mı kullanıldığına bağlı olarak farklı şekilde ele alınır:

  • Keystore: Bir sertifika zincirin bir parçasıysa zincirdeki tüm sertifikaları içeren tek bir dosya oluşturmanız gerekir. Sertifikalar sırayla olmalıdır ve son sertifika bir kök sertifika veya kök sertifika tarafından imzalanmış bir ara sertifika olmalıdır.
  • Güvenlik mağazası: Bir sertifika zincirin parçasıysa tüm sertifikaları içeren tek bir dosya oluşturup bu dosyayı bir takma ada yüklemeniz veya zincirdeki tüm sertifikaları her sertifika için farklı bir takma ad kullanarak güvenlik mağazasına ayrı ayrı yüklemeniz gerekir. Bunları tek bir sertifika olarak yüklerseniz sertifikaların sırayla olması ve son sertifikanın kök sertifika veya kök sertifika tarafından imzalanmış bir ara sertifika olması gerekir.
  • Birden fazla sertifika içeren tek bir dosya oluşturursanız her sertifika arasına boş bir satır eklemeniz gerekir.

Örneğin, tüm sertifikaları tek bir PEM dosyasında birleştirebilirsiniz. Sertifikaların sırayla olması ve son sertifikanın bir kök sertifika veya kök sertifika tarafından imzalanmış bir ara sertifika olması gerekir:

-----BEGIN CERTIFICATE----- 
(Your Primary TLS certificate) 
-----END CERTIFICATE----- 

-----BEGIN CERTIFICATE----- 
(Intermediate certificate) 
-----END CERTIFICATE-----
 
-----BEGIN CERTIFICATE----- 
(Root certificate or intermediate certificate signed by a root certificate) 
-----END CERTIFICATE-----

Sertifikalarınız PKCS12/PFX dosyaları olarak temsil ediliyorsa aşağıdaki gibi sertifika zincirinden PKCS12/PFX dosyası oluşturmak için openssl komutunu kullanabilirsiniz:

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

Güven mağazasındaki sertifika zincirleriyle çalışırken her zaman zincirdeki tüm sertifikaları yüklemeniz gerekmez. Örneğin, bir istemci sertifikası (client_cert_1) ve istemci sertifikası verenin sertifikasını (ca_cert) yüklersiniz.

İki yönlü TLS kimlik doğrulaması sırasında, sunucu TLS el sıkışma işleminin bir parçası olarak istemciye client_cert_1 gönderdiğinde istemci kimlik doğrulaması başarılı olur.

Alternatif olarak, aynı sertifika (ca_cert) tarafından imzalanan ikinci bir sertifikanız (client_cert_2) da olabilir. Ancak client_cert_2 dosyasını güven mağazasına yüklemezsiniz. Güven mağazasında hâlâ yalnızca client_cert_1 ve ca_cert var.

Sunucu, TLS el sıkışma işleminin bir parçası olarak client_cert_2'ü iletirse istek başarılı olur. Bunun nedeni, Edge'in client_cert_2 truststore'da bulunmadığı ancak truststore'da bulunan bir sertifika tarafından imzalandığında TLS doğrulamasının başarılı olmasına izin vermesidir. Güvenli depodan CA sertifikasını (ca_cert) kaldırırsanız TLS doğrulaması başarısız olur.

FIPS ile ilgili dikkat edilmesi gereken noktalar

FIPS özellikli bir işletim sisteminde Edge for Private Cloud 4.53.00 veya sonraki bir sürümü kullanıyorsanız anahtarları ve ilgili sertifikaları Apigee'ye yüklemek için yalnızca PKCS12 anahtar mağazası kullanmalısınız.

TLS Anahtar Depoları sayfasını keşfetme

Aşağıda açıklandığı şekilde TLS Anahtar Depoları sayfasına erişin.

Edge

Edge kullanıcı arayüzünü kullanarak TLS Anahtar Depoları sayfasına erişmek için:

  1. https://apigee.com/edge adresinde kuruluş yöneticisi olarak oturum açın.
  2. Kuruluşunuzu seçin.
  3. Yönetici > Ortam > TLS Anahtar Depoları'nı seçin.

Klasik Edge (Private Cloud)

Klasik Edge kullanıcı arayüzünü kullanarak TLS Anahtar Depoları sayfasına erişmek için:

  1. ms-ip, Yönetim Sunucusu düğümünün IP adresi veya DNS adı olmak üzere http://ms-ip:9000 adresinde kuruluş yöneticisi olarak oturum açın.
  2. Kuruluşunuzu seçin.
  3. Yönetici > Ortam Yapılandırması > TLS Anahtar Depoları'nı seçin.

TLS Anahtar Depoları sayfası gösterilir:

Önceki şekilde belirtildiği gibi, TLS Anahtar Depoları sayfası şunları yapmanıza olanak tanır:

Takma ad görüntüleme

Takma adı görüntülemek için:

  1. TLS Anahtar Depoları sayfasına erişin.
  2. Ortamı (genellikle prod veya test) seçin.
  3. Görüntülemek istediğiniz takma adla ilişkili satırı tıklayın.

    Takma ad sertifikası ve anahtarının ayrıntıları gösterilir.

    Son kullanma tarihi de dahil olmak üzere takma adla ilgili tüm bilgileri görebilirsiniz.

  4. Sayfanın üst kısmındaki düğmeleri kullanarak sertifikayı yönetin:
    • Sertifikayı PEM dosyası olarak indirin.
    • CSR oluşturun. Süresi dolmuş bir sertifikanız varsa ve bu sertifikayı yenilemek istiyorsanız bir Sertifika İmzalama İsteği (CSR) indirebilirsiniz. Ardından, yeni bir sertifika almak için CSR'yi CA'nıza gönderirsiniz.
    • Sertifikayı güncelleyin. Dikkat: Şu anda sanal ana makine veya hedef sunucu/hedef uç noktası tarafından kullanılan bir sertifikayı güncellerseniz Yönlendiricileri ve Mesaj İşleyicileri yeniden başlatmak için Apigee Edge Destek Ekibi ile iletişime geçmeniz gerekir. Sertifikayı güncellemenin önerilen yolu:
      1. Yeni bir anahtar mağazası veya güven mağazası oluşturun.
      2. Yeni sertifikayı yeni anahtar deposuna veya güven deposuna ekleyin.
      3. Sanal ana makine veya hedef sunucuda/hedef uç noktasındaki referans değerini anahtar deposu veya güven deposu olarak güncelleyin. Daha fazla bilgi için Cloud için TLS sertifikasını güncelleme başlıklı makaleyi inceleyin.
      4. Takma adı silin. Not: Şu anda bir sanal ana makine veya hedef uç nokta tarafından kullanılan bir takma adı silerseniz sanal ana makine veya hedef uç nokta başarısız olur.

Anahtar deposu/güven deposu ve takma ad oluşturma

TLS anahtar mağazası veya TLS güven mağazası olarak kullanılacak bir anahtar mağazası oluşturabilirsiniz. Anahtar anahtarlığı, kuruluşunuzdaki bir ortama (ör. test veya üretim ortamı) özeldir. Bu nedenle, anahtar deposunu üretim ortamınıza dağıtmadan önce bir test ortamında test etmek istiyorsanız her iki ortamda da oluşturmanız gerekir.

Bir ortamda anahtar mağazası oluşturmak için yalnızca anahtar mağazası adını belirtmeniz gerekir. Bir ortamda adlandırılmış bir anahtar deposu oluşturduktan sonra, takma adlar oluşturabilir ve takma ada sertifika/anahtar çifti (anahtar deposu) veya yalnızca sertifika (güvenlik deposu) yükleyebilirsiniz.

Anahtar mağazası oluşturmak için:

  1. TLS Anahtar Depoları sayfasına erişin.
  2. Ortamı (genellikle prod veya test) seçin.
  3. + Anahtar Kasası'nı tıklayın.
  4. Anahtar arşivi adını belirtin. Ad yalnızca alfanümerik karakterler içerebilir.
  5. Anahtar Kasası Ekle'yi tıklayın. Yeni anahtar mağazası listede görünür.
  6. Takma ad eklemek için aşağıdaki prosedürlerden birini kullanın. Ayrıca Desteklenen sertifika dosyası biçimleri konusuna da bakın.

Sertifikadan takma ad oluşturma (yalnızca güven mağazası)

Sertifikadan takma ad oluşturmak için:

  1. TLS Anahtar Depoları sayfasına erişin.
  2. İşlem menüsünü görüntülemek için imleci anahtar deposunun üzerine getirin ve + simgesini tıklayın.
  3. Takma Ad'ı belirtin.
  4. Sertifika ayrıntıları bölümünde, Tür açılır listesinden Yalnızca Sertifika'yı seçin.
  5. Sertifika Dosyası'nın yanındaki Dosya Seç'i tıklayın, sertifikayı içeren PEM dosyasına gidin ve 'ı tıklayın.
  6. API varsayılan olarak sertifikanın süresinin dolup dolmadığını kontrol eder. İsteğe bağlı olarak, doğrulamayı atlamak için Süresi Dolmuş Sertifikaya İzin Ver'i seçin.
  7. Sertifikayı yüklemek ve takma adı oluşturmak için Kaydet'i seçin.

JAR dosyasından takma ad oluşturma (yalnızca anahtar deposu)

JAR dosyasından takma ad oluşturmak için:

  1. TLS Anahtar Depoları sayfasına erişin.
  2. İşlem menüsünü görüntülemek için imleci anahtar deposunun üzerine getirin ve + simgesini tıklayın.
  3. Takma Ad'ı belirtin.
  4. Sertifika ayrıntıları bölümünde, Tür açılır listesinden JAR Dosyası'nı seçin.
  5. JAR Dosyası'nın yanındaki Dosya Seç'i tıklayın, sertifikayı ve anahtarı içeren JAR dosyasına gidin ve 'ı tıklayın.
  6. Anahtar şifre içeriyorsa Şifre'yi belirtin. Anahtar şifre içermiyorsa bu alanı boş bırakın.
  7. API varsayılan olarak sertifikanın süresinin dolup dolmadığını kontrol eder. İsteğe bağlı olarak, doğrulamayı atlamak için Süresi Dolmuş Sertifikaya İzin Ver'i seçin.
  8. Anahtarı ve sertifikayı yükleyip takma adı oluşturmak için Kaydet'i seçin.

Sertifika ve anahtardan takma ad oluşturma (yalnızca anahtar deposu)

Sertifika ve anahtardan takma ad oluşturmak için:

  1. TLS Anahtar Depoları sayfasına erişin.
  2. İşlem menüsünü görüntülemek için imleci anahtar deposunun üzerine getirin ve + simgesini tıklayın.
  3. Takma Ad'ı belirtin.
  4. Sertifika ayrıntıları bölümünde, Tür açılır menüsünden Sertifika ve Anahtar'ı seçin.
  5. Sertifika Dosyası'nın yanındaki Dosya Seç'i tıklayın, sertifikayı içeren PEM dosyasına gidin ve 'ı tıklayın.
  6. Anahtar şifresi varsa Anahtar Şifresi'ni belirtin. Anahtar şifresi yoksa bu alanı boş bırakın.
  7. Anahtar Dosyası'nın yanındaki Dosya Seç'i tıklayın, anahtarı içeren PEM dosyasına gidin ve 'ı tıklayın.
  8. API varsayılan olarak sertifikanın süresinin dolup dolmadığını kontrol eder. İsteğe bağlı olarak, doğrulamayı atlamak için Süresi Dolmuş Sertifikaya İzin Ver'i seçin.
  9. Anahtarı ve sertifikayı yükleyip takma adı oluşturmak için Kaydet'i seçin.

PKCS12/PFX dosyasından takma ad oluşturma (yalnızca anahtar deposu)

Sertifika ve anahtarı içeren bir PKCS12 dosyasından takma ad oluşturmak için:

  1. TLS Anahtar Depoları sayfasına erişin.
  2. İşlem menüsünü görüntülemek için imleci anahtar deposunun üzerine getirin ve + simgesini tıklayın.
  3. Takma Ad'ı belirtin.
  4. Certificate details (Sertifika ayrıntıları) bölümünde, Type (Tür) açılır listesinde PKCS12/PFX'i seçin.
  5. PKCS12/PFX'in yanındaki Dosya Seç'i tıklayın, anahtarı ve sertifikayı içeren dosyaya gidin ve 'ı tıklayın.
  6. Anahtar şifre içeriyorsa PKCS12/PFX dosyası için Şifre'yi belirtin. Anahtar şifresi yoksa bu alanı boş bırakın.
  7. API varsayılan olarak sertifikanın süresinin dolup dolmadığını kontrol eder. İsteğe bağlı olarak, doğrulamayı atlamak için Süresi Dolmuş Sertifikaya İzin Ver'i seçin.
  8. Dosyayı yüklemek ve takma adı oluşturmak için Kaydet'i seçin.

Kendinden imzalı bir sertifikadan takma ad oluşturma (yalnızca anahtar deposu)

Kendi kendine imzalı sertifika kullanan bir takma ad oluşturmak için sertifikayı oluşturmak için gereken bilgileri içeren bir formu doldurmanız gerekir. Ardından Edge, sertifikayı ve özel anahtar çiftini oluşturup bunları takma ada yükler.

Kendinden imzalı bir sertifikadan takma ad oluşturmak için:

  1. TLS Anahtar Depoları sayfasına erişin.
  2. İşlem menüsünü görüntülemek için imleci anahtar deposunun üzerine getirin ve + simgesini tıklayın.
  3. Takma Ad'ı belirtin.
  4. Sertifika ayrıntıları bölümünde, Tür açılır listesinden Kendi İmzalı Sertifika'yı seçin.
  5. Aşağıdaki tabloyu kullanarak formu doldurun.
  6. Sertifika ve özel anahtar çiftini oluşturmak ve bunları takma ada yüklemek için Kaydet'i seçin.

Oluşturulan sertifikada aşağıdaki ek alanları görürsünüz:

  • Sertifika veren
    Sertifikayı imzalayan ve veren tüzel kişi. Kendinden imzalı bir sertifika için bu, sertifikayı oluştururken belirttiğiniz
  • Geçerlilik
    Sertifikanın geçerlilik süresi iki tarihle temsil edilir: Sertifikanın geçerlilik süresinin başladığı tarih ve sertifikanın geçerlilik süresinin sona erdiği tarih. Her ikisi de UTCTime veya GeneralizedTime değerleri olarak kodlanabilir.

Aşağıdaki tabloda form alanları açıklanmaktadır:

Form alanı Açıklama Varsayılan Zorunlu
Takma Ad Takma ad. Maksimum uzunluk 128 karakterdir. Yok Evet
Anahtar boyutu Anahtarın bit cinsinden boyutu. Varsayılan ve maksimum değer 2048 bittir. 2048 Hayır
İmza Algoritması Gizli anahtar oluşturmak için kullanılan imza algoritması. Geçerli değerler: "SHA512withRSA", "SHA384withRSA" ve "SHA256withRSA" (varsayılan). SHA256withRSA Hayır
Sertifikanın geçerlilik süresi (gün cinsinden) Sertifikanın geçerlilik süresi (gün cinsinden). Sıfır olmayan pozitif değerleri kabul eder. 365 Hayır
Ortak Ad Kuruluşun Ortak Adı (CN), sertifikayla ilişkili tam nitelikli alan adlarını tanımlar. Genellikle bir ana makine ve alan adından oluşur. Örneğin, api.enterprise.apigee.com, www.apigee.com vb. Maksimum uzunluk 64 karakterdir.

Sertifika türüne bağlı olarak, CN aynı alana ait bir veya daha fazla ana makine adı (ör. example.com, www.example.com), joker karakter adı (ör. *.example.com) ya da bir alan listesi olabilir. Protokol (http:// veya https://), bağlantı noktası numarası ya da kaynak yolu eklemeyin.

Sertifika yalnızca istek ana makine adı, sertifika ortak adlarından en az biriyle eşleşirse geçerlidir.

 Yok Evet
E-posta E-posta adresi. Maksimum uzunluk 255 karakterdir. Yok Hayır
Kuruluş Birimi Adı Kuruluş ekibinin adı. Maksimum uzunluk 64 karakterdir. Yok Hayır
Kuruluş Adı Kuruluş adı. Maksimum uzunluk 64 karakterdir. Yok Hayır
Konum Şehir/kasaba adı. Maksimum uzunluk 128 karakterdir. Yok Hayır
Eyalet/İl Eyalet/il adı. Maksimum uzunluk 128 karakterdir. Yok Hayır
Ülke İki harfli ülke kodu. Örneğin, Hindistan için IN, Amerika Birleşik Devletleri için US. Yok Hayır
Alternatif Adlar Alternatif ana makine adlarının listesi. Sertifikanın konusuna ek kimliklerin bağlanmasına izin verir. Tanımlanmış seçenekler arasında internet elektronik posta adresi, DNS adı, IP adresi ve tekil kaynak tanımlayıcısı (URI) bulunur.

Her değer için en fazla 255 karakter. Adları virgülle veya her addan sonra Enter tuşuna basarak ayırabilirsiniz.

 Yok Hayır

Anahtar deposunu veya güven deposunu test etme

Doğru şekilde yapılandırıldıklarını doğrulamak için Edge kullanıcı arayüzünde güven deposunuzu ve anahtar deponuzu test edebilirsiniz. Test kullanıcı arayüzü, Edge'den arka uç hizmetine gönderilen bir TLS isteğini doğrular. Arka uç hizmeti, tek yönlü veya iki yönlü TLS'yi destekleyecek şekilde yapılandırılabilir.

Tek yönlü TLS'yi test etmek için:

  1. TLS Anahtar Depoları sayfasına erişin.
  2. Ortamı (genellikle prod veya test) seçin.
  3. İşlemler menüsünü görüntülemek için imlecinizi test etmek istediğiniz TLS anahtar deposunun üzerine getirin ve Test et'i tıklayın. Güven deposunun adını gösteren aşağıdaki iletişim kutusu görünür:
  4. Arka uç hizmetinin ana makine adını girin.
  5. TLS bağlantı noktası numarasını (genellikle 443) girin.
  6. İsteğe bağlı olarak protokolleri veya şifreleri belirtin.
  7. Test et'i seçin.

İki yönlü TLS'yi test etmek için:

  1. İstediğiniz güven mağazası için Test düğmesini seçin.
  2. İletişim kutusunda, SSL Test Türü için İki Yönlü'yü seçin. Aşağıdaki iletişim kutusu görünür:
  3. İki yönlü TLS'de kullanılan anahtar deposunun adını belirtin.
  4. Sertifikayı ve anahtarı içeren anahtar deposundaki takma adı belirtin.
  5. Arka uç hizmetinin ana makine adını girin.
  6. TLS bağlantı noktası numarasını (genellikle 443) girin.
  7. İsteğe bağlı olarak protokolleri veya şifreleri belirtin.
  8. Test et'i seçin.

İki yönlü TLS için güvenilir sertifika deposuna sertifika ekleme

Giden bağlantılar (Edge'e yapılan API isteği) için iki yönlü TLS kullanıldığında güven mağazasında, Edge'e istek göndermesine izin verilen her istemci için bir sertifika veya CA zinciri bulunur.

Güven mağazasını ilk kez yapılandırırken bilinen istemcilerin tüm sertifikalarını ekleyebilirsiniz. Ancak zaman içinde yeni istemciler ekledikçe güven deposuna başka sertifikalar da eklemek isteyebilirsiniz.

İki yönlü TLS için kullanılan bir güvenilir sertifika deposuna yeni sertifika eklemek üzere:

  1. Sanal ana makinede güven mağazasına referans kullandığınızdan emin olun.
  2. Sertifikadan takma ad oluşturma (yalnızca güven mağazası) bölümünde yukarıda açıklandığı şekilde güven mağazasına yeni bir sertifika yükleyin.

  3. Güvenli deposu referansını aynı değere ayarlayacak şekilde güncelleyin. Bu güncelleme, Edge'in güven mağazasını ve yeni sertifikayı yeniden yüklemesine neden olur.

    Daha fazla bilgi için Referansları değiştirme başlıklı makaleyi inceleyin.

Anahtar deposunu/güven deposunu veya takma adı silme

Anahtar deposunu/güven deposunu veya takma adı silerken dikkatli olmanız gerekir. Sanal ana makine, hedef uç nokta veya hedef sunucu tarafından kullanılan bir anahtar mağazasını, güven mağazasını ya da takma adı silerseniz sanal ana makine veya hedef uç nokta/hedef sunucu üzerinden yapılan tüm API çağrıları başarısız olur.

Anahtar deposu/güven deposu veya takma adı silmek için kullandığınız işlem genellikle şu şekildedir:

  1. Yukarıda açıklandığı şekilde yeni bir anahtar mağazası/güven mağazası veya takma ad oluşturun.
  2. Giden bağlantılar (Edge'e gelen API isteği) için sanal ana makine yapılandırmasını yeni anahtar deposunu ve anahtar takma adını referans alacak şekilde güncelleyin.
  3. Giden bağlantılar (yani Apigee'den arka uç sunucuya) için:
    1. Eski anahtar deposuna ve anahtar takma adına referans veren API proxy'lerinin TargetEndpoint yapılandırmasını yeni anahtar deposuna ve anahtar takma adına referans verecek şekilde güncelleyin. TargetEndpoint'iniz bir TargetServer'a referans veriyorsa TargetServer tanımını yeni anahtar deposunu ve anahtar takma adını referans verecek şekilde güncelleyin.
    2. Anahtar deposu ve güven deposuna doğrudan TargetEndpoint tanımından referans veriliyor TargetEndpoint bir TargetServer tanımına referans veriyorsa ve TargetServer tanımı anahtar deposuna ve güven deposuna referans veriyorsa proxy'nin yeniden dağıtılması gerekmez.
  4. API proxy'lerinizin düzgün çalıştığından emin olun.
  5. Anahtar deposunu/güven deposunu veya takma adı silin.

Anahtar deposunu silme

İmleci listedeki anahtar deposunun veya güven deposunun üzerine getirerek işlem menüsünü görüntüleyin ve simgesini tıklayarak anahtar deposunu veya güven deposunu silebilirsiniz. Bir sanal ana makine veya hedef uç nokta/hedef sunucu tarafından kullanılan bir anahtar mağazasını ya da güven mağazasını silerseniz sanal ana makine veya hedef uç nokta/hedef sunucu üzerinden yapılan tüm API çağrıları başarısız olur.

Dikkat: Sanal ana makinelerinizi ve hedef uç noktalarınızı/hedef sunucularınızı yeni bir anahtar deposu kullanacak şekilde dönüştürene kadar anahtar deposunu silmemelisiniz.

Takma adı silme

İmlecinizi listedeki takma adın üzerine getirerek işlem menüsünü görüntüleyin ve simgesini tıklayarak takma adı silebilirsiniz. Bir sanal ana makine veya hedef uç nokta/hedef sunucu tarafından kullanılan bir takma adı silerseniz sanal ana makine veya hedef uç nokta/hedef sunucu üzerinden yapılan tüm API çağrıları başarısız olur.

Dikkat: Sanal ana makinelerinizi ve hedef uç noktalarınızı/hedef sunucularınızı yeni bir anahtar mağazası ve takma ad kullanmaya dönüştürene kadar bir takma adı silmemelisiniz.