إنشاء ملفات تخزين مفاتيح ومخزن الثقة باستخدام واجهة مستخدم Edge

يتم الآن عرض مستندات Apigee Edge.
انتقِل إلى مستند Apigee X. المعلومات

يشرح هذا المستند طريقة إنشاء ملفات تخزين المفاتيح ومخازن الثقة وتعديلها وحذفها في Edge على السحابة الإلكترونية وEdge على إصدارات Private Cloud 4.18.01 والإصدارات الأحدث.

معلومات عن ملفات تخزين المفاتيح/المكتبات الموثوق بها والمضيفات الافتراضية في Edge Cloud

تتطلّب عملية إنشاء ملفات تخزين المفاتيح/المَخازن الموثوق بها في Edge Cloud اتّباع جميع القواعد المتعلّقة باستخدام المضيفات الافتراضية. على سبيل المثال، باستخدام المضيفات الافتراضية في السحابة:

  • يجب أن تستخدم الجهات المضيفة الافتراضية بروتوكول أمان طبقة النقل (TLS).
  • ولا يمكن للمضيفين الافتراضيين استخدام سوى المنفذ 443.
  • يجب استخدام شهادة موقَّعة من بروتوكول أمان طبقة النقل (TLS). ولا يُسمح باستخدام الشهادات غير الموقعة مع المضيفات الافتراضية في السحابة.
  • يجب أن يتطابق اسم النطاق الذي تحدِّده شهادة بروتوكول أمان طبقة النقل (TLS) مع الاسم المستعار للمضيف للمضيف الظاهري.

مزيد من المعلومات:

تنفيذ ملفات تخزين المفاتيح ومخازن الثقة في Edge

لإعداد الوظائف التي تعتمد على البنية الأساسية للمفاتيح العامة، مثل بروتوكول أمان طبقة النقل (TLS)، عليك إنشاء ملفات تخزين مفاتيح ومخازن الثقة التي تحتوي على المفاتيح والشهادات الرقمية اللازمة.

في Edge، يتم تمثيل كل من ملفات تخزين المفاتيح والملفات الموثوق بها من خلال كيان ملف تخزين مفاتيح يحتوي على اسم مستعار واحد أو أكثر. وهذا يعني أنّه ما مِن اختلاف في التنفيذ بين ملف تخزين المفاتيح وملف Truststore على Edge.

ينشأ الفرق بين ملفات تخزين المفاتيح وملف Truststore من أنواع الإدخالات التي تحتوي عليها وطريقة استخدامها في عملية تأكيد الاتصال من خلال بروتوكول أمان طبقة النقل (TLS):

  • ملف تخزين المفاتيح: أي كيان في ملف تخزين المفاتيح يحتوي على اسم مستعار واحد أو أكثر، حيث يحتوي كل اسم مستعار على زوج شهادة/مفتاح.
  • Truststore: كيانًا على keystore يحتوي على اسم مستعار واحد أو أكثر، حيث يحتوي كل اسم مستعار على شهادة فقط.

عند ضبط بروتوكول أمان طبقة النقل (TLS) لمضيف افتراضي أو نقطة نهاية مستهدفة، توفِّر ملفات تخزين المفاتيح ومخازن الثقة أدوارًا مختلفة في عملية تأكيد الاتصال من خلال بروتوكول أمان طبقة النقل (TLS). عند إعداد مضيف افتراضي أو نقطة نهاية مستهدفة، يمكنك تحديد ملفات تخزين المفاتيح ومخازن الثقة بشكل منفصل في العلامة <SSLInfo> كما هو موضّح أدناه للمضيف الافتراضي:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>false</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
    </SSLInfo>
</VirtualHost>

في هذا المثال، يمكنك تحديد اسم ملف تخزين المفاتيح والاسم المستعار الذي يستخدمه المضيف الافتراضي لملفّ تخزين مفاتيح بروتوكول أمان طبقة النقل (TLS). يمكنك استخدام مرجع لتحديد اسم ملف تخزين المفاتيح بحيث يمكنك تغييره لاحقًا عند انتهاء صلاحية الشهادة. يحتوي العنوان البديل على زوج مفتاح/شهادة يتم استخدامه لتحديد المضيف الافتراضي لعميل بروتوكول أمان طبقة النقل (TLS) الذي يصل إلى المضيف الظاهري. في هذا المثال، ليست هناك حاجة إلى Truststore.

