Tạo kho khoá và kho tin cậy bằng giao diện người dùng Edge

Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến tài liệu về Apigee X. thông tin

Tài liệu này mô tả cách tạo, sửa đổi và xoá kho khoá và kho tin cậy cho Edge cho đám mây và Edge cho phiên bản đám mây riêng tư 4.18.01 trở lên.

Giới thiệu về kho khoá/kho tin cậy và máy chủ ảo cho Edge Cloud

Quá trình tạo kho khoá/kho tin cậy cho Edge Cloud yêu cầu bạn tuân thủ tất cả các quy tắc về việc sử dụng máy chủ lưu trữ ảo. Ví dụ: với máy chủ lưu trữ ảo trên đám mây:

  • Máy chủ ảo phải sử dụng TLS.
  • Máy chủ lưu trữ ảo chỉ có thể sử dụng cổng 443.
  • Bạn phải sử dụng chứng chỉ TLS đã ký. Không được phép sử dụng chứng chỉ chưa ký với máy chủ lưu trữ ảo trên đám mây.
  • Tên miền do chứng chỉ TLS chỉ định phải khớp với bí danh máy chủ lưu trữ của máy chủ ảo.

Tìm hiểu thêm:

Triển khai kho khoá và kho tin cậy trong Edge

Để định cấu hình chức năng dựa trên cơ sở hạ tầng khoá công khai, chẳng hạn như TLS, bạn cần tạo kho khoá và kho tin cậy chứa các khoá và chứng chỉ kỹ thuật số cần thiết.

Trong Edge, kho khoá và kho tin cậy đều được biểu thị bằng một thực thể kho khoá chứa một hoặc nhiều bí danh. Tức là không có sự khác biệt về cách triển khai giữa kho khoá và kho tin cậy trên Edge.

Sự khác biệt giữa kho khoá và kho tin cậy bắt nguồn từ các loại mục nhập mà chúng chứa và cách sử dụng các mục nhập đó trong quy trình bắt tay TLS:

  • kho khoá – một thực thể kho khoá chứa một hoặc nhiều bí danh, trong đó mỗi bí danh chứa một cặp chứng chỉ/khoá.
  • truststore – một thực thể kho khoá chứa một hoặc nhiều bí danh, trong đó mỗi bí danh chỉ chứa một chứng chỉ.

Khi định cấu hình TLS cho máy chủ ảo hoặc điểm cuối mục tiêu, kho khoá và kho tin cậy sẽ cung cấp nhiều vai trò trong quy trình bắt tay TLS. Khi định cấu hình máy chủ ảo hoặc điểm cuối mục tiêu, bạn sẽ chỉ định kho khoá và kho tin cậy riêng biệt trong thẻ <SSLInfo>, như minh hoạ bên dưới cho máy chủ ảo:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>false</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
    </SSLInfo>
</VirtualHost>

Trong ví dụ này, bạn chỉ định tên của kho khoá và bí danh mà máy chủ ảo sử dụng cho kho khoá TLS. Bạn sử dụng tham chiếu để chỉ định tên kho khoá để có thể thay đổi tên đó sau khi chứng chỉ hết hạn. Bí danh chứa một cặp chứng chỉ/khoá dùng để xác định máy chủ ảo cho ứng dụng TLS truy cập vào máy chủ ảo. Trong ví dụ này, bạn không cần phải có kho tin cậy.

Nếu cần có kho lưu trữ đáng tin cậy, chẳng hạn như cho cấu hình TLS 2 chiều, hãy sử dụng thẻ <TrustStore> để chỉ định kho lưu trữ đáng tin cậy:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>true</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
        <TrustStore>ref://truststoreref</TrustStore>
    </SSLInfo>
</VirtualHost>

Trong ví dụ này, thẻ <TrustStore> chỉ tham chiếu đến một kho khoá, không chỉ định một bí danh cụ thể. Mỗi bí danh trong kho khoá chứa một chứng chỉ hoặc một chuỗi chứng chỉ được dùng trong quy trình bắt tay TLS.

Định dạng chứng chỉ được hỗ trợ

Định dạng Hỗ trợ tải lên API và giao diện người dùng Hỗ trợ hướng Bắc Đã xác thực
PEM
* PKCS12
Lưu ý: Apigee chuyển đổi
PKCS12 thành PEM trong nội bộ.
* DER Không Không
* PKCS7 Không Không Không

* Bạn nên sử dụng PEM nếu có thể.

Sử dụng kho khoá PKCS12 với Edge for Private Cloud 4.53.00 trở lên

Nếu đang sử dụng Edge for Private Cloud phiên bản 4.53.00 trở lên, bạn chỉ nên sử dụng kho khoá PKCS12 để tải khoá và chứng chỉ liên quan lên Apigee. Để được hỗ trợ chuyển đổi các khoá và chứng chỉ hiện có sang định dạng PKCS12/PFX, hãy tham khảo bài viết Chuyển đổi chứng chỉ sang định dạng được hỗ trợ.

Giới thiệu về cách triển khai bí danh

Trên Edge, kho khoá chứa một hoặc nhiều bí danh, trong đó mỗi bí danh chứa:

  • Chứng chỉ TLS dưới dạng tệp PEM hoặc PKCS12/PFX – một chứng chỉ do tổ chức phát hành chứng chỉ (CA) ký, một tệp chứa một chuỗi chứng chỉ mà chứng chỉ cuối cùng do CA ký hoặc một chứng chỉ tự ký.
  • Khoá riêng tư dưới dạng tệp PEM hoặc PKCS12/PFX. Edge hỗ trợ kích thước khoá lên đến 2048 bit. Bạn không bắt buộc phải sử dụng cụm mật khẩu.

Trên Edge, kho lưu trữ đáng tin cậy chứa một hoặc nhiều bí danh, trong đó mỗi bí danh chứa:

  • Chứng chỉ TLS dưới dạng tệp PEM – một chứng chỉ do tổ chức phát hành chứng chỉ (CA) ký, một chuỗi chứng chỉ mà chứng chỉ cuối cùng do CA ký hoặc một chứng chỉ tự ký.

Edge cung cấp giao diện người dùng và API mà bạn sử dụng để tạo kho khoá, tạo bí danh, tải cặp chứng chỉ/khoá lên và cập nhật chứng chỉ. Giao diện người dùng và API mà bạn sử dụng để tạo kho tin cậy cũng giống như khi bạn sử dụng để tạo kho khoá. Điểm khác biệt là khi tạo kho tin cậy, bạn sẽ tạo các bí danh chỉ chứa một chứng chỉ.

Giới thiệu về định dạng của tệp chứng chỉ và khoá

Bạn có thể biểu thị chứng chỉ và khoá dưới dạng tệp PEM hoặc tệp PKCS12/PFX. Tệp PEM tuân thủ định dạng X.509. Nếu chứng chỉ hoặc khoá riêng tư của bạn không được xác định bằng tệp PEM, bạn có thể chuyển đổi chứng chỉ hoặc khoá riêng tư đó thành tệp PEM bằng cách sử dụng các tiện ích như openssl.

Tuy nhiên, nhiều tệp .crt và tệp .key đã ở định dạng PEM. Nếu các tệp này là tệp văn bản và được đưa vào:

-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----

hoặc:

-----BEGIN ENCRYPTED PRIVATE KEY-----
-----END ENCRYPTED PRIVATE KEY-----

Sau đó, các tệp này sẽ tương thích với định dạng PEM và bạn có thể sử dụng các tệp đó trong kho khoá hoặc kho tin cậy mà không cần chuyển đổi các tệp đó thành tệp PEM.

Giới thiệu về chuỗi chứng chỉ

Nếu một chứng chỉ là một phần của chuỗi, bạn sẽ xử lý chứng chỉ đó theo cách khác nhau dựa trên việc chứng chỉ được sử dụng trong kho khoá hay trong kho tin cậy:

  • Keystore – Nếu một chứng chỉ là một phần của chuỗi, thì bạn phải tạo một tệp chứa tất cả các chứng chỉ trong chuỗi. Các chứng chỉ phải theo thứ tự và chứng chỉ cuối cùng phải là chứng chỉ gốc hoặc chứng chỉ trung gian do chứng chỉ gốc ký.
  • Kho lưu trữ đáng tin cậy – Nếu một chứng chỉ là một phần của chuỗi, thì bạn phải tạo một tệp chứa tất cả chứng chỉ và tải tệp đó lên một bí danh hoặc tải tất cả chứng chỉ trong chuỗi lên kho lưu trữ đáng tin cậy theo cách riêng biệt bằng cách sử dụng một bí danh khác nhau cho mỗi chứng chỉ. Nếu bạn tải các chứng chỉ này lên dưới dạng một chứng chỉ duy nhất, thì các chứng chỉ phải được sắp xếp theo thứ tự và chứng chỉ cuối cùng phải là chứng chỉ gốc hoặc chứng chỉ trung gian do chứng chỉ gốc ký.
  • Nếu tạo một tệp chứa nhiều chứng chỉ, bạn phải chèn một dòng trống giữa mỗi chứng chỉ.

Ví dụ: bạn có thể kết hợp tất cả các chứng chỉ vào một tệp PEM. Các chứng chỉ phải theo thứ tự và chứng chỉ cuối cùng phải là chứng chỉ gốc hoặc chứng chỉ trung gian do chứng chỉ gốc ký:

-----BEGIN CERTIFICATE----- 
(Your Primary TLS certificate) 
-----END CERTIFICATE----- 

-----BEGIN CERTIFICATE----- 
(Intermediate certificate) 
-----END CERTIFICATE-----
 
-----BEGIN CERTIFICATE----- 
(Root certificate or intermediate certificate signed by a root certificate) 
-----END CERTIFICATE-----

Nếu chứng chỉ của bạn được biểu thị dưới dạng tệp PKCS12/PFX, bạn có thể sử dụng lệnh openssl để tạo tệp PKCS12/PFX từ chuỗi chứng chỉ, như minh hoạ dưới đây:

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

Khi làm việc với chuỗi chứng chỉ trong kho tin cậy, bạn không phải lúc nào cũng phải tải tất cả các chứng chỉ trong chuỗi lên. Ví dụ: bạn tải chứng chỉ ứng dụng lên, client_cert_1 và chứng chỉ của nhà phát hành chứng chỉ ứng dụng, ca_cert.

Trong quá trình xác thực TLS hai chiều, quá trình xác thực ứng dụng sẽ thành công khi máy chủ gửi client_cert_1 đến ứng dụng trong quá trình bắt tay TLS.

Ngoài ra, bạn có một chứng chỉ thứ hai, client_cert_2, được ký bằng cùng một chứng chỉ, ca_cert. Tuy nhiên, bạn không tải client_cert_2 lên kho tin cậy. Kho lưu trữ đáng tin cậy vẫn chỉ chứa client_cert_1ca_cert.

Khi máy chủ truyền client_cert_2 trong quá trình bắt tay TLS, yêu cầu sẽ thành công. Lý do là Edge cho phép xác minh TLS thành công khi client_cert_2 không tồn tại trong kho lưu trữ tin cậy nhưng được ký bằng một chứng chỉ tồn tại trong kho lưu trữ tin cậy. Nếu bạn xoá chứng chỉ CA, ca_cert, khỏi kho lưu trữ tin cậy, thì quá trình xác minh TLS sẽ không thành công.

Những điều cần cân nhắc về FIPS

Nếu đang sử dụng Edge for Private Cloud 4.53.00 trở lên trên một hệ điều hành hỗ trợ FIPS, bạn chỉ nên sử dụng kho khoá PKCS12 để tải khoá và chứng chỉ liên quan lên Apigee.

Khám phá trang Kho khoá TLS

Truy cập vào trang Kho khoá TLS như mô tả dưới đây.

Edge

Cách truy cập vào trang Kho khoá TLS bằng giao diện người dùng Edge:

  1. Đăng nhập vào https://apigee.com/edge với tư cách là quản trị viên tổ chức.
  2. Chọn tổ chức của bạn.
  3. Chọn Quản trị > Môi trường > Kho khoá TLS.

Edge phiên bản cũ (Đám mây riêng)

Cách truy cập vào trang Kho khoá TLS bằng giao diện người dùng Edge phiên bản cũ:

  1. Đăng nhập vào http://ms-ip:9000 với tư cách là quản trị viên tổ chức, trong đó ms-ip là địa chỉ IP hoặc tên DNS của nút Máy chủ quản lý.
  2. Chọn tổ chức của bạn.
  3. Chọn Quản trị > Cấu hình môi trường > Kho khoá TLS.

Trang Kho khoá TLS sẽ xuất hiện:

Như đã nêu trong hình trước, trang Kho khoá TLS cho phép bạn:

Xem bí danh

Cách xem bí danh:

  1. Truy cập vào trang Kho khoá TLS.
  2. Chọn Môi trường (thường là prod hoặc test).
  3. Nhấp vào hàng liên kết với bí danh mà bạn muốn xem.

    Thông tin chi tiết về chứng chỉ và khoá bí danh sẽ xuất hiện.

    Bạn có thể xem tất cả thông tin về bí danh, bao gồm cả ngày hết hạn.

  4. Quản lý chứng chỉ bằng các nút ở đầu trang để:
    • Tải chứng chỉ xuống dưới dạng tệp PEM.
    • Tạo CSR. Nếu có chứng chỉ đã hết hạn và muốn gia hạn, bạn có thể tải Yêu cầu ký chứng chỉ (CSR) xuống. Sau đó, bạn gửi CSR đến CA để lấy chứng chỉ mới.
    • Cập nhật chứng chỉ. Thận trọng: Nếu cập nhật một chứng chỉ mà máy chủ lưu trữ ảo hoặc máy chủ mục tiêu/điểm cuối mục tiêu đang sử dụng, thì bạn phải liên hệ với Nhóm hỗ trợ Apigee Edge để khởi động lại Trình định tuyến và Trình xử lý thông báo. Bạn nên cập nhật chứng chỉ theo cách sau:
      1. Tạo một kho khoá hoặc kho tin cậy mới.
      2. Thêm chứng chỉ mới vào kho khoá hoặc kho tin cậy mới.
      3. Cập nhật tệp tham chiếu trong máy chủ ảo hoặc máy chủ mục tiêu/điểm cuối mục tiêu thành kho khoá hoặc kho tin cậy. Hãy xem bài viết Cập nhật chứng chỉ TLS cho Cloud để biết thêm thông tin.
      4. Xoá bí danh. Lưu ý: Nếu bạn xoá một bí danh và bí danh đó đang được máy chủ ảo hoặc điểm cuối mục tiêu sử dụng, thì máy chủ ảo hoặc điểm cuối mục tiêu sẽ không hoạt động.

Tạo kho khoá/kho tin cậy và bí danh

Bạn có thể tạo một kho khoá để sử dụng làm kho khoá TLS hoặc kho tin cậy TLS. Kho khoá là dành riêng cho một môi trường trong tổ chức của bạn, chẳng hạn như môi trường thử nghiệm hoặc môi trường sản xuất. Do đó, nếu muốn kiểm thử kho khoá trong môi trường thử nghiệm trước khi triển khai kho khoá đó vào môi trường phát hành chính thức, bạn phải tạo kho khoá trong cả hai môi trường.

Để tạo kho khoá trong một môi trường, bạn chỉ cần chỉ định tên kho khoá. Sau khi tạo một kho khoá có tên trong một môi trường, bạn có thể tạo bí danh và tải một cặp chứng chỉ/khoá lên (kho khoá) hoặc chỉ tải một chứng chỉ lên (kho lưu trữ đáng tin cậy) vào bí danh đó.

Cách tạo kho khoá:

  1. Truy cập vào trang Kho khoá TLS.
  2. Chọn Môi trường (thường là prod hoặc test).
  3. Nhấp vào + Kho khoá.
  4. Chỉ định tên kho khoá. Tên chỉ được chứa các ký tự chữ-số.
  5. Nhấp vào Thêm kho khoá. Kho khoá mới sẽ xuất hiện trong danh sách.
  6. Hãy sử dụng một trong các quy trình sau để thêm bí danh. Xem thêm nội dung Định dạng tệp chứng chỉ được hỗ trợ.

