การสร้างคีย์สโตร์และ Truststore โดยใช้ Edge UI

คุณกําลังดูเอกสารประกอบของ Apigee Edge
ไปที่เอกสารประกอบของ Apigee X info

เอกสารนี้อธิบายวิธีสร้าง แก้ไข และลบคีย์สโตร์และทรัสต์สโตร์สำหรับ Edge สำหรับระบบคลาวด์และ Edge สำหรับระบบคลาวด์ส่วนตัวเวอร์ชัน 4.18.01 ขึ้นไป

เกี่ยวกับคีย์สโตร์/ทรัสต์สโตร์และโฮสต์เสมือนสำหรับ Edge Cloud

กระบวนการสร้างคีย์สโตร์/ทรัสต์สโตร์สําหรับ Edge Cloud กําหนดให้คุณต้องปฏิบัติตามกฎทั้งหมดเกี่ยวกับการใช้โฮสต์เสมือน ตัวอย่างเช่น เมื่อใช้โฮสต์เสมือนในระบบคลาวด์

  • โฮสต์เสมือนต้องใช้ TLS
  • โฮสต์เสมือนใช้ได้เฉพาะพอร์ต 443
  • คุณต้องใช้ใบรับรอง TLS ที่ลงนามแล้ว ไม่อนุญาตให้ใช้ใบรับรองที่ไม่มีการรับรองกับโฮสต์เสมือนในระบบคลาวด์
  • ชื่อโดเมนที่ระบุโดยใบรับรอง TLS ต้องตรงกับอีเมลแทนของโฮสต์เสมือน

ดูข้อมูลเพิ่มเติม

การใช้คีย์สโตร์และทรัสต์สโตร์ใน Edge

หากต้องการกำหนดค่าฟังก์ชันการทำงานที่อาศัยโครงสร้างพื้นฐานคีย์สาธารณะ เช่น TLS คุณจะต้องสร้างคีย์สโตร์และทรัสต์สโตร์ที่มีคีย์และใบรับรองดิจิทัลที่จำเป็น

ใน Edge ทั้งคีย์สโตร์และทรัสต์สโตร์จะแสดงโดยเอนทิตีคีย์สโตร์ที่มีอีเมลแทนอย่างน้อย 1 รายการ กล่าวคือ การติดตั้งใช้งานระหว่างคีย์สโตร์กับคลังเก็บข้อมูลที่เชื่อถือใน Edge ไม่มีความแตกต่าง

ความแตกต่างระหว่างคีย์สโตร์กับทรัสต์สโตร์มาจากประเภทของรายการที่มีและวิธีใช้ในการจับมือ TLS

  • เก็บคีย์ - เอนทิตีเก็บคีย์ที่มีอีเมลแทนอย่างน้อย 1 รายการ โดยที่อีเมลแทนแต่ละรายการมีคู่ใบรับรอง/คีย์
  • truststore - เอนทิตี keystore ที่มีอีเมลแทนอย่างน้อย 1 รายการ โดยที่อีเมลแทนแต่ละรายการมีใบรับรองเท่านั้น

เมื่อกำหนดค่า TLS สำหรับโฮสต์เสมือนหรือปลายทางเป้าหมาย คีย์สโตร์และทรัสต์สโตร์จะมีบทบาทที่แตกต่างกันในกระบวนการจับมือ TLS เมื่อกำหนดค่าโฮสต์เสมือนหรือปลายทางเป้าหมาย คุณต้องระบุคีย์สโตร์และทรัสต์สโตร์แยกกันในแท็ก <SSLInfo> ดังที่แสดงด้านล่างสำหรับโฮสต์เสมือน

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>false</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
    </SSLInfo>
</VirtualHost>

ในตัวอย่างนี้ คุณจะระบุชื่อของคีย์สโตร์และอีเมลแทนที่ใช้โดยโฮสต์เสมือนสำหรับคีย์สโตร์ TLS คุณใช้ข้อมูลอ้างอิงเพื่อระบุชื่อคีย์สโตร์เพื่อให้เปลี่ยนชื่อในภายหลังได้เมื่อใบรับรองหมดอายุ โดยที่อีเมลแทนจะมีคู่ใบรับรอง/คีย์ที่ใช้ระบุโฮสต์เสมือนให้กับไคลเอ็นต์ TLS ที่เข้าถึงโฮสต์เสมือน ในตัวอย่างนี้ ไม่จำเป็นต้องมีที่เก็บข้อมูลที่เชื่อถือ

หากจำเป็นต้องใช้ที่เก็บข้อมูลที่เชื่อถือ เช่น สำหรับการกําหนดค่า TLS แบบ 2 ทาง ให้ใช้แท็ก <TrustStore> เพื่อระบุที่เก็บข้อมูลที่เชื่อถือ

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>true</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
        <TrustStore>ref://truststoreref</TrustStore>
    </SSLInfo>
</VirtualHost>

ในตัวอย่างนี้ แท็ก <TrustStore> จะอ้างอิงถึงคีย์สโตร์เท่านั้น ไม่ได้ระบุอีเมลแทนที่ที่เจาะจง แต่ละนามแฝงในคีย์สโตร์จะมีใบรับรองหรือเชนใบรับรองที่ใช้เป็นส่วนหนึ่งของกระบวนการจับมือ TLS

รูปแบบใบรับรองที่รองรับ

รูปแบบ รองรับการอัปโหลดผ่าน API และ UI รองรับการส่งข้อมูลไปทางเหนือ ตรวจสอบแล้ว
PEM ใช่ ใช่ ใช่
* PKCS12 ใช่ ใช่ ได้
หมายเหตุ: Apigee จะแปลง
PKCS12 เป็น PEM ภายใน
* DER ไม่ ไม่ได้ ใช่
* PKCS7 ไม่ ไม่ได้ ไม่

* เราขอแนะนำให้ใช้ PEM หากเป็นไปได้

การใช้คีย์สโตร์ PKCS12 กับ Edge for Private Cloud 4.53.00 ขึ้นไป

หากคุณใช้ Edge for Private Cloud 4.53.00 ขึ้นไป คุณควรใช้เฉพาะคีย์สโตร์ PKCS12 เพื่ออัปโหลดคีย์และใบรับรองที่เกี่ยวข้องไปยัง Apigee หากต้องการความช่วยเหลือเกี่ยวกับการแปลงคีย์และใบรับรองที่มีอยู่เป็นรูปแบบ PKCS12/PFX โปรดดูการแปลงใบรับรองเป็นรูปแบบที่รองรับ

เกี่ยวกับการใช้อีเมลแทน

ใน Edge คีย์สโตร์จะมีอีเมลแทนอย่างน้อย 1 รายการ โดยอีเมลแทนแต่ละรายการจะมีข้อมูลต่อไปนี้

  • ใบรับรอง TLS เป็นไฟล์ PEM หรือ PKCS12/PFX - ใบรับรองที่ลงนามโดยผู้ออกใบรับรอง (CA) ไฟล์ที่มีเชนใบรับรองซึ่งใบรับรองใบสุดท้ายได้รับการลงนามโดย CA หรือใบรับรองที่ลงนามด้วยตนเอง
  • คีย์ส่วนตัวเป็นไฟล์ PEM หรือ PKCS12/PFX Edge รองรับขนาดคีย์สูงสุด 2048 บิต คุณจะใช้รหัสผ่านหรือไม่ก็ได้

ใน Edge truststore จะมีอีเมลแทนอย่างน้อย 1 รายการ โดยอีเมลแทนแต่ละรายการจะมีข้อมูลต่อไปนี้

  • ใบรับรอง TLS เป็นไฟล์ PEM ซึ่งอาจเป็นใบรับรองที่ลงนามโดยผู้ออกใบรับรอง (CA) เชนใบรับรองที่ใบรับรองสุดท้ายลงนามโดย CA หรือใบรับรองที่ลงนามด้วยตนเอง

Edge มี UI และ API ที่คุณใช้สร้างคีย์สโตร์ สร้างอีเมลแทน อัปโหลดคู่ใบรับรอง/คีย์ และอัปเดตใบรับรอง UI และ API ที่คุณใช้สร้าง TrustStore จะเหมือนกับที่คุณใช้สร้างคีย์สโตร์ ความแตกต่างคือเมื่อคุณสร้างที่เก็บข้อมูลเชื่อถือ คุณกำลังสร้างอีเมลแทนที่มีเฉพาะใบรับรอง

เกี่ยวกับรูปแบบของไฟล์ใบรับรองและคีย์

คุณสามารถแสดงใบรับรองและคีย์เป็นไฟล์ PEM หรือไฟล์ PKCS12/PFX ไฟล์ PEM เป็นไปตามรูปแบบ X.509 หากไฟล์ PEM ไม่ได้กำหนดใบรับรองหรือคีย์ส่วนตัว คุณสามารถแปลงไฟล์เป็นไฟล์ PEM ได้โดยใช้ยูทิลิตี เช่น openssl

อย่างไรก็ตาม ไฟล์ .crt และไฟล์ .key จำนวนมากอยู่ในรูปแบบ PEM อยู่แล้ว หากไฟล์เหล่านี้เป็นไฟล์ข้อความและอยู่ภายใน

-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----

หรือ

-----BEGIN ENCRYPTED PRIVATE KEY-----
-----END ENCRYPTED PRIVATE KEY-----

จากนั้นไฟล์จะเข้ากันได้กับรูปแบบ PEM และคุณจะใช้ไฟล์เหล่านั้นในคีย์สโตร์หรือทรัสต์สโตร์ได้โดยไม่ต้องแปลงเป็นไฟล์ PEM

เกี่ยวกับเชนใบรับรอง

หากใบรับรองเป็นส่วนหนึ่งของเชน คุณจะต้องจัดการใบรับรองนั้นแตกต่างกันไปตามที่ใช้ใบรับรองในคีย์สโตร์หรือในคลังความน่าเชื่อถือ

  • Keystore - หากใบรับรองเป็นส่วนหนึ่งของเชน คุณจะต้องสร้างไฟล์เดียวที่มีใบรับรองทั้งหมดในเชน ใบรับรองต้องเรียงตามลําดับ และใบรับรองสุดท้ายต้องเป็นใบรับรองรูทหรือใบรับรองกลางที่ลงนามโดยใบรับรองรูท
  • Truststore - หากใบรับรองเป็นส่วนหนึ่งของเชน คุณจะต้องสร้างไฟล์เดียวที่มีใบรับรองทั้งหมดและอัปโหลดไฟล์นั้นไปยังอีเมลแทน หรืออัปโหลดใบรับรองทั้งหมดในเชนแยกต่างหากไปยัง Truststore โดยใช้อีเมลแทนที่แตกต่างกันสำหรับใบรับรองแต่ละรายการ หากคุณอัปโหลดเป็นใบรับรองเดียว ใบรับรองต้องเรียงตามลำดับและใบรับรองสุดท้ายต้องเป็นใบรับรองรูทหรือใบรับรองกลางที่ลงนามโดยใบรับรองรูท
  • หากสร้างไฟล์เดียวที่มีใบรับรองหลายรายการ คุณต้องแทรกบรรทัดว่างระหว่างใบรับรองแต่ละรายการ

เช่น คุณรวมใบรับรองทั้งหมดไว้ในไฟล์ PEM ไฟล์เดียวได้ ใบรับรองต้องเรียงตามลําดับ และใบรับรองสุดท้ายต้องเป็นใบรับรองรูทหรือใบรับรองกลางที่ลงนามโดยใบรับรองรูท

-----BEGIN CERTIFICATE----- 
(Your Primary TLS certificate) 
-----END CERTIFICATE----- 

-----BEGIN CERTIFICATE----- 
(Intermediate certificate) 
-----END CERTIFICATE-----
 
-----BEGIN CERTIFICATE----- 
(Root certificate or intermediate certificate signed by a root certificate) 
-----END CERTIFICATE-----

หากใบรับรองแสดงเป็นไฟล์ PKCS12/PFX คุณสามารถใช้คำสั่ง openssl เพื่อสร้างไฟล์ PKCS12/PFX จากเชนใบรับรอง ดังที่แสดงด้านล่าง

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

เมื่อทำงานกับเชนใบรับรองในคลังใบรับรอง คุณไม่จำเป็นต้องอัปโหลดใบรับรองทั้งหมดในเชนเสมอไป เช่น คุณอัปโหลดใบรับรองไคลเอ็นต์ client_cert_1 และใบรับรองของผู้ออกใบรับรองไคลเอ็นต์ ca_cert

ในระหว่างการตรวจสอบสิทธิ์ TLS แบบ 2 ทาง การตรวจสอบสิทธิ์ไคลเอ็นต์จะสำเร็จเมื่อเซิร์ฟเวอร์ส่ง client_cert_1 ไปยังไคลเอ็นต์ในกระบวนการแฮนด์เชค TLS

หรือคุณมีใบรับรองที่ 2 client_cert_2 ซึ่งลงนามโดยใบรับรองเดียวกัน ca_cert แต่คุณไม่ได้อัปโหลด client_cert_2 ไปยังที่เก็บข้อมูลที่เชื่อถือ ไฟล์ Truststore ยังคงมีเพียง client_cert_1 และ ca_cert เท่านั้น

เมื่อเซิร์ฟเวอร์ส่ง client_cert_2 เป็นส่วนหนึ่งของการจับมือ TLS คําขอจะสําเร็จ เนื่องจาก Edge อนุญาตให้ยืนยัน TLS สําเร็จเมื่อ client_cert_2 ไม่มีอยู่ในที่เก็บข้อมูลเชื่อถือ แต่ได้รับการรับรองโดยใบรับรองที่อยู่ในที่เก็บข้อมูลเชื่อถือ หากคุณนําใบรับรอง CA ca_cert ออกจากที่เก็บข้อมูลที่เชื่อถือ การยืนยัน TLS จะดำเนินการไม่สำเร็จ

ข้อควรพิจารณาเกี่ยวกับ FIPS

หากคุณใช้ Edge for Private Cloud 4.53.00 ขึ้นไปในระบบปฏิบัติการที่เปิดใช้ FIPS คุณควรใช้คีย์สโตร์ PKCS12 เท่านั้นเพื่ออัปโหลดคีย์และใบรับรองที่เกี่ยวข้องไปยัง Apigee

สํารวจหน้าคีย์สโตร์ TLS

เข้าถึงหน้าคีย์สโตร์ TLS ตามที่อธิบายไว้ด้านล่าง

Edge

วิธีเข้าถึงหน้าคีย์สโตร์ TLS โดยใช้ UI ของ Edge

  1. ลงชื่อเข้าใช้ https://apigee.com/edge ในฐานะผู้ดูแลระบบองค์กร
  2. เลือกองค์กร
  3. เลือกผู้ดูแลระบบ > สภาพแวดล้อม > กระเป๋าสตางค์คีย์ TLS

Edge แบบคลาสสิก (ระบบคลาวด์ส่วนตัว)

วิธีเข้าถึงหน้าคีย์สโตร์ TLS โดยใช้ UI ของ Edge แบบคลาสสิก

  1. ลงชื่อเข้าใช้ http://ms-ip:9000 ในฐานะผู้ดูแลระบบองค์กร โดยที่ ms-ip คือที่อยู่ IP หรือชื่อ DNS ของโหนดเซิร์ฟเวอร์การจัดการ
  2. เลือกองค์กร
  3. เลือกผู้ดูแลระบบ > การกำหนดค่าสภาพแวดล้อม > กระเป๋าสตางค์ TLS

หน้าคีย์สโตร์ TLS จะปรากฏขึ้น

ดังที่ไฮไลต์ไว้ในรูปภาพก่อนหน้า หน้าคีย์สโตร์ TLS ช่วยให้คุณทำสิ่งต่อไปนี้ได้

ดูชื่อแทน

วิธีดูชื่อแทน

  1. เข้าถึงหน้าคีย์สโตร์ TLS
  2. เลือกสภาพแวดล้อม (ปกติจะเป็น prod หรือ test)
  3. คลิกแถวที่เชื่อมโยงกับอีเมลแทนที่คุณต้องการดู

    รายละเอียดของใบรับรองและคีย์ของอีเมลแทนจะปรากฏขึ้น

    คุณจะดูข้อมูลทั้งหมดเกี่ยวกับอีเมลแทนได้ รวมถึงวันที่หมดอายุ

  4. จัดการใบรับรองโดยใช้ปุ่มที่ด้านบนของหน้าเพื่อดำเนินการต่อไปนี้
    • ดาวน์โหลดใบรับรองเป็นไฟล์ PEM
    • สร้าง CSR หากมีใบรับรองที่หมดอายุแล้วและต้องต่ออายุ คุณสามารถดาวน์โหลดคำขอลงชื่อใบรับรอง (CSR) จากนั้นส่ง CSR ไปยัง CA เพื่อขอใบรับรองใหม่
    • อัปเดตใบรับรอง ข้อควรระวัง: หากคุณอัปเดตใบรับรองที่โฮสต์เสมือนหรือเซิร์ฟเวอร์เป้าหมาย/ปลายทางเป้าหมายใช้อยู่ คุณต้องติดต่อทีมสนับสนุน Apigee Edge เพื่อรีสตาร์ทเราเตอร์และโปรแกรมประมวลผลข้อความ วิธีที่เราแนะนำในการอัปเดตใบรับรองมีดังนี้
      1. สร้างคีย์สโตร์หรือคลังความน่าเชื่อถือใหม่
      2. เพิ่มใบรับรองใหม่ลงในคีย์สโตร์หรือทรัสต์สโตร์ใหม่
      3. อัปเดตข้อมูลอ้างอิงในโฮสต์เสมือนหรือเซิร์ฟเวอร์เป้าหมาย/ปลายทางเป้าหมายไปยังที่เก็บคีย์หรือที่เก็บข้อมูลที่เชื่อถือ ดูข้อมูลเพิ่มเติมได้ที่ อัปเดตใบรับรอง TLS สำหรับ Cloud
      4. ลบอีเมลแทน หมายเหตุ: หากคุณลบชื่อแทน แต่มีโฮสต์เสมือนหรือปลายทางเป้าหมายใช้อยู่ โฮสต์เสมือนหรือปลายทางเป้าหมายจะใช้งานไม่ได้

สร้างคีย์สโตร์/คลังความน่าเชื่อถือและชื่อแทน

คุณสามารถสร้างคีย์สโตร์เพื่อใช้เป็นคีย์สโตร์ TLS หรือคีย์สโตร์ความน่าเชื่อถือ TLS คีย์สโตร์มีไว้สำหรับสภาพแวดล้อมหนึ่งๆ ในองค์กร เช่น สภาพแวดล้อมทดสอบหรือสภาพแวดล้อมเวอร์ชันที่ใช้งานจริง ดังนั้น หากต้องการทดสอบคีย์สโตร์ในสภาพแวดล้อมการทดสอบก่อนนำไปใช้งานในสภาพแวดล้อมที่ใช้งานจริง คุณต้องสร้างคีย์สโตร์ในทั้ง 2 สภาพแวดล้อม

หากต้องการสร้างคีย์สโตร์ในสภาพแวดล้อม คุณเพียงต้องระบุชื่อคีย์สโตร์เท่านั้น หลังจากสร้างคีย์สโตร์ที่ชื่อในสภาพแวดล้อมแล้ว คุณสามารถสร้างอีเมลแทนและอัปโหลดคู่ใบรับรอง/คีย์ (คีย์สโตร์) หรืออัปโหลดใบรับรองเท่านั้น (คีย์สโตร์ที่เชื่อถือ) ไปยังอีเมลแทนได้

วิธีสร้างคีย์สโตร์

  1. เข้าถึงหน้าคีย์สโตร์ TLS
  2. เลือกสภาพแวดล้อม (ปกติจะเป็น prod หรือ test)
  3. คลิก + เก็บคีย์
  4. ระบุชื่อคีย์สโตร์ ชื่อต้องประกอบด้วยอักขระที่เป็นตัวอักษรและตัวเลขคละกันเท่านั้น
  5. คลิกเพิ่มคีย์สโตร์ คีย์สโตร์ใหม่จะปรากฏในรายการ
  6. ใช้ขั้นตอนใดขั้นตอนหนึ่งต่อไปนี้เพื่อเพิ่มอีเมลแทน โปรดดูรูปแบบไฟล์ใบรับรองที่รองรับด้วย

การสร้างอีเมลแทนจากใบรับรอง (เฉพาะที่เก็บข้อมูลเชื่อถือ)

วิธีสร้างอีเมลแทนจากใบรับรอง

  1. เข้าถึงหน้าคีย์สโตร์ TLS
  2. วางเคอร์เซอร์เหนือคีย์สโตร์เพื่อแสดงเมนูการดำเนินการ แล้วคลิก +
  3. ระบุชื่ออีเมลแทน
  4. ในส่วนรายละเอียดใบรับรอง ให้เลือกใบรับรองเท่านั้นในเมนูแบบเลื่อนลง "ประเภท"
  5. คลิกเลือกไฟล์ข้างไฟล์ใบรับรอง จากนั้นไปที่ไฟล์ PEM ที่มีใบรับรอง แล้วคลิกเปิด
  6. โดยค่าเริ่มต้น API จะตรวจสอบว่าใบรับรองยังไม่หมดอายุ เลือกอนุญาตใบรับรองที่หมดอายุเพื่อข้ามการตรวจสอบ (ไม่บังคับ)
  7. เลือกบันทึกเพื่ออัปโหลดใบรับรองและสร้างอีเมลแทน

การสร้างชื่อแทนจากไฟล์ JAR (คีย์สโตร์เท่านั้น)

วิธีสร้างอีเมลแทนจากไฟล์ JAR

  1. เข้าถึงหน้าคีย์สโตร์ TLS
  2. วางเคอร์เซอร์เหนือคีย์สโตร์เพื่อแสดงเมนูการดำเนินการ แล้วคลิก +
  3. ระบุชื่ออีเมลแทน
  4. ในส่วนรายละเอียดใบรับรอง ให้เลือกไฟล์ JAR ในเมนูแบบเลื่อนลงประเภท
  5. คลิกเลือกไฟล์ข้างไฟล์ JAR ไปที่ไฟล์ JAR ที่มีใบรับรองและคีย์ แล้วคลิกเปิด
  6. หากคีย์มีรหัสผ่าน ให้ระบุรหัสผ่าน หากคีย์ไม่มีรหัสผ่าน ให้เว้นช่องนี้ว่างไว้
  7. โดยค่าเริ่มต้น API จะตรวจสอบว่าใบรับรองยังไม่หมดอายุ เลือกอนุญาตใบรับรองที่หมดอายุเพื่อข้ามการตรวจสอบ (ไม่บังคับ)
  8. เลือกบันทึกเพื่ออัปโหลดคีย์และใบรับรอง รวมถึงสร้างอีเมลแทน

การสร้างชื่อแทนจากใบรับรองและคีย์ (คีย์สโตร์เท่านั้น)

วิธีสร้างชื่อแทนจากใบรับรองและคีย์

  1. เข้าถึงหน้าคีย์สโตร์ TLS
  2. วางเคอร์เซอร์เหนือคีย์สโตร์เพื่อแสดงเมนูการดำเนินการ แล้วคลิก +
  3. ระบุชื่ออีเมลแทน
  4. ในส่วนรายละเอียดใบรับรอง ให้เลือกใบรับรองและคีย์ในเมนูแบบเลื่อนลง "ประเภท"
  5. คลิกเลือกไฟล์ข้างไฟล์ใบรับรอง ไปที่ไฟล์ PEM ที่มีใบรับรอง แล้วคลิกเปิด
  6. หากคีย์มีรหัสผ่าน ให้ระบุรหัสผ่านคีย์ หากคีย์ไม่มีรหัสผ่าน ให้ปล่อยช่องนี้ว่างไว้
  7. คลิกเลือกไฟล์ข้างไฟล์คีย์ ไปที่ไฟล์ PEM ที่มีคีย์ แล้วคลิกเปิด
  8. โดยค่าเริ่มต้น API จะตรวจสอบว่าใบรับรองยังไม่หมดอายุ เลือกอนุญาตใบรับรองที่หมดอายุเพื่อข้ามการตรวจสอบ (ไม่บังคับ)
  9. เลือกบันทึกเพื่ออัปโหลดคีย์และใบรับรอง รวมถึงสร้างอีเมลแทน

การสร้างชื่อแทนจากไฟล์ PKCS12/PFX (คีย์สโตร์เท่านั้น)

วิธีสร้างอีเมลแทนจากไฟล์ PKCS12 ที่มีใบรับรองและคีย์

  1. เข้าถึงหน้าคีย์สโตร์ TLS
  2. วางเคอร์เซอร์เหนือคีย์สโตร์เพื่อแสดงเมนูการดำเนินการ แล้วคลิก +
  3. ระบุชื่ออีเมลแทน
  4. ในส่วนรายละเอียดใบรับรอง ให้เลือก PKCS12/PFX ในเมนูแบบเลื่อนลง "ประเภท"
  5. คลิกเลือกไฟล์ข้าง PKCS12/PFX ไปที่ไฟล์ที่มีคีย์และใบรับรอง แล้วคลิกเปิด
  6. หากคีย์มีรหัสผ่าน ให้ระบุรหัสผ่านสำหรับไฟล์ PKCS12/PFX หากคีย์ไม่มีรหัสผ่าน ให้ปล่อยช่องนี้ว่างไว้
  7. โดยค่าเริ่มต้น API จะตรวจสอบว่าใบรับรองยังไม่หมดอายุ เลือกอนุญาตใบรับรองที่หมดอายุเพื่อข้ามการตรวจสอบ (ไม่บังคับ)
  8. เลือกบันทึกเพื่ออัปโหลดไฟล์และสร้างอีเมลแทน

การสร้างชื่อแทนจากใบรับรองที่ลงนามด้วยตนเอง (คีย์สโตร์เท่านั้น)

หากต้องการสร้างอีเมลแทนที่ใช้ใบรับรองที่ลงนามด้วยตนเอง ให้กรอกแบบฟอร์มพร้อมข้อมูลที่จำเป็นในการสร้างใบรับรอง จากนั้น Edge จะสร้างใบรับรองและคู่คีย์ส่วนตัว แล้วอัปโหลดไปยังอีเมลแทน

วิธีสร้างอีเมลแทนจากใบรับรองที่ลงนามด้วยตนเอง

  1. เข้าถึงหน้าคีย์สโตร์ TLS
  2. วางเคอร์เซอร์เหนือคีย์สโตร์เพื่อแสดงเมนูการดำเนินการ แล้วคลิก +
  3. ระบุชื่ออีเมลแทน
  4. ในส่วนรายละเอียดใบรับรอง ให้เลือกใบรับรองที่ลงนามด้วยตนเองในเมนูแบบเลื่อนลง "ประเภท"
  5. กรอกแบบฟอร์มโดยใช้ตารางด้านล่าง
  6. เลือกบันทึกเพื่อสร้างคู่ใบรับรองและคีย์ส่วนตัว และอัปโหลดไปยังอีเมลแทน

ในใบรับรองที่สร้างขึ้น คุณจะเห็นฟิลด์เพิ่มเติมต่อไปนี้

  • ผู้ออกใบรับรอง
    นิติบุคคลที่ลงนามและออกใบรับรอง สำหรับใบรับรองที่ลงนามด้วยตนเอง จะเป็น CN ที่คุณระบุไว้เมื่อสร้างใบรับรอง
  • ระยะเวลาที่ใช้งานได้
    ระยะเวลาที่ใช้งานใบรับรองได้แสดงเป็น 2 วันที่ ได้แก่ วันที่เริ่มต้นระยะเวลาที่ใช้งานใบรับรองได้ และวันที่สิ้นสุดระยะเวลาที่ใช้งานใบรับรองได้ ทั้ง 2 รูปแบบสามารถเข้ารหัสเป็นค่า UTCTime หรือ GeneralizedTime ได้

ตารางต่อไปนี้อธิบายช่องในแบบฟอร์ม

ช่องในแบบฟอร์ม คำอธิบาย ค่าเริ่มต้น ต้องระบุ
ชื่อแทน ชื่อแทน ความยาวสูงสุด 128 อักขระ ไม่มี ใช่
ขนาดคีย์ ขนาดของคีย์เป็นบิต ค่าเริ่มต้นและค่าสูงสุดคือ 2048 บิต 2048 ไม่
อัลกอริทึมลายเซ็น อัลกอริทึมลายเซ็นเพื่อสร้างคีย์ส่วนตัว ค่าที่ใช้ได้มีดังนี้ "SHA512withRSA", "SHA384withRSA" และ "SHA256withRSA" (ค่าเริ่มต้น) SHA256withRSA ไม่
ระยะเวลาที่ใช้งานใบรับรองได้เป็นวัน ระยะเวลาที่ใช้งานใบรับรองได้เป็นจำนวนวัน ยอมรับค่าบวกที่ไม่เท่ากับ 0 365 ไม่
ชื่อสามัญ ชื่อทั่วไป (CN) ขององค์กรจะระบุชื่อโดเมนที่สมบูรณ์ในตัวเองซึ่งเชื่อมโยงกับใบรับรอง โดยปกติแล้วประกอบด้วยโฮสต์และชื่อโดเมน เช่น api.enterprise.apigee.com, www.apigee.com ฯลฯ ความยาวสูงสุดคือ 64 อักขระ

CN อาจเป็นชื่อโฮสต์อย่างน้อย 1 ชื่อที่เป็นของโดเมนเดียวกัน (เช่น example.com, www.example.com) ชื่อไวลด์การ์ด (เช่น *.example.com) หรือรายการโดเมน ทั้งนี้ขึ้นอยู่กับประเภทใบรับรอง อย่าใส่โปรโตคอล (http:// หรือ https://) หมายเลขพอร์ต หรือเส้นทางทรัพยากร

ใบรับรองจะใช้งานได้ก็ต่อเมื่อชื่อโฮสต์ของคำขอตรงกับชื่อจริงของใบรับรองอย่างน้อย 1 รายการ

 ไม่มี ใช่
อีเมล อีเมล ความยาวสูงสุด 255 อักขระ ไม่มี ไม่
ชื่อหน่วยขององค์กร ชื่อทีมขององค์กร ความยาวสูงสุด 64 อักขระ ไม่มี ไม่
ชื่อองค์กร ชื่อองค์กร ความยาวสูงสุด 64 อักขระ ไม่มี ไม่
ย่าน ชื่อเมือง ความยาวสูงสุด 128 อักขระ ไม่มี ไม่
รัฐ/จังหวัด ชื่อรัฐ/จังหวัด ความยาวสูงสุด 128 อักขระ ไม่มี ไม่
ประเทศ รหัสประเทศ 2 ตัวอักษร เช่น IN สำหรับอินเดีย US สำหรับสหรัฐอเมริกา ไม่มี ไม่
ชื่อสำรอง รายการชื่อโฮสต์สำรอง อนุญาตให้เชื่อมโยงข้อมูลประจำตัวเพิ่มเติมกับรายการที่ตรวจสอบสิทธิ์ของใบรับรอง ตัวเลือกที่กําหนดไว้ ได้แก่ อีเมลอินเทอร์เน็ต ชื่อ DNS ที่อยู่ IP และตัวระบุแหล่งข้อมูลแบบรวม (URI)

แต่ละค่ามีอักขระได้สูงสุด 255 ตัว คุณสามารถคั่นชื่อด้วยคอมมา หรือกดแป้น Enter หลังจากชื่อแต่ละชื่อ

 ไม่มี ไม่

ทดสอบคีย์สโตร์หรือคลังความน่าเชื่อถือ

คุณสามารถทดสอบที่เก็บข้อมูลเชื่อถือและที่เก็บคีย์ใน UI ของ Edge เพื่อยืนยันว่ามีการกำหนดค่าอย่างถูกต้อง UI การทดสอบจะตรวจสอบคําขอ TLS จาก Edge ไปยังบริการแบ็กเอนด์ บริการแบ็กเอนด์สามารถกําหนดค่าให้รองรับ TLS แบบ 1 ทิศทางหรือ 2 ทิศทาง

วิธีทดสอบ TLS แบบ 1 ทิศทาง

  1. เข้าถึงหน้าคีย์สโตร์ TLS
  2. เลือกสภาพแวดล้อม (ปกติจะเป็น prod หรือ test)
  3. วางเคอร์เซอร์เหนือคีย์สโตร์ TLS ที่ต้องการทดสอบเพื่อแสดงเมนูการทำงาน แล้วคลิกทดสอบ กล่องโต้ตอบต่อไปนี้จะปรากฏขึ้นพร้อมแสดงชื่อของคลังความน่าเชื่อถือ
  4. ป้อนชื่อโฮสต์ของบริการแบ็กเอนด์
  5. ป้อนหมายเลขพอร์ต TLS (ปกติจะเป็น 443)
  6. ระบุโปรโตคอลหรือการเข้ารหัส (ไม่บังคับ)
  7. เลือกทดสอบ

วิธีทดสอบ TLS แบบ 2 ทาง

  1. เลือกปุ่มทดสอบสำหรับที่เก็บข้อมูลที่เชื่อถือที่ต้องการ
  2. ในกล่องโต้ตอบ ให้เลือกแบบ 2 ทางสำหรับประเภทการทดสอบ SSL กล่องโต้ตอบต่อไปนี้จะปรากฏขึ้น
  3. ระบุชื่อของคีย์สโตร์ที่ใช้ใน TLS แบบ 2 ทาง
  4. ระบุชื่อแทนในคีย์สโตร์ที่เก็บใบรับรองและคีย์
  5. ป้อนชื่อโฮสต์ของบริการแบ็กเอนด์
  6. ป้อนหมายเลขพอร์ต TLS (ปกติจะเป็น 443)
  7. ระบุโปรโตคอลหรือการเข้ารหัส (ไม่บังคับ)
  8. เลือกทดสอบ

เพิ่มใบรับรองลงใน TrustStore สำหรับ TLS แบบ 2 ทาง

เมื่อใช้ TLS แบบ 2 ทางสําหรับการเชื่อมต่อขาเข้า ซึ่งหมายถึงคําขอ API ไปยัง Edge ไฟล์ Truststore จะมีใบรับรองหรือเชน CA สําหรับไคลเอ็นต์แต่ละรายที่ได้รับอนุญาตให้ส่งคําขอไปยัง Edge

เมื่อคุณกําหนดค่า Truststore เป็นครั้งแรก คุณสามารถเพิ่มใบรับรองทั้งหมดสําหรับไคลเอ็นต์ที่รู้จัก อย่างไรก็ตามเมื่อเวลาผ่านไป คุณอาจต้องเพิ่มใบรับรองลงในที่เก็บข้อมูลน่าเชื่อถือเมื่อเพิ่มไคลเอ็นต์ใหม่

วิธีเพิ่มใบรับรองใหม่ลงใน TrustStore ที่ใช้สําหรับ TLS แบบ 2 ทาง

  1. ตรวจสอบว่าคุณใช้การอ้างอิงถึงที่เก็บข้อมูลที่เชื่อถือในโฮสต์เสมือน
  2. อัปโหลดใบรับรองใหม่ไปยังที่เก็บข้อมูลที่เชื่อถือตามที่อธิบายไว้ข้างต้นในการสร้างอีเมลแทนจากใบรับรอง (ที่เก็บข้อมูลที่เชื่อถือเท่านั้น)

  3. อัปเดตข้อมูลอ้างอิง Truststore เพื่อตั้งค่าเป็นค่าเดียวกัน การอัปเดตนี้จะทำให้ Edge โหลดที่เก็บข้อมูลเชื่อถือและใบรับรองใหม่อีกครั้ง

    ดูข้อมูลเพิ่มเติมได้ที่การแก้ไขข้อมูลอ้างอิง

ลบคีย์สโตร์/คลังความน่าเชื่อถือหรืออีเมลแทน

โปรดใช้ความระมัดระวังเมื่อลบคีย์สโตร์/คีย์สโตร์เชื่อถือหรืออีเมลแทน หากคุณลบคีย์สโตร์ ทรัสต์สโตร์ หรืออีเมลแทนที่โฮสต์เสมือน ปลายทาง หรือเซิร์ฟเวอร์เป้าหมายใช้อยู่ การเรียก API ทั้งหมดผ่านโฮสต์เสมือนหรือปลายทาง/เซิร์ฟเวอร์เป้าหมายจะดำเนินการไม่สำเร็จ

โดยปกติแล้ว กระบวนการที่คุณใช้ลบคีย์สโตร์/คลังความน่าเชื่อถือหรืออีเมลแทนมีดังนี้

  1. สร้างคีย์สโตร์/คลังความน่าเชื่อถือหรืออีเมลแทนใหม่ตามที่อธิบายไว้ข้างต้น
  2. สําหรับการเชื่อมต่อขาเข้า ซึ่งหมายถึงคําขอ API ไปยัง Edge ให้อัปเดตการกําหนดค่าโฮสต์เสมือนเพื่ออ้างอิงคีย์สโตร์และอีเมลแทนคีย์ใหม่
  3. สําหรับการเชื่อมต่อขาออก ซึ่งหมายถึงจาก Apigee ไปยังเซิร์ฟเวอร์แบ็กเอนด์ ให้ทำดังนี้
    1. อัปเดตการกําหนดค่า TargetEndpoint สําหรับพร็อกซี API ที่อ้างอิงถึงคีย์สโตร์และอีเมลแทนคีย์เดิมเพื่ออ้างอิงคีย์สโตร์และอีเมลแทนคีย์ใหม่ หาก TargetEndpoint อ้างอิง TargetServer ให้อัปเดตคําจํากัดความของ TargetServer เพื่ออ้างอิงคีย์สโตร์และอีเมลแทนคีย์ใหม่
    2. หากมีการอ้างอิงคีย์สโตร์และทรัสต์สโตร์จากคําจํากัดความ TargetEndpoint โดยตรง คุณต้องติดตั้งใช้งานพร็อกซีอีกครั้ง หาก TargetEndpoint อ้างอิงถึงคําจํากัดความของ TargetServer และคำจำกัดความของ TargetServer อ้างอิงถึงคีย์สโตร์และทรัสต์สโตร์ ก็ไม่จำเป็นต้องทำให้พร็อกซีทํางานอีกครั้ง
  4. ยืนยันว่าพร็อกซี API ทํางานอย่างถูกต้อง
  5. ลบคีย์สโตร์/ทรัสต์สโตร์หรืออีเมลแทน

ลบคีย์สโตร์

คุณลบคีย์สโตร์หรือทรัสต์สโตร์ได้โดยวางเคอร์เซอร์เหนือคีย์สโตร์หรือทรัสต์สโตร์ในรายการเพื่อแสดงเมนูการดำเนินการ แล้วคลิก หากคุณลบคีย์สโตร์หรือคลังความน่าเชื่อถือที่โฮสต์เสมือนหรือปลายทาง/เซิร์ฟเวอร์เป้าหมายใช้อยู่ การเรียก API ทั้งหมดผ่านโฮสต์เสมือนหรือปลายทาง/เซิร์ฟเวอร์เป้าหมายจะดำเนินการไม่สำเร็จ

ข้อควรระวัง: คุณไม่ควรลบคีย์สโตร์จนกว่าจะแปลงโฮสต์เสมือนและปลายทาง/เซิร์ฟเวอร์เป้าหมายให้ใช้คีย์สโตร์ใหม่

ลบอีเมลแทน

คุณลบชื่อแทนได้โดยวางเคอร์เซอร์เหนือชื่อแทนในรายการเพื่อแสดงเมนูการดำเนินการ แล้วคลิก หากคุณลบอีเมลแทนที่โฮสต์เสมือนหรือปลายทาง/เซิร์ฟเวอร์เป้าหมายใช้อยู่ การเรียก API ทั้งหมดผ่านโฮสต์เสมือนหรือปลายทาง/เซิร์ฟเวอร์เป้าหมายจะดำเนินการไม่สำเร็จ

ข้อควรระวัง: คุณไม่ควรลบอีเมลแทนจนกว่าจะแปลงโฮสต์เสมือนและปลายทาง/เซิร์ฟเวอร์เป้าหมายให้ใช้คีย์สโตร์และอีเมลแทนใหม่