إذا كان Truststore مطلوبًا، مثل ضبط بروتوكول أمان طبقة النقل (TLS) الثنائي، استخدِم العلامة <TrustStore> لتحديد Truststore:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>true</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
        <TrustStore>ref://truststoreref</TrustStore>
    </SSLInfo>
</VirtualHost>

في هذا المثال، تشير العلامة <TrustStore> إلى ملف تخزين مفاتيح فقط، بدون تحديد اسم مستعار معيّن. يحتوي كل اسم مستعار في ملف تخزين المفاتيح على شهادة أو سلسلة شهادات يتم استخدامها كجزء من عملية تأكيد الاتصال من خلال بروتوكول أمان طبقة النقل (TLS).

تنسيقات الشهادات المتوافقة

التنسيق تم دعم التحميل من خلال واجهة برمجة التطبيقات وواجهة المستخدم مسموح به باتجاه الشمال تمّ التحقق من الملف
PEM نعم نعم نعم
* PKCS12 نعم نعم نعم
ملاحظة: تعمل Apigee على تحويل
PKCS12 داخليًا إلى PEM.
* DER لا لا نعم
* PKCS7 لا لا لا

* ننصح باستخدام PEM إذا أمكن.

لمحة عن تنفيذ اسم مستعار

على Edge، يحتوي ملف تخزين المفاتيح على اسم مستعار واحد أو أكثر، حيث يحتوي كل اسم مستعار على:

  • شهادة TLS، كملف PEM أو PKCS12/PFX، تكون إما شهادة موقَّعة من مرجع تصديق (CA) أو ملف يحتوي على سلسلة من الشهادات موقَّعة فيها شهادة موقَّعة ذاتيًا من مرجع تصديق (CA) أو شهادة موقَّعة ذاتيًا.
  • مفتاح خاص كملف PEM أو PKCS12/PFX. يدعم Edge أحجام المفاتيح التي تصل إلى 2048 بت. وتُعدّ عبارة المرور اختيارية.

على Edge، يحتوي truststore على اسم مستعار واحد أو أكثر، حيث يحتوي كل اسم مستعار على:

  • شهادة بروتوكول أمان طبقة النقل (TLS) كملف PEM، وتكون إما شهادة موقَّعة من مرجع تصديق (CA) أو سلسلة من الشهادات تم توقيع آخر شهادة منها من قِبل مرجع تصديق أو شهادة موقَّعة ذاتيًا.

يوفر Edge واجهة مستخدم وواجهة برمجة تطبيقات تستخدمها لإنشاء ملفات تخزين مفاتيح وإنشاء أسماء مستعارة وتحميل أزواج الشهادات/المفاتيح وتحديث الشهادات. إنّ واجهة المستخدم وواجهة برمجة التطبيقات اللذان تستخدمهما لإنشاء ملف Truststore هي نفسها المستخدمة في إنشاء ملف تخزين. الفرق بينهما هو أنّه عند إنشاء متجر Truststore، يتم إنشاء أسماء مستعارة تحتوي على شهادة فقط.

لمحة عن تنسيق الشهادة وملفات المفتاح

يمكنك تمثيل الشهادات والمفاتيح كملفات PEM أو ملفات PKCS12/PFX. تتوافق ملفات PEM مع التنسيق X.509. إذا لم يتم تحديد شهادتك أو مفتاحك الخاص من خلال ملف PEM، يمكنك تحويلهما إلى ملف PEM باستخدام أدوات مثل openssl.

ومع ذلك، هناك العديد من ملفات .crt وملفات .key بتنسيق PEM. إذا كانت هذه الملفات عبارة عن ملفات نصية، وتم تضمينها في:

-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----

أو:

-----BEGIN ENCRYPTED PRIVATE KEY-----
-----END ENCRYPTED PRIVATE KEY-----

بعد ذلك، تصبح الملفات متوافقة مع تنسيق PEM، ويمكنك استخدامها في ملف تخزين المفاتيح أو Truststore بدون تحويلها إلى ملف PEM.

لمحة عن سلاسل الشهادات

إذا كانت الشهادة جزءًا من سلسلة، سيتم التعامل معها بطريقة مختلفة استنادًا إلى ما إذا كانت الشهادة مُستخدَمة في ملف تخزين مفاتيح أو في ملف موثوق به:

  • ملف تخزين المفاتيح - إذا كانت الشهادة جزءًا من سلسلة، يجب إنشاء ملف واحد يحتوي على جميع الشهادات في السلسلة. يجب أن تكون الشهادات مرتبة ويجب أن تكون الشهادة الأخيرة شهادة جذر أو شهادة وسيطة موقَّعة بشهادة جذر.
  • Truststore: إذا كانت الشهادة جزءًا من سلسلة، عليك إما إنشاء ملف واحد يحتوي على جميع الشهادات وتحميل هذا الملف إلى اسم مستعار، أو تحميل جميع الشهادات الموجودة في السلسلة بشكل منفصل إلى Truststore باستخدام اسم مستعار مختلف لكل شهادة. في حال تحميلها كشهادة واحدة، يجب أن تكون الشهادات مرتبة وأن تكون الشهادة الأخيرة شهادة جذر أو شهادة وسيطة موقَّعة بواسطة شهادة جذر.
  • إذا أنشأت ملفًا واحدًا يحتوي على عدة شهادات، يجب إدراج سطر فارغ بين كل شهادة.

على سبيل المثال، يمكنك دمج جميع الشهادات في ملف PEM واحد. يجب أن تكون الشهادات مرتبة ويجب أن تكون الشهادة الأخيرة شهادة جذر أو شهادة وسيطة موقَّعة بشهادة جذر:

-----BEGIN CERTIFICATE----- 
(Your Primary TLS certificate) 
-----END CERTIFICATE----- 

-----BEGIN CERTIFICATE----- 
(Intermediate certificate) 
-----END CERTIFICATE-----
 
-----BEGIN CERTIFICATE----- 
(Root certificate or intermediate certificate signed by a root certificate) 
-----END CERTIFICATE-----

إذا كانت شهاداتك ممثَّلة كملفات PKCS12/PFX، يمكنك استخدام الأمر openssl لإنشاء ملف PKCS12/PFX من سلسلة الشهادات، كما هو موضّح أدناه:

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

عند العمل مع سلاسل شهادات في متجر موثوق، لا تضطر دائمًا إلى تحميل جميع الشهادات في السلسلة. على سبيل المثال، ستحمّل شهادة عميل وclient_cert_1 وشهادة مصدر شهادة العميل ca_cert.

أثناء مصادقة بروتوكول أمان طبقة النقل (TLS) الثنائية، تنجح مصادقة العميل عندما يرسل الخادم client_cert_1 إلى العميل كجزء من عملية تأكيد الاتصال من خلال بروتوكول أمان طبقة النقل (TLS).

بدلاً من ذلك، لديك شهادة ثانية، client_cert_2، موقَّعة من خلال الشهادة نفسها، ca_cert. ومع ذلك، لا يمكنك تحميل client_cert_2 إلى Truststore. لا يزال مخزن الثقة يحتوي على client_cert_1 وca_cert فقط.

عندما يجتاز الخادم client_cert_2 كجزء من عملية تأكيد الاتصال من خلال بروتوكول أمان طبقة النقل (TLS)، يتم تنفيذ الطلب بنجاح. ويرجع ذلك إلى أنّ Edge يسمح بالتحقق من بروتوكول أمان طبقة النقل (TLS) بنجاح في حال عدم توفّر client_cert_2 في Truststore ولكن تم توقيعه من خلال شهادة موجودة في Truststore. في حال إزالة شهادة CA، ca_cert، من Truststore، سيتعذّر إثبات الملكية عبر بروتوكول أمان طبقة النقل (TLS).

الاطّلاع على صفحة "ملفات تخزين مفاتيح بروتوكول أمان طبقة النقل"

ادخل إلى صفحة ملفات تخزين مفاتيح بروتوكول أمان طبقة النقل (TLS)، كما هو موضح أدناه.

Edge

للوصول إلى صفحة ملفات تخزين مفاتيح بروتوكول أمان طبقة النقل (TLS) باستخدام واجهة مستخدم Edge:

  1. سجِّل الدخول إلى https://apigee.com/edge بصفتك مشرف مؤسسة.
  2. اختَر مؤسستك.
  3. اختَر المشرف > البيئة > ملفات تخزين مفاتيح بروتوكول أمان طبقة النقل (TLS).

كلاسيكي Edge (السحابة الخاصة)

للوصول إلى صفحة ملفات تخزين مفاتيح بروتوكول أمان طبقة النقل (TLS) باستخدام واجهة مستخدم Classic Edge:

  1. سجِّل الدخول إلى http://ms-ip:9000 بصفتك مشرف مؤسسة، حيث يكون ms-ip هو عنوان IP أو اسم نظام أسماء النطاقات لعقدة خادم الإدارة.
  2. اختَر مؤسستك.
  3. اختَر المشرف > إعداد البيئة > ملفات تخزين مفاتيح طبقة النقل الآمنة.

يتم عرض صفحة ملفات تخزين مفاتيح بروتوكول أمان طبقة النقل (TLS):

كما هو موضح في الشكل السابق، تتيح لك صفحة ملفات تخزين مفاتيح بروتوكول أمان طبقة النقل إجراء ما يلي:

عرض اسم مستعار

لعرض اسم مستعار:

  1. انتقِل إلى صفحة "ملفات تخزين مفاتيح بروتوكول أمان طبقة النقل" (TLS).
  2. اختَر البيئة (عادةً prod أو test).
  3. انقر على الصف المرتبط بعنوان البريد الإلكتروني البديل الذي تريد عرضه.

    يتم عرض تفاصيل لشهادة ومفتاح الاسم المستعار.

    يمكنك الاطّلاع على جميع المعلومات المتعلقة بعنوان البريد الإلكتروني البديل، بما في ذلك تاريخ انتهاء الصلاحية.

  4. يمكنك إدارة الشهادة باستخدام الأزرار في أعلى الصفحة لتنفيذ ما يلي:
    • نزِّل الشهادة كملف PEM.
    • أنشئ CSR. إذا كانت لديك شهادة منتهية الصلاحية وتريد تجديدها، يمكنك تنزيل طلب توقيع شهادة (CSR). بعد ذلك، تُرسل CSR إلى مرجع التصديق للحصول على شهادة جديدة.
    • يُرجى تعديل شهادة. تنبيه: في حال تعديل شهادة يستخدمها حاليًا مضيف افتراضي أو الخادم الهدف/نقطة النهاية المستهدفة، عليك التواصل مع فريق دعم Apigee Edge لإعادة تشغيل أجهزة التوجيه ومعالِجات الرسائل. الطريقة المقترَحة لتعديل شهادة هي:
      1. أنشِئ ملف تخزين مفاتيح جديدًا أو ملف تخزين موثوقًا به.
      2. أضِف الشهادة الجديدة إلى ملف تخزين المفاتيح الجديد أو مخزن الثقة الجديدَين.
      3. عدِّل المرجع في المضيف الافتراضي أو الخادم الهدف/نقطة النهاية المستهدفة إلى ملف تخزين المفاتيح أو مخزن الثقة. يُرجى الاطّلاع على تعديل شهادة بروتوكول أمان طبقة النقل (TLS) في السحابة الإلكترونية لمزيد من المعلومات.
      4. احذف العنوان البديل للبريد الإلكتروني. ملاحظة: إذا حذفت اسمًا مستعارًا وكان قيد الاستخدام حاليًا من قِبل مضيف افتراضي أو نقطة نهاية مستهدفة، سيتعذّر عندئذٍ المضيف الافتراضي أو نقطة النهاية الهدف.

إنشاء ملف تخزين مفاتيح أو ملف تخزين موثوق به وعنوان بديل

يمكنك إنشاء ملف تخزين مفاتيح لاستخدامه كملف تخزين مفاتيح طبقة النقل الآمنة (TLS) أو كملف تخزين موثوق به لبروتوكول أمان طبقة النقل (TLS). ويكون ملف تخزين المفاتيح خاصًا ببيئة عمل مؤسستك، على سبيل المثال بيئة الاختبار أو الإنتاج. وبالتالي، إذا كنت تريد اختبار ملف تخزين المفاتيح في بيئة اختبار قبل نشره في بيئة الإنتاج، يجب إنشاؤه في كلتا البيئتين.

لإنشاء ملف تخزين مفاتيح في بيئة عمل، ما عليك سوى تحديد اسم ملف تخزين المفاتيح. بعد إنشاء ملف تخزين مُسمّى في بيئة، يمكنك إنشاء أسماء مستعارة وتحميل زوج شهادة/مفتاح (ملف تخزين مفاتيح) أو تحميل شهادة فقط (متجر موثوق به) إلى العنوان البديل للبريد الإلكتروني.

لإنشاء ملف تخزين المفاتيح:

  1. انتقِل إلى صفحة "ملفات تخزين مفاتيح بروتوكول أمان طبقة النقل" (TLS).
  2. اختَر البيئة (عادةً prod أو test).
  3. انقر على + ملف تخزين مفاتيح.
  4. حدِّد اسم ملف تخزين المفاتيح. لا يمكن أن يحتوي الاسم إلا على أحرف أبجدية رقمية.
  5. انقر على إضافة ملف تخزين مفاتيح. سيظهر ملف تخزين المفاتيح الجديد في القائمة.
  6. يمكنك استخدام أحد الإجراءات التالية لإضافة اسم مستعار. يمكنك أيضًا الاطّلاع على التنسيقات المتوافقة لملفات الشهادات.

إنشاء اسم مستعار من شهادة (truststore فقط)

لإنشاء اسم مستعار من شهادة:

  1. انتقِل إلى صفحة "ملفات تخزين مفاتيح بروتوكول أمان طبقة النقل" (TLS).
  2. ضع مؤشر الماوس فوق ملف تخزين المفاتيح لعرض قائمة الإجراءات، ثم انقر على +.
  3. حدِّد الاسم المستعار.
  4. ضمن تفاصيل الشهادة، اختر الشهادة فقط في القائمة المنسدلة "النوع".
  5. انقر على Choose File (اختيار ملف) بجانب Certificate File (ملف الشهادة)، وانتقِل إلى ملف PEM الذي يحتوي على الشهادة، وانقر على Open (فتح).
  6. تتحقّق واجهة برمجة التطبيقات تلقائيًا من عدم انتهاء صلاحية الشهادة. يمكنك اختيار السماح بالشهادة المنتهية الصلاحية لتخطّي عملية التحقق من الصحة.
  7. اختَر حفظ لتحميل الشهادة وإنشاء العنوان البديل.

إنشاء اسم مستعار من ملف JAR (ملف تخزين المفاتيح فقط)

لإنشاء اسم مستعار من ملف JAR:

  1. انتقِل إلى صفحة "ملفات تخزين مفاتيح بروتوكول أمان طبقة النقل" (TLS).
  2. ضع مؤشر الماوس فوق ملف تخزين المفاتيح لعرض قائمة الإجراءات، ثم انقر على +.
  3. حدِّد الاسم المستعار.
  4. ضمن تفاصيل الشهادة، اختَر ملف JAR في القائمة المنسدلة "النوع".
  5. انقر على اختيار ملف بجانب ملف JAR، وانتقِل إلى ملف JAR الذي يحتوي على الشهادة والمفتاح، ثم انقر على فتح.
  6. إذا كان المفتاح يتضمّن كلمة مرور، حدِّد كلمة المرور. وإذا لم يكن المفتاح يحتوي على كلمة مرور، اترك هذا الحقل فارغًا.
  7. تتحقّق واجهة برمجة التطبيقات تلقائيًا من عدم انتهاء صلاحية الشهادة. يمكنك اختيار السماح بالشهادة المنتهية الصلاحية لتخطّي عملية التحقق من الصحة.
  8. اختَر حفظ لتحميل المفتاح والشهادة وإنشاء العنوان البديل.

إنشاء اسم مستعار من شهادة ومفتاح (ملف تخزين مفاتيح فقط)

لإنشاء اسم مستعار من شهادة ومفتاح:

  1. انتقِل إلى صفحة "ملفات تخزين مفاتيح بروتوكول أمان طبقة النقل" (TLS).
  2. ضع مؤشر الماوس فوق ملف تخزين المفاتيح لعرض قائمة الإجراءات، ثم انقر على +.
  3. حدِّد الاسم المستعار.
  4. ضمن تفاصيل الشهادة، اختر الشهادة والمفتاح في القائمة المنسدلة "النوع".
  5. انقر على Choose File (اختيار ملف) بجانب Certificate File (ملف الشهادة)، وانتقِل إلى ملف PEM الذي يحتوي على الشهادة، وانقر على Open (فتح).
  6. إذا كان المفتاح يتضمّن كلمة مرور، يجب تحديد كلمة مرور المفتاح. وإذا لم يكن للمفتاح كلمة مرور، اترك هذا الحقل فارغًا.
  7. انقر على اختيار ملف بجانب ملف المفتاح، وانتقِل إلى ملف PEM الذي يحتوي على المفتاح، وانقر على فتح.
  8. تتحقّق واجهة برمجة التطبيقات تلقائيًا من عدم انتهاء صلاحية الشهادة. يمكنك اختيار السماح بالشهادة المنتهية الصلاحية لتخطّي عملية التحقق من الصحة.
  9. اختَر حفظ لتحميل المفتاح والشهادة وإنشاء العنوان البديل.

إنشاء اسم مستعار من ملف PKCS12/PFX (مخزن مفاتيح فقط)

لإنشاء اسم مستعار من ملف PKCS12 يحتوي على الشهادة والمفتاح:

  1. انتقِل إلى صفحة "ملفات تخزين مفاتيح بروتوكول أمان طبقة النقل" (TLS).
  2. ضع مؤشر الماوس فوق ملف تخزين المفاتيح لعرض قائمة الإجراءات، ثم انقر على +.
  3. حدِّد الاسم المستعار.
  4. ضمن "تفاصيل الشهادة"، اختَر PKCS12/PFX في القائمة المنسدلة "النوع".
  5. انقر على اختيار ملف بجانب PKCS12/PFX، وانتقِل إلى الملف الذي يحتوي على المفتاح والشهادة، ثم انقر على فتح.
  6. إذا كان المفتاح يحتوي على كلمة مرور، يجب تحديد كلمة المرور لملف PKCS12/PFX. إذا كان المفتاح لا يحتوي على كلمة مرور، اترك هذا الحقل فارغًا.
  7. تتحقّق واجهة برمجة التطبيقات تلقائيًا من عدم انتهاء صلاحية الشهادة. يمكنك اختيار السماح بالشهادة المنتهية الصلاحية لتخطّي عملية التحقق من الصحة.
  8. اختَر حفظ لتحميل الملف وإنشاء العنوان البديل للبريد الإلكتروني.

إنشاء اسم مستعار من شهادة موقَّعة ذاتيًا (ملف تخزين المفاتيح فقط)

لإنشاء اسم مستعار يستخدم شهادة موقَّعة ذاتيًا، عليك ملء نموذج بالمعلومات الضرورية المطلوبة لإنشاء الشهادة. ينشئ Edge بعد ذلك الشهادة وزوج مفاتيح خاصّ ويحمّلهما إلى العنوان البديل للبريد الإلكتروني.

لإنشاء اسم مستعار من شهادة موقعة ذاتيًا:

  1. انتقِل إلى صفحة "ملفات تخزين مفاتيح بروتوكول أمان طبقة النقل" (TLS).
  2. ضع مؤشر الماوس فوق ملف تخزين المفاتيح لعرض قائمة الإجراءات، ثم انقر على +.
  3. حدِّد الاسم المستعار.
  4. ضمن تفاصيل الشهادة، اختَر الشهادة الموقَّعة ذاتيًا في القائمة المنسدلة "النوع".
  5. املأ النموذج باستخدام الجدول أدناه.
  6. اختَر حفظ لإنشاء زوج المفتاح والشهادة الخاصَّين وتحميلهما إلى العنوان البديل للبريد الإلكتروني.

في الشهادة التي تم إنشاؤها، سترى الحقول الإضافية التالية:

  • جهة الإصدار
    الكيان الذي وقّع الشهادة وأصدرها. بالنسبة إلى الشهادة الموقَّعة ذاتيًا، يمثّل هذا الحقل CN الذي حدّدته عند إنشاء الشهادة.
  • صلاحية الشهادة
    يتم تمثيل فترة صلاحية الشهادة في تاريخين: تاريخ بدء فترة صلاحية الشهادة والتاريخ الذي تنتهي فيه فترة صلاحية الشهادة. ويمكن ترميزهما كقيمة UTCTime أو GeneralizedTime.

ويوضّح الجدول التالي حقول النموذج:

حقل النموذج الوصف تلقائي مطلوبة
الاسم المستعار الاسم المستعار. الحد الأقصى للطول هو 128 حرفًا. لا ينطبق نعم
حجم المفتاح حجم المفتاح، بوحدات البت. القيمة التلقائية والحد الأقصى هي 2048 بت. 2048 لا
خوارزمية التوقيع خوارزمية التوقيع لإنشاء مفتاح خاص القيم الصالحة هي "SHA512withRSA" و"SHA384withRSA" و "SHA256withRSA" (تلقائية). خوارزمية SHA256withRSA لا
صلاحية الشهادة بالأيام مدة صلاحية الشهادة بالأيام. يقبل قيمة موجبة غير صفرية. 365 لا
الاسم الشائع يحدِّد الاسم الشائع (CN) للمؤسسة أسماء النطاقات المؤهّلة بالكامل والمرتبطة بالشهادة. تتألف هذه المعلومات عادةً من مضيف واسم مجال. على سبيل المثال، api.enterprise.apigee.com، www.apigee.com، وما إلى ذلك. الحد الأقصى للطول هو 64 حرفًا.

واستنادًا إلى نوع الشهادة، يمكن أن يكون الاسم الشائع (CN) هو اسم مضيف واحد أو أكثر ينتمي إلى النطاق نفسه (مثل example.com وwww.example.com) أو اسم حرف بدل (مثل *.example.com) أو قائمة من النطاقات. تجنَّب تضمين أي بروتوكول (http:// أو https://) أو رقم منفذ أو مسار موارد.

لا تكون الشهادة صالحة إلا إذا كان اسم مضيف الطلب يطابق اسمًا واحدًا على الأقل من الأسماء الشائعة للشهادة.

 لا ينطبق نعم
البريد الإلكتروني عنوان البريد الإلكتروني: الحد الأقصى للطول هو 255 حرفًا. لا ينطبق لا
اسم الوحدة التنظيمية اسم فريق المؤسسة الحد الأقصى للطول هو 64 حرفًا. لا ينطبق لا
اسم المؤسسة اسم المؤسسة الحد الأقصى للطول هو 64 حرفًا. لا ينطبق لا
منطقة محلية اسم المدينة/البلدة. الحد الأقصى للطول هو 128 حرفًا. لا ينطبق لا
الولاية/المقاطعة اسم الولاية/المقاطعة الحد الأقصى للطول هو 128 حرفًا. لا ينطبق لا
البلد رمز البلد المكوّن من حرفين. مثال: الهند بالنسبة إلى الهند، والولايات المتحدة للولايات المتحدة. لا ينطبق لا
الأسماء البديلة قائمة بأسماء المضيفين البديلة. تسمح هذه السياسة بربط هويات إضافية بموضوع الشهادة. تتضمن الخيارات المحددة عنوان بريد إلكتروني على الإنترنت واسم نظام أسماء النطاقات وعنوان IP ومعرّف موارد منتظم (URI).

255 حرفًا كحد أقصى لكل قيمة. يمكنك فصل الأسماء باستخدام فاصلة أو بالضغط على مفتاح Enter بعد كل اسم.

 لا ينطبق لا

اختبار ملف تخزين المفاتيح أو ملف تخزين الثقة

يمكنك اختبار ملف تخزين الثقة وملف تخزين المفاتيح في واجهة مستخدم Edge للتأكد من ضبطهما بشكل صحيح. تتحقّق أداة Test Ui من طلب بروتوكول أمان طبقة النقل (TLS) من Edge إلى إحدى الخدمات الخلفية. يمكن ضبط خدمة الخلفية لإتاحة استخدام بروتوكول أمان طبقة النقل (TLS) الأحادي أو ثنائي الاتجاه.

لاختبار بروتوكول أمان طبقة النقل (TLS) الأحادي الاتجاه:

  1. انتقِل إلى صفحة "ملفات تخزين مفاتيح بروتوكول أمان طبقة النقل" (TLS).
  2. اختَر البيئة (عادةً prod أو test).
  3. ضع مؤشر الماوس فوق ملف تخزين مفاتيح بروتوكول أمان طبقة النقل (TLS) الذي تريد اختباره حتى يتم عرض قائمة الإجراءات، ثم انقر على اختبار. سيظهر مربّع الحوار التالي الذي يعرض اسم Truststore:
  4. أدخِل اسم المضيف لخدمة الخلفية.
  5. أدخِل رقم منفذ TLS (عادةً 443).
  6. اختياريًا، حدِّد أي بروتوكولات أو رموز.
  7. اختَر اختبار.

لاختبار بروتوكول أمان طبقة النقل (TLS) الثنائي الاتجاه:

  1. لاختيار متجر الثقة المطلوب، انقر على الزر اختبار.
  2. في مربع الحوار، اختَر اتجاهان لـ نوع اختبار طبقة المقابس الآمنة. يظهر مربع الحوار التالي:
  3. حدِّد اسم ملف تخزين المفاتيح المستخدَم في بروتوكول أمان طبقة النقل (TLS) الثنائي الاتجاه.
  4. حدد اسم الاسم المستعار في ملف تخزين المفاتيح الذي يحتوي على الشهادة والمفتاح.
  5. أدخِل اسم المضيف لخدمة الخلفية.
  6. أدخِل رقم منفذ TLS (عادةً 443).
  7. اختياريًا، حدِّد أي بروتوكولات أو رموز.
  8. اختَر اختبار.

إضافة شهادة إلى Truststore لاستخدام بروتوكول أمان طبقة النقل (TLS) الثنائي

عند استخدام بروتوكول أمان طبقة النقل (TLS) ثنائي الاتجاه للاتصالات الواردة، أي طلب من واجهة برمجة التطبيقات إلى Edge، يحتوي Truststore على سلسلة شهادة أو سلسلة مرجع تصديق لكل عميل مسموح له بإرسال طلبات إلى Edge.

عند ضبط متجر Truststore لأول مرة، يمكنك إضافة جميع الشهادات للعملاء المعروفين. ومع ذلك، قد تحتاج بمرور الوقت إلى إضافة شهادات أخرى إلى Truststore أثناء إضافة عملاء جُدد.

لإضافة شهادات جديدة إلى Truststore يستخدم بروتوكول أمان طبقة النقل (TLS) الثنائي، اتّبِع الخطوات التالية:

  1. تأكّد من استخدام مرجع إلى Truststore في المضيف الظاهري.
  2. حمِّل شهادة جديدة إلى Truststore كما هو موضّح أعلاه في إنشاء اسم مستعار من شهادة (Truststore فقط).

  3. عدِّل مرجع Truststore لضبطه على القيمة نفسه. يؤدي هذا التحديث إلى إعادة تحميل Edge إلى Truststore والشهادة الجديدة.

    لمزيد من المعلومات، يُرجى مراجعة القسم تعديل مرجع.

حذف ملف تخزين مفاتيح أو ملف تخزين موثوق به أو اسم مستعار

يجب توخي الحذر عند حذف ملف تخزين مفاتيح/متجر موثوق به أو اسم مستعار. إذا حذفت ملف تخزين مفاتيح أو ملف تخزين موثوق به أو عنوان بديل للبريد الإلكتروني يستخدمه مضيف افتراضي أو نقطة نهاية هدف أو خادم هدف، سيتعذّر تنفيذ جميع طلبات البيانات من واجهة برمجة التطبيقات من خلال المضيف الافتراضي أو خادم نقطة النهاية/الهدف.

عادةً ما تكون العملية التي تستخدمها لحذف ملف تخزين مفاتيح/متجر موثوق به أو اسم مستعار:

  1. أنشئ ملف تخزين مفاتيح أو ملف تخزين موثوق به أو اسمًا مستعارًا جديدًا كما هو موضح أعلاه.
  2. بالنسبة إلى الاتصالات الواردة، أي طلب من واجهة برمجة تطبيقات في Edge، يجب تعديل إعدادات المضيف الافتراضي للإشارة إلى ملف تخزين المفاتيح الجديد والاسم المستعار للمفتاح.
  3. بالنسبة إلى الاتصالات الصادرة، أي من Apigee إلى خادم خلفية:
    1. عدِّل إعدادات TargetEndpoint لأي خوادم وكيلة لواجهة برمجة التطبيقات أشارت إلى ملف تخزين المفاتيح القديم والعنوان البديل للمفتاح للإشارة إلى ملف تخزين المفاتيح الجديد والاسم المستعار للمفتاح. إذا كانت قيمة TargetEndpoint تشير إلى TargetServer، عليك تعديل تعريف TargetServer للإشارة إلى ملف تخزين المفاتيح الجديد والاسم المستعار للمفتاح.
    2. إذا تمت الإشارة إلى ملف تخزين المفاتيح وملف Truststore مباشرةً من تعريف TargetEndpoint، عليك إعادة نشر الخادم الوكيل. إذا كانت قيمة TargetEndpoint تشير إلى تعريف TargetServer، وكان تعريف TargetServer يشير إلى ملف تخزين المفاتيح ومخزن الثقة، ليس من الضروري إعادة نشر الخادم الوكيل.
  4. تأكد من أن الخوادم الوكيلة لواجهة برمجة التطبيقات تعمل بشكل صحيح.
  5. احذف ملف تخزين المفاتيح/متجر الثقة أو العنوان البديل للبريد الإلكتروني.

حذف ملف تخزين

يمكنك حذف ملف تخزين مفاتيح أو ملف تخزين موثوق به من خلال وضع مؤشر الماوس فوق ملف تخزين المفاتيح أو الثقة في القائمة لعرض قائمة الإجراءات والنقر على . إذا حذفت ملف تخزين مفاتيح أو ملف تخزين موثوق به يستخدمه مضيف افتراضي أو خادم نقطة نهاية/هدف مستهدف، سيتعذّر تنفيذ جميع طلبات البيانات من واجهة برمجة التطبيقات من خلال المضيف الظاهري أو خادم نقطة النهاية/الهدف.

تنبيه: يجب عدم حذف ملف تخزين إلى أن تحوّل المضيفات الافتراضية ونقاط النهاية/الخوادم المستهدفة إلى استخدام ملف تخزين جديد.

حذف العنوان البديل للبريد الإلكتروني

يمكنك حذف اسم مستعار من خلال وضع المؤشر فوق الاسم المستعار في القائمة لعرض قائمة الإجراءات والنقر على . إذا حذفت اسمًا مستعارًا يستخدمه مضيف افتراضي أو خادم نقطة نهاية/هدف مستهدف، سيتعذّر تنفيذ جميع طلبات البيانات من واجهة برمجة التطبيقات من خلال المضيف الافتراضي أو خادم نقطة النهاية/الهدف المستهدف.

تنبيه: يجب عدم حذف أي اسم مستعار حتى يتم تحويل المضيفات الافتراضية والخوادم المستهدفة/النقاط النهائية لاستخدام ملف تخزين مفاتيح واسم مستعار جديد.