Tạo bí danh từ chứng chỉ (chỉ dành cho kho tin cậy)

Cách tạo bí danh từ chứng chỉ:

  1. Truy cập vào trang Kho khoá TLS.
  2. Đặt con trỏ lên kho khoá để hiển thị trình đơn thao tác rồi nhấp vào +.
  3. Chỉ định Alias Name (Tên bí danh).
  4. Trong phần Chi tiết chứng chỉ, hãy chọn Chỉ chứng chỉ trong trình đơn thả xuống Loại.
  5. Nhấp vào Chọn tệp bên cạnh Tệp chứng chỉ, chuyển đến tệp PEM chứa chứng chỉ rồi nhấp vào Mở.
  6. Theo mặc định, API sẽ kiểm tra để đảm bảo chứng chỉ chưa hết hạn. Bạn có thể chọn Allow Expired Certificate (Cho phép chứng chỉ đã hết hạn) để bỏ qua quy trình xác thực.
  7. Chọn Lưu để tải chứng chỉ lên và tạo bí danh.

Tạo bí danh từ tệp JAR (chỉ dành cho kho khoá)

Cách tạo bí danh từ tệp JAR:

  1. Truy cập vào trang Kho khoá TLS.
  2. Đặt con trỏ lên kho khoá để hiển thị trình đơn thao tác rồi nhấp vào +.
  3. Chỉ định Alias Name (Tên bí danh).
  4. Trong phần Chi tiết chứng chỉ, hãy chọn Tệp JAR trong trình đơn thả xuống Loại.
  5. Nhấp vào Chọn tệp bên cạnh Tệp JAR, chuyển đến tệp JAR chứa chứng chỉ và khoá rồi nhấp vào Mở.
  6. Nếu khoá có mật khẩu, hãy chỉ định Mật khẩu. Nếu khoá không có mật khẩu, hãy để trống trường này.
  7. Theo mặc định, API sẽ kiểm tra để đảm bảo chứng chỉ chưa hết hạn. Bạn có thể chọn Allow Expired Certificate (Cho phép chứng chỉ đã hết hạn) để bỏ qua quy trình xác thực.
  8. Chọn Lưu để tải khoá và chứng chỉ lên, đồng thời tạo bí danh.

Tạo bí danh từ chứng chỉ và khoá (chỉ dành cho kho khoá)

Cách tạo bí danh từ chứng chỉ và khoá:

  1. Truy cập vào trang Kho khoá TLS.
  2. Đặt con trỏ lên kho khoá để hiển thị trình đơn thao tác rồi nhấp vào +.
  3. Chỉ định Alias Name (Tên bí danh).
  4. Trong phần Chi tiết chứng chỉ, hãy chọn Chứng chỉ và khoá trong trình đơn thả xuống Loại.
  5. Nhấp vào Chọn tệp bên cạnh Tệp chứng chỉ, chuyển đến tệp PEM chứa chứng chỉ rồi nhấp vào Mở.
  6. Nếu khoá có mật khẩu, hãy chỉ định Mật khẩu khoá. Nếu khoá không có mật khẩu, hãy để trống trường này.
  7. Nhấp vào Chọn tệp bên cạnh Tệp khoá, chuyển đến tệp PEM chứa khoá rồi nhấp vào Mở.
  8. Theo mặc định, API sẽ kiểm tra để đảm bảo chứng chỉ chưa hết hạn. Bạn có thể chọn Allow Expired Certificate (Cho phép chứng chỉ đã hết hạn) để bỏ qua quy trình xác thực.
  9. Chọn Lưu để tải khoá và chứng chỉ lên rồi tạo bí danh.

Tạo bí danh từ tệp PKCS12/PFX (chỉ dành cho kho khoá)

Cách tạo bí danh từ tệp PKCS12 chứa chứng chỉ và khoá:

  1. Truy cập vào trang Kho khoá TLS.
  2. Đặt con trỏ lên kho khoá để hiển thị trình đơn thao tác rồi nhấp vào +.
  3. Chỉ định Alias Name (Tên bí danh).
  4. Trong phần Thông tin chi tiết về chứng chỉ, hãy chọn PKCS12/PFX trong trình đơn thả xuống Loại.
  5. Nhấp vào Chọn tệp bên cạnh PKCS12/PFX, chuyển đến tệp chứa khoá và chứng chỉ rồi nhấp vào Mở.
  6. Nếu khoá có mật khẩu, hãy chỉ định Mật khẩu cho tệp PKCS12/PFX. nếu khoá không có mật khẩu, hãy để trống trường này.
  7. Theo mặc định, API sẽ kiểm tra để đảm bảo chứng chỉ chưa hết hạn. Bạn có thể chọn Allow Expired Certificate (Cho phép chứng chỉ đã hết hạn) để bỏ qua quy trình xác thực.
  8. Chọn Lưu để tải tệp lên và tạo bí danh.

Tạo bí danh từ một chứng chỉ tự ký (chỉ dành cho kho khoá)

Để tạo một bí danh sử dụng chứng chỉ tự ký, bạn điền thông tin cần thiết vào biểu mẫu để tạo chứng chỉ. Sau đó, Edge sẽ tạo chứng chỉ và cặp khoá riêng tư rồi tải các chứng chỉ đó lên bí danh.

Cách tạo bí danh từ chứng chỉ tự ký:

  1. Truy cập vào trang Kho khoá TLS.
  2. Đặt con trỏ lên kho khoá để hiển thị trình đơn thao tác rồi nhấp vào +.
  3. Chỉ định Alias Name (Tên bí danh).
  4. Trong phần Thông tin chi tiết về chứng chỉ, hãy chọn Chứng chỉ tự ký trong trình đơn thả xuống Loại.
  5. Điền vào biểu mẫu bằng cách sử dụng bảng bên dưới.
  6. Chọn Save (Lưu) để tạo cặp khoá riêng tư và chứng chỉ, đồng thời tải các cặp này lên tên đại diện.

Trong chứng chỉ được tạo, bạn sẽ thấy các trường bổ sung sau:

  • Nhà phát hành
    Pháp nhân đã ký và phát hành chứng chỉ. Đối với chứng chỉ tự ký, đây là CN mà bạn chỉ định khi tạo chứng chỉ.
  • Validity
    (Hiệu lực) Thời gian hiệu lực của chứng chỉ được biểu thị dưới dạng hai ngày: ngày bắt đầu thời gian hiệu lực của chứng chỉ và ngày kết thúc thời gian hiệu lực của chứng chỉ. Cả hai đều có thể được mã hoá dưới dạng giá trị UTCTime hoặc GeneralizedTime.

Bảng sau đây mô tả các trường trong biểu mẫu:

Trường trên biểu mẫu Mô tả Mặc định Bắt buộc
Tên bí danh Tên bí danh. Độ dài tối đa là 128 ký tự. Không áp dụng
Kích thước khoá Kích thước khoá, tính bằng bit. Giá trị mặc định và tối đa là 2048 bit. 2048 Không
Thuật toán chữ ký Thuật toán chữ ký để tạo khoá riêng tư. Các giá trị hợp lệ là "SHA512withRSA", "SHA384withRSA" và "SHA256withRSA" (mặc định). SHA256withRSA Không
Thời hạn hiệu lực của chứng chỉ tính theo ngày Thời hạn hiệu lực của chứng chỉ, tính theo ngày. Chấp nhận giá trị dương khác 0. 365 Không
Tên Chung Tên phổ biến (CN) của tổ chức xác định(các) tên miền đủ điều kiện được liên kết với chứng chỉ. Địa chỉ này thường bao gồm một máy chủ lưu trữ và một tên miền. Ví dụ: api.enterprise.apigee.com, www.apigee.com, v.v. Độ dài tối đa là 64 ký tự.

Tuỳ thuộc vào loại chứng chỉ, CN có thể là một hoặc nhiều tên máy chủ thuộc cùng một miền (ví dụ: example.com, www.example.com), tên đại diện (ví dụ: *.example.com) hoặc danh sách miền. Đừng thêm bất kỳ giao thức nào (http:// hoặc https://), số cổng hoặc đường dẫn tài nguyên.

Chứng chỉ chỉ hợp lệ nếu tên máy chủ của yêu cầu khớp với ít nhất một trong các tên phổ biến của chứng chỉ.

 Không áp dụng
Email Địa chỉ email. Độ dài tối đa là 255 ký tự. Không áp dụng Không
Tên đơn vị tổ chức Tên nhóm trong tổ chức. Độ dài tối đa là 64 ký tự. Không áp dụng Không
Tên tổ chức Tên tổ chức. Độ dài tối đa là 64 ký tự. Không áp dụng Không
Thành phố Tên thành phố/thị trấn. Độ dài tối đa là 128 ký tự. Không áp dụng Không
Tiểu bang/Tỉnh Tên tiểu bang/tỉnh. Độ dài tối đa là 128 ký tự. Không áp dụng Không
Quốc gia Mã quốc gia gồm hai chữ cái. Ví dụ: IN cho Ấn Độ, US cho Hoa Kỳ. Không áp dụng Không
Tên thay thế Danh sách tên máy chủ thay thế. Cho phép liên kết các danh tính bổ sung với chủ thể của chứng chỉ. Các tuỳ chọn đã xác định bao gồm địa chỉ email trên Internet, tên DNS, địa chỉ IP và mã nhận dạng tài nguyên thống nhất (URI).

Mỗi giá trị có tối đa 255 ký tự. Bạn có thể phân tách các tên bằng dấu phẩy hoặc bằng cách nhấn phím Enter sau mỗi tên.

 Không áp dụng Không

Kiểm thử kho khoá hoặc kho tin cậy

Bạn có thể kiểm thử kho lưu trữ tin cậy và kho khoá trong giao diện người dùng Edge để xác minh rằng các kho này được định cấu hình đúng cách. Giao diện người dùng kiểm thử xác thực yêu cầu TLS từ Edge đến một dịch vụ phụ trợ. Bạn có thể định cấu hình dịch vụ phụ trợ để hỗ trợ TLS một chiều hoặc hai chiều.

Cách kiểm thử TLS một chiều:

  1. Truy cập vào trang Kho khoá TLS.
  2. Chọn Môi trường (thường là prod hoặc test).
  3. Di chuột qua kho khoá TLS mà bạn muốn kiểm thử để trình đơn thao tác xuất hiện, rồi nhấp vào Kiểm thử. Hộp thoại sau đây sẽ xuất hiện, cho biết tên của kho lưu trữ đáng tin cậy:
  4. Nhập tên máy chủ của dịch vụ phụ trợ.
  5. Nhập số cổng TLS (thường là 443).
  6. Bạn có thể chỉ định bất kỳ Giao thức hoặc Mã hoá nào.
  7. Chọn Kiểm thử.

Cách kiểm tra TLS hai chiều:

  1. Đối với kho tin cậy mong muốn, hãy chọn nút Test (Kiểm thử).
  2. Trong hộp thoại, hãy chọn Hai chiều cho Loại kiểm thử SSL. Hộp thoại sau đây sẽ xuất hiện:
  3. Chỉ định tên của kho khoá dùng trong TLS hai chiều.
  4. Chỉ định tên bí danh trong kho khoá chứa chứng chỉ và khoá.
  5. Nhập tên máy chủ của dịch vụ phụ trợ.
  6. Nhập số cổng TLS (thường là 443).
  7. Bạn có thể chỉ định bất kỳ Giao thức hoặc Mã hoá nào.
  8. Chọn Kiểm thử.

Thêm chứng chỉ vào kho lưu trữ tin cậy cho TLS hai chiều

Khi sử dụng TLS hai chiều cho các kết nối đến, nghĩa là một yêu cầu API vào Edge, kho tin cậy sẽ chứa một chứng chỉ hoặc chuỗi CA cho mỗi ứng dụng được phép gửi yêu cầu đến Edge.

Khi định cấu hình kho tin cậy ban đầu, bạn có thể thêm tất cả chứng chỉ cho các ứng dụng khách đã biết. Tuy nhiên, theo thời gian, bạn có thể muốn thêm các chứng chỉ khác vào kho tin cậy khi thêm ứng dụng mới.

Cách thêm chứng chỉ mới vào kho lưu trữ đáng tin cậy dùng cho TLS hai chiều:

  1. Đảm bảo rằng bạn đang sử dụng tệp tham chiếu đến kho tin cậy trong máy chủ ảo.
  2. Tải chứng chỉ mới lên kho tin cậy như mô tả ở trên trong phần Tạo bí danh từ chứng chỉ (chỉ dành cho kho tin cậy).

  3. Cập nhật tham chiếu kho lưu trữ đáng tin cậy để đặt tham chiếu đó thành cùng giá trị. Bản cập nhật này khiến Edge tải lại kho tin cậy và chứng chỉ mới.

    Hãy xem phần Sửa đổi tệp đối chiếu để biết thêm thông tin.

Xoá kho khoá/kho tin cậy hoặc bí danh

Bạn phải thận trọng khi xoá kho khoá/kho tin cậy hoặc bí danh. Nếu bạn xoá kho khoá, kho tin cậy hoặc bí danh mà máy chủ lưu trữ ảo, điểm cuối mục tiêu hoặc máy chủ mục tiêu đang sử dụng, thì tất cả lệnh gọi API thông qua máy chủ lưu trữ ảo hoặc điểm cuối mục tiêu/máy chủ mục tiêu sẽ không thành công.

Thông thường, quy trình bạn sử dụng để xoá kho khoá/kho tin cậy hoặc bí danh là:

  1. Tạo một kho khoá/kho tin cậy hoặc bí danh mới như mô tả ở trên.
  2. Đối với các kết nối đến, nghĩa là một yêu cầu API vào Edge, hãy cập nhật cấu hình máy chủ ảo để tham chiếu kho khoá và bí danh khoá mới.
  3. Đối với kết nối đi, nghĩa là từ Apigee đến máy chủ phụ trợ:
    1. Cập nhật cấu hình TargetEndpoint cho mọi proxy API tham chiếu đến kho khoá và bí danh khoá cũ để tham chiếu đến kho khoá và bí danh khoá mới. Nếu TargetEndpoint tham chiếu đến TargetServer, hãy cập nhật định nghĩa TargetServer để tham chiếu đến kho khoá và bí danh khoá mới.
    2. Nếu kho khoá và kho tin cậy được tham chiếu trực tiếp từ định nghĩa TargetEndpoint, thì bạn phải triển khai lại proxy. Nếu TargetEndpoint tham chiếu đến định nghĩa TargetServer và định nghĩa TargetServer tham chiếu đến kho khoá và kho tin cậy, thì bạn không cần triển khai lại proxy.
  4. Xác nhận rằng proxy API của bạn đang hoạt động đúng cách.
  5. Xoá kho khoá/kho tin cậy hoặc bí danh.

Xoá kho khoá

Bạn có thể xoá kho khoá hoặc kho tin cậy bằng cách di chuyển con trỏ qua kho khoá hoặc kho tin cậy trong danh sách để hiển thị trình đơn thao tác rồi nhấp vào . Nếu bạn xoá kho khoá hoặc kho tin cậy mà máy chủ lưu trữ ảo hoặc điểm cuối/máy chủ mục tiêu đang sử dụng, thì tất cả lệnh gọi API thông qua máy chủ lưu trữ ảo hoặc điểm cuối/máy chủ mục tiêu sẽ không thành công.

Thận trọng: Bạn không nên xoá kho khoá cho đến khi chuyển đổi máy chủ lưu trữ ảo và điểm cuối mục tiêu/máy chủ mục tiêu để sử dụng kho khoá mới.

Xoá bí danh

Bạn có thể xoá một bí danh bằng cách di chuyển con trỏ qua bí danh đó trong danh sách để hiển thị trình đơn thao tác rồi nhấp vào . Nếu bạn xoá một bí danh mà máy chủ lưu trữ ảo hoặc điểm cuối mục tiêu/máy chủ mục tiêu đang sử dụng, thì tất cả lệnh gọi API thông qua máy chủ lưu trữ ảo hoặc điểm cuối mục tiêu/máy chủ mục tiêu sẽ không thành công.

Thận trọng: Bạn không nên xoá bí danh cho đến khi chuyển đổi máy chủ lưu trữ ảo và điểm cuối/máy chủ mục tiêu để sử dụng kho khoá và bí danh mới.