إنشاء متاجر تخزين مفاتيح ومتجر ثقة باستخدام واجهة مستخدم Edge

يتم الآن عرض مستندات Apigee Edge.
يمكنك الاطّلاع على وثائق Apigee X.

يوضّح هذا المستند كيفية إنشاء مساحات تخزين مفاتيح التشفير ومَخَازِن الثقة المُحدّدة وتعديلها وحذفها في Google Cloud وEdge للإصدار 4.18.01 من Cloud والإصدارات الأحدث.

لمحة عن مخزن المفاتيح/متاجر الثقة والمضيفين الافتراضيين لخدمة Edge Cloud

تتطلب عملية إنشاء ملفات تخزين المفاتيح/متاجر تخزين المعلومات في Edge Cloud اتّباع جميع القواعد المتعلقة باستخدام المضيفين الافتراضيين. على سبيل المثال، مع المضيفين الافتراضيين في السحابة الإلكترونية:

  • على المضيفين الافتراضيين استخدام بروتوكول أمان طبقة النقل (TLS).
  • يمكن للمضيفين الافتراضيين استخدام المنفذ 443 فقط.
  • عليك استخدام شهادة بروتوكول أمان طبقة النقل (TLS) موقَّعة. لا يُسمح باستخدام الشهادات غير الموقَّعة مع المضيفين الافتراضيين في السحابة الإلكترونية.
  • يجب أن يتطابق اسم النطاق الذي حدَّدته شهادة بروتوكول أمان طبقة النقل (TLS) مع اسم النطاق المستعار للمضيف الافتراضي.

مزيد من المعلومات:

تنفيذ متاجر مفاتيح المفاتيح ومتاجر الثقة في Edge

لضبط الوظائف التي تعتمد على بنية أساسية للمفتاح العام، مثل بروتوكول أمان طبقة النقل (TLS)، عليك إنشاء ملفات تخزين مفاتيح ومتاجر تخزين تحتوي على المفاتيح اللازمة والشهادات الرقمية.

في Edge، يتم تخزين متاجر المفاتيح ومخازن الثقة بواسطة كيان keystore الذي يحتوي على واحد أو أكثر من العناوين البديلة. يعني ذلك أنّه ما مِن فَرق في التنفيذ بين ملف تخزين المفاتيح ومتجر تخزين موثوق به على Edge.

إنّ الفرق بين ملفات تخزين المفاتيح ومتجر تخزين المفاتيح يستند إلى أنواع الإدخالات التي تحتوي عليها هذه المفاتيح وطريقة استخدامها في تأكيد أمان بروتوكول أمان طبقة النقل (TLS):

  • ملف تخزين المفاتيح - كيان keystore يحتوي على واحد أو أكثر من العناوين البديلة، حيث يحتوي كل عنوان بديل على زوج شهادة/مفتاح.
  • Truststore - كيان keystore يحتوي على عنوان بديل واحد أو أكثر، حيث يحتوي كل عنوان بديل على شهادة فقط.

عند ضبط بروتوكول أمان طبقة النقل (TLS) لمضيف افتراضي أو نقطة نهاية مستهدَفة، توفّر متاجر المفاتيح ومخازن المفاتيح أدوارًا مختلفة في عملية تأكيد اتصال بروتوكول أمان طبقة النقل (TLS). عند ضبط مضيف افتراضي أو نقطة نهاية مستهدفة، تحدّد ملفات تخزين المفاتيح ومتاجر الثقة بشكل منفصل في علامة <SSLInfo>، كما هو موضّح أدناه للمضيف الافتراضي:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>false</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
    </SSLInfo>
</VirtualHost>

في هذا المثال، يمكنك تحديد اسم ملف تخزين المفاتيح والعنوان البديل الذي يستخدمه المضيف الافتراضي لتخزين مفاتيح التشفير باستخدام بروتوكول أمان طبقة النقل (TLS). يمكنك استخدام مرجع لتحديد اسم ملف تخزين المفاتيح حتى تتمكّن من تغييره لاحقًا عند انتهاء صلاحية الشهادة. يحتوي العنوان البديل على زوج شهادة/مفتاح يُستخدَم لتحديد المضيف الافتراضي إلى عميل بروتوكول أمان طبقة النقل (TLS) الذي يصل إلى المضيف الافتراضي. في هذا المثال، ليس هناك متجر ثقة مطلوب.

إذا كان المتجر المطلوب مطلوبًا، على سبيل المثال لضبط إعدادات بروتوكول أمان طبقة النقل (TLS) الثنائية، استخدِم علامة <TrustStore> لتحديد المتجر الموثوق به:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>true</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
        <TrustStore>ref://truststoreref</TrustStore>
    </SSLInfo>
</VirtualHost>

في هذا المثال، تشير العلامة <TrustStore> إلى ملف تخزين مفاتيح فقط، ولا تحدّد عنوانًا بديلاً محددًا. يحتوي كل اسم مستعار في ملف تخزين المفاتيح على شهادة أو سلسلة شهادات يتم استخدامها كجزء من عملية تأكيد اتصال بروتوكول أمان طبقة النقل (TLS).

تنسيقات الشهادات المتوافقة

التنسيق إمكانية تحميل واجهة برمجة التطبيقات وواجهة المستخدم متوافق مع الشمال تمّ التحقق من الملف
PEM متوافق متوافق متوافق
* PKCS12 متوافق متوافق نعم
ملاحظة: ترسل Apigee داخليًا
PKCS12 إلى PEM.
* دير لا لا متوافق
* PKCS7 لا لا لا

* ننصح باستخدام وضع PEM إن أمكن.

لمحة عن تنفيذ العنوان البديل للبريد الإلكتروني

على Edge، يحتوي متجر المفاتيح على عنوان بديل للبريد الإلكتروني واحد أو أكثر، حيث يحتوي كل عنوان بديل على:

  • شهادة بروتوكول أمان طبقة النقل (TLS) كملف PEM أو PKCS12/PFX - إما شهادة موقَّعة من مرجع تصديق (CA) أو ملف يحتوي على سلسلة من الشهادات حيث تم توقيع آخر شهادة من مرجع تصديق أو شهادة موقَّعة ذاتيًا.
  • مفتاح خاص كملف PEM أو PKCS12/PFX يتوافق Edge مع أحجام المفاتيح بحد أقصى 2048 بت. وتكون عبارة المرور اختيارية.

على Edge، يحتوي truststore على عنوان بديل للبريد الإلكتروني واحد أو أكثر، حيث يحتوي كل اسم مستعار على:

  • شهادة بروتوكول أمان طبقة النقل (TLS) كملف PEM - إما شهادة موقَّعة من مرجع تصديق (CA)، أو سلسلة من الشهادات حيث تم توقيع الشهادة الأخيرة من قِبل مرجع تصديق، أو شهادة موقَّعة ذاتيًا.

توفّر شبكة Edge واجهة مستخدم وواجهة برمجة تطبيقات تستخدمها لإنشاء ملفات تخزين مفاتيح وإنشاء عناوين بديلة للبريد الإلكتروني وتحميل أزواج الشهادات/المفاتيح وتعديل الشهادات. إنّ واجهة المستخدم وواجهة برمجة التطبيقات التي تستخدمها لإنشاء متجر تخزين مماثلة تمامًا كما تستخدمه لإنشاء ملف تخزين مفاتيح. الاختلاف هو أنّه عند إنشاء متجر ثقة، يمكنك إنشاء أسماء مستعارة تتضمّن شهادة فقط.

لمحة عن تنسيق الشهادة وملفات المفتاح

يمكنك تمثيل الشهادات والمفاتيح كملفات PEM أو كملفات PKCS12/PFX. تتوافق ملفات PEM مع تنسيق X.509. في حال لم يتم تحديد ملف الشهادة أو المفتاح الخاص من خلال ملف PEM، يمكنك تحويله إلى ملف PEM باستخدام برامج خدمات مثل openssl.

ومع ذلك، يتوفّر العديد من ملفات crt .وملفات .key بتنسيق PEM حاليًا. إذا كانت هذه الملفات ملفات نصية، وتم تضمينها في:

-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----

أو:

-----BEGIN ENCRYPTED PRIVATE KEY-----
-----END ENCRYPTED PRIVATE KEY-----

تتوافق بعد ذلك الملفات مع تنسيق PEM ويمكنك استخدامها في ملف تخزين مفاتيح أو ملف تخزين غير موثوق به بدون تحويلها إلى ملف PEM.

لمحة عن سلاسل الشهادات

إذا كانت الشهادة جزءًا من سلسلة، يمكنك التعامل معها بشكل مختلف استنادًا إلى ما إذا كانت الشهادة مستخدمة في ملف تخزين مفاتيح أو في متجر موثوق به:

  • مخزون المفاتيح: إذا كانت الشهادة جزءًا من سلسلة، عليك إنشاء ملف واحد يحتوي على جميع الشهادات في السلسلة. يجب أن تكون الشهادات صالحة وأن تكون الشهادة الأخيرة عبارة عن شهادة جذر أو شهادة متوسطة موقَّعة من شهادة جذر.
  • Truststore - إذا كانت الشهادة جزءًا من سلسلة، يجب إما إنشاء ملف واحد يحتوي على جميع الشهادات وتحميل هذا الملف إلى عنوان بديل، أو تحميل كل الشهادات في السلسلة بشكل منفصل إلى المتجر الموثوق به باستخدام اسم مستعار مختلف لكل شهادة. إذا حمّلتها كشهادة واحدة، يجب أن تكون الشهادات المطلوبة وأن تكون الشهادة الأخيرة شهادة جذر أو شهادة متوسطة موقَّعة من خلال شهادة جذر.
  • إذا أنشأت ملفًا واحدًا يحتوي على شهادات متعددة، عليك إدراج سطر فارغ بين كل شهادة.

على سبيل المثال، يمكنك دمج جميع الشهادات في ملف PEM واحد. يجب أن تكون الشهادات بترتيب والشهادة الأخيرة يجب أن تكون شهادة جذر أو شهادة متوسطة موقَّعة من خلال شهادة جذر:

-----BEGIN CERTIFICATE----- 
(Your Primary TLS certificate) 
-----END CERTIFICATE----- 

-----BEGIN CERTIFICATE----- 
(Intermediate certificate) 
-----END CERTIFICATE-----
 
-----BEGIN CERTIFICATE----- 
(Root certificate or intermediate certificate signed by a root certificate) 
-----END CERTIFICATE-----

في حال تمثيل شهاداتك كملفات PKCS12/PFX، يمكنك استخدام الأمر openssl لإنشاء ملف PKCS12/PFX من سلسلة الشهادات، كما هو موضَّح أدناه:

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

عند العمل مع سلاسل الشهادات في متجر ثقة، لن تحتاج دائمًا إلى تحميل جميع الشهادات في السلسلة. على سبيل المثال، يمكنك تحميل شهادة عميل وclient_cert_1 وشهادة جهة إصدار شهادة العميل ca_cert.

أثناء مصادقة بروتوكول أمان طبقة النقل (TLS) الثنائية، نجاح مصادقة العميل عندما يرسل الخادم client_cert_1 إلى العميل كجزء من عملية تأكيد اتصال بروتوكول أمان طبقة النقل (TLS).

بدلاً من ذلك، لديك شهادة ثانية باسم client_cert_2 وقّعت عليها الشهادة نفسها، ca_cert. ومع ذلك، لا يتم تحميل client_cert_2 إلى المتجر الموثوق به. لا يزال Storestore يتضمّن client_cert_1 وca_cert فقط.

عندما يمرّر الخادم client_cert_2 كجزء من تأكيد الاتصال عبر بروتوكول أمان طبقة النقل (TLS)، يصبح الطلب ناجحًا. ويرجع ذلك إلى أنّ Edge تسمح بعملية التحقق من بروتوكول أمان طبقة النقل (TLS) بنجاح في حال عدم توفّر client_cert_2 في المتجر الموثوق به، ولكن تم توقيعها من خلال شهادة حالية في المتجر. في حال إزالة شهادة CA، ca_cert، من المتجر، لن تنجح عملية إثبات الملكية باستخدام بروتوكول أمان طبقة النقل (TLS).

استكشاف صفحة "تخزين مفاتيح بروتوكول أمان طبقة النقل" (TLS)

يمكنك الوصول إلى صفحة "تخزين مفاتيح بروتوكول أمان طبقة النقل" (TLS)، كما هو موضح أدناه.

Edge

للوصول إلى صفحة ملفات تخزين مفاتيح TLS باستخدام واجهة مستخدم Edge:

  1. سجِّل الدخول إلى https://apigee.com/edge بصفتك مشرف مؤسسة.
  2. اختَر مؤسستك.
  3. اختَر المشرف > البيئة > تخزين مفاتيح بروتوكول أمان طبقة النقل (TLS).

الإصدار الكلاسيكي من Edge (السحابة الخاصة)

للوصول إلى صفحة ملفات تخزين مفاتيح TLS باستخدام واجهة مستخدم Classic Edge:

  1. سجِّل الدخول إلى http://ms-ip:9000 بصفتك مشرف مؤسسة، حيث يكون ms-ip هو عنوان IP أو اسم نظام أسماء النطاقات للعقدة Server Management.
  2. اختَر مؤسستك.
  3. اختَر المشرف > ضبط البيئة > تخزين مفاتيح بروتوكول أمان طبقة النقل (TLS).

يتم عرض صفحة تخزين مفاتيح بروتوكول أمان طبقة النقل:

كما هو موضح في الشكل السابق، تتيح لك صفحة ملفات تخزين مفاتيح TLS ما يلي:

عرض عنوان بديل

لعرض عنوان بديل:

  1. الوصول إلى صفحة "مخزون مفاتيح أمان بروتوكول أمان طبقة النقل"
  2. اختَر البيئة (عادةً prod أو test).
  3. انقر على الصف المرتبط بالاسم المستعار الذي تريد عرضه.

    يتم عرض تفاصيل شهادة المفتاح والمفتاح البديل للبريد الإلكتروني.

    يمكنك الاطّلاع على جميع المعلومات حول العنوان البديل للبريد الإلكتروني، بما في ذلك تاريخ انتهاء الصلاحية.

  4. يمكنك إدارة الشهادة باستخدام الأزرار في أعلى الصفحة من أجل:
    • نزِّل الشهادة كملف PEM.
    • إنشاء طلب CSR إذا كانت لديك شهادة منتهية الصلاحية وتريد تجديدها، يمكنك تنزيل طلب توقيع شهادة (CSR). بعد ذلك، ترسل طلب CSR إلى مرجع التصديق للحصول على شهادة جديدة.
    • يجب تعديل شهادة. تنبيه: إذا حدَّثت شهادة يتم استخدامها حاليًا من خلال مضيف افتراضي أو نقطة نهاية/خادم مستهدف، يجب التواصل مع فريق دعم Apigee Edge لإعادة تشغيل أجهزة التوجيه والمعالجات. إنّ الطريقة المقترَحة لتعديل الشهادة هي:
      1. أنشِئ ملف تخزين مفاتيح جديدًا أو متجرًا موثوقًا به جديدًا.
      2. أضِف الشهادة الجديدة إلى ملف تخزين المفاتيح الجديد أو ملف تخزين المفاتيح الجديد.
      3. يجب تعديل المرجع في المضيف الافتراضي أو نقطة النهاية المستهدفة للخادم/الهدف إلى ملف تخزين المفاتيح أو ملف ائتمان مخزن. راجِع تعديل شهادة بروتوكول أمان طبقة النقل (TLS) لخدمة السحابة الإلكترونية لمزيد من المعلومات.
      4. احذف العنوان البديل للبريد الإلكتروني. ملاحظة: إذا حذفت عنوانًا بديلاً للبريد الإلكتروني وكان يتم استخدامه حاليًا بواسطة مضيف افتراضي أو نقطة نهاية مستهدفة، سيتعذّر تنفيذ المضيف الافتراضي أو نقطة النهاية المستهدفة.

إنشاء ملف تخزين مفاتيح/حساب ثقة وعنوان بديل

يمكنك إنشاء ملف تخزين مفاتيح لاستخدامه كملف تخزين بروتوكول أمان طبقة النقل (TLS) أو مخزن مفاتيح بروتوكول أمان طبقة النقل (TLS). إنّ ملف تخزين المفاتيح مخصَّص لبيئة العمل في مؤسستك، على سبيل المثال، بيئة الاختبار أو بيئة الإنتاج. لذلك، إذا كنت تريد اختبار ملف تخزين المفاتيح في بيئة اختبار قبل نشره في بيئة الإنتاج، عليك إنشاؤه في كلتا البيئتين.

لإنشاء ملف تخزين مفاتيح في بيئة، ما عليك سوى تحديد اسم ملف تخزين المفاتيح. بعد إنشاء ملف تخزين مفاتيح مُسمّى في بيئة ما، يمكنك بعد ذلك إنشاء عناوين بديلة للبريد الإلكتروني وتحميل زوج شهادة/مفتاح (مخزّن مفاتيح التشفير) أو تحميل شهادة فقط (متجر موثوق به) إلى العنوان البديل للبريد الإلكتروني.

لإنشاء ملف تخزين مفاتيح:

  1. الوصول إلى صفحة "مخزون مفاتيح أمان بروتوكول أمان طبقة النقل"
  2. اختَر البيئة (عادةً prod أو test).
  3. انقر على + مفتاح تخزين المفاتيح.
  4. تحديد اسم ملف تخزين المفاتيح يمكن أن يحتوي الاسم على أحرف أبجدية رقمية فقط.
  5. انقر على إضافة مفتاح تخزين المفاتيح. يظهر ملف تخزين المفاتيح الجديد في القائمة.
  6. اتّبِع أحد الإجراءات التالية لإضافة عنوان بديل. راجِع أيضًا تنسيقات ملفات الشهادات المتوافقة.

إنشاء عنوان بديل للبريد الإلكتروني من شهادة (truststore فقط)

لإنشاء عنوان بديل للبريد الإلكتروني من إحدى الشهادات:

  1. الوصول إلى صفحة "مخزون مفاتيح أمان بروتوكول أمان طبقة النقل"
  2. ضَع مؤشر الماوس فوق ملف تخزين المفاتيح لعرض قائمة الإجراءات وانقر على +.
  3. حدِّد الاسم المستعار.
  4. ضمن تفاصيل الشهادة، اختَر الشهادة فقط في القائمة المنسدلة "النوع".
  5. انقر على اختيار ملف بجانب ملف الشهادة، وانتقِل إلى ملف PEM الذي يحتوي على الشهادة، وانقر على فتح.
  6. يتم تلقائيًا التحقّق من واجهة برمجة التطبيقات للتأكّد من عدم انتهاء صلاحية الشهادة. يمكنك اختيار السماح بالشهادة المنتهية الصلاحية لتخطّي عملية التحقّق.
  7. اختَر حفظ لتحميل الشهادة وإنشاء العنوان البديل للبريد الإلكتروني.

إنشاء عنوان بديل من ملف JAR (متجر مفاتيح فقط)

لإنشاء عنوان بديل من ملف JAR:

  1. الوصول إلى صفحة "مخزون مفاتيح أمان بروتوكول أمان طبقة النقل"
  2. ضَع مؤشر الماوس فوق ملف تخزين المفاتيح لعرض قائمة الإجراءات وانقر على +.
  3. حدِّد الاسم المستعار.
  4. ضمن تفاصيل الشهادة، اختَر ملف JAR في القائمة المنسدلة "النوع".
  5. انقر على Choose File (اختيار ملف) بجانب JAR File (ملف JAR)، وانتقِل إلى ملف JAR الذي يحتوي على الشهادة والمفتاح، وانقر على Open (فتح).
  6. إذا كان المفتاح يحتوي على كلمة مرور، حدِّد Password (كلمة المرور). وإذا كان المفتاح لا يتضمّن كلمة مرور، اترك هذا الحقل فارغًا.
  7. يتم تلقائيًا التحقّق من واجهة برمجة التطبيقات للتأكّد من عدم انتهاء صلاحية الشهادة. يمكنك اختيار السماح بالشهادة المنتهية الصلاحية لتخطّي عملية التحقّق.
  8. اختَر حفظ لتحميل المفتاح والشهادة وإنشاء عنوان بديل للبريد الإلكتروني.

إنشاء عنوان بديل للبريد الإلكتروني من شهادة ومفتاح (متجر مفاتيح فقط)

لإنشاء عنوان بديل للبريد الإلكتروني من شهادة ومفتاح:

  1. الوصول إلى صفحة "مخزون مفاتيح أمان بروتوكول أمان طبقة النقل"
  2. ضَع مؤشر الماوس فوق ملف تخزين المفاتيح لعرض قائمة الإجراءات وانقر على +.
  3. حدِّد الاسم المستعار.
  4. ضمن "تفاصيل الشهادة"، اختَر الشهادة والمفتاح في القائمة المنسدلة "النوع".
  5. انقر على Choose File (اختيار ملف) بجانب شهادة ملف، وانتقِل إلى ملف PEM الذي يحتوي على الشهادة، وانقر على فتح.
  6. إذا كان المفتاح يحتوي على كلمة مرور، حدِّد كلمة مرور المفتاح، وإذا لم يكن المفتاح يتضمّن كلمة مرور، اترك هذا الحقل فارغًا.
  7. انقر على Choose File (اختيار ملف) بجانب Key File (ملف المفتاح)، وانتقِل إلى ملف PEM الذي يحتوي على المفتاح، وانقر على Open (فتح).
  8. يتم تلقائيًا التحقّق من واجهة برمجة التطبيقات للتأكّد من عدم انتهاء صلاحية الشهادة. يمكنك اختيار السماح بالشهادة المنتهية الصلاحية لتخطّي عملية التحقّق.
  9. اختَر حفظ لتحميل المفتاح والشهادة وإنشاء عنوان بديل للبريد الإلكتروني.

إنشاء عنوان بديل من ملف PKCS12/PFX (متجر مفاتيح فقط)

لإنشاء عنوان بديل للبريد الإلكتروني من ملف PKCS12 يحتوي على الشهادة والمفتاح:

  1. الوصول إلى صفحة "مخزون مفاتيح أمان بروتوكول أمان طبقة النقل"
  2. ضَع مؤشر الماوس فوق ملف تخزين المفاتيح لعرض قائمة الإجراءات وانقر على +.
  3. حدِّد الاسم المستعار.
  4. ضمن تفاصيل الشهادة، اختَر PKCS12/PFX في القائمة المنسدلة "النوع".
  5. انقر على Choose File (اختيار ملف) بجانب PKCS12/PFX، وانتقِل إلى الملف الذي يحتوي على المفتاح والشهادة، وانقر على فتح.
  6. إذا كان المفتاح يحتوي على كلمة مرور، حدِّد Password لملف PKCS12/PFX. إذا لم يكن المفتاح يتضمن كلمة مرور، اترك هذا الحقل فارغًا.
  7. يتم تلقائيًا التحقّق من واجهة برمجة التطبيقات للتأكّد من عدم انتهاء صلاحية الشهادة. يمكنك اختيار السماح بالشهادة المنتهية الصلاحية لتخطّي عملية التحقّق.
  8. اختَر حفظ لتحميل الملف وإنشاء العنوان البديل للبريد الإلكتروني.

إنشاء عنوان بديل للبريد الإلكتروني من شهادة موقَّعة ذاتيًا (تخزين المفاتيح فقط)

لإنشاء عنوان بديل يستخدم شهادة موقَّعة ذاتيًا، املأ نموذجًا بالمعلومات اللازمة لإنشاء الشهادة. بعد ذلك، ينشئ Edge الشهادة وزوج مفاتيح خاص ويحمّلهما إلى العنوان البديل للبريد الإلكتروني.

لإنشاء عنوان بديل للبريد الإلكتروني من شهادة موقَّعة ذاتيًا:

  1. الوصول إلى صفحة "مخزون مفاتيح أمان بروتوكول أمان طبقة النقل"
  2. ضَع مؤشر الماوس فوق ملف تخزين المفاتيح لعرض قائمة الإجراءات وانقر على +.
  3. حدِّد الاسم المستعار.
  4. ضمن تفاصيل الشهادة، اختَر شهادة موقّعة ذاتيًا في القائمة المنسدلة "النوع".
  5. املأ النموذج باستخدام الجدول أدناه.
  6. اختَر حفظ لإنشاء الشهادة ومفتاح التشفير الخاص لتحميلهما إلى العنوان البديل للبريد الإلكتروني.

في الشهادة التي تم إنشاؤها، ستظهر لك الحقول الإضافية التالية:

  • جهة الإصدار
    الكيان الذي وقّع الشهادة وأصدرها في ما يتعلق بالشهادة الموقَّعة ذاتيًا، تكون هذه القيمة هي رقم CN الذي حدّدته عند إنشاء الشهادة.
  • صلاحية الشهادة
    تمثّل فترة صلاحية الشهادة تاريخَين: التاريخ الذي تبدأ فيه فترة صلاحية الشهادة وتاريخ انتهاء فترة صلاحية الشهادة. ويمكن ترميز كلاهما كقيم UTCTime أو GeneralizeTime.

يصف الجدول التالي حقول النموذج:

حقل النموذج الوصف تلقائي عنصر مطلوب
الاسم المستعار الاسم المستعار. الحد الأقصى للطول هو 128 حرفًا. لا ينطبق متوافق
حجم المفتاح حجم المفتاح بالبايت. الحد الأقصى التلقائي والحد الأقصى للقيمة هو 2048 بت. 2048 لا
خوارزمية التوقيع خوارزمية التوقيع لإنشاء مفتاح خاص القيم الصالحة هي "SHA512withRSA" و"SHA384withRSA" و "SHA256withRSA" (تلقائية). SHA256withRSA لا
صلاحية الشهادة بالأيام مدة صلاحية الشهادة بالأيام تقبل قيمة موجبة غير صفرية 365 لا
الاسم الشائع يحدد الاسم الشائع (CN) للمؤسسة أسماء النطاقات المؤهلة بالكامل المرتبطة بالشهادة. ويتكون عادةً من مضيف واسم نطاق. على سبيل المثال، api.enterprise.apigee.com وwww.apigee.com وما إلى ذلك، الحد الأقصى للطول هو 64 حرفًا.

استنادًا إلى نوع الشهادة، يمكن أن تكون CN اسم مضيف واحدًا أو أكثر ينتمي إلى النطاق نفسه (مثل example.com أو www.example.com) أو اسم حرف بدل (مثل *.example.com) أو قائمة بالنطاقات. لا تضمِّن أي بروتوكول (http:// أو https://) أو رقم منفذ أو مسار مورد.

لا تكون الشهادة صالحة إلا إذا كان اسم مضيف الطلب يتطابق مع اسم واحد على الأقل من الأسماء الشائعة للشهادة.

 لا ينطبق متوافق
البريد الإلكتروني عنوان البريد الإلكتروني الحد الأقصى للطول هو 255 حرفًا. لا ينطبق لا
اسم الوحدة التنظيمية اسم فريق المؤسسة. الحد الأقصى للطول هو 64 حرفًا. لا ينطبق لا
اسم المؤسسة اسم المؤسسة. الحد الأقصى للطول هو 64 حرفًا. لا ينطبق لا
منطقة محلية اسم المدينة/البلدة. الحد الأقصى للطول هو 128 حرفًا. لا ينطبق لا
الولاية/المقاطعة اسم الولاية/المقاطعة. الحد الأقصى للطول هو 128 حرفًا. لا ينطبق لا
البلد رمز البلد المكوّن من حرفين. مثال، الهند والهند، الولايات المتحدة الأمريكية للولايات المتحدة الأمريكية. لا ينطبق لا
الأسماء البديلة قائمة بأسماء المضيفين البديلة تسمح بفرض الهويات الإضافية على موضوع الشهادة. تشمل الخيارات المحدّدة عنوان البريد الإلكتروني الإلكتروني واسم نظام أسماء النطاقات وعنوان IP ومعرّف الموارد الموحّد (URI).

255 حرفًا كحد أقصى لكل قيمة يمكنك فصل الأسماء بفواصل، أو عن طريق الضغط على مفتاح Enter بعد كل اسم.

 لا ينطبق لا

اختبار ملف تخزين مفاتيح أو متجر ائتمان

يمكنك اختبار مخزن المفاتيح ومتجر تخزين المفاتيح في واجهة مستخدم Edge للتأكّد من ضبطهما بشكل صحيح. يتحقق اختبار Ui من طلب بروتوكول أمان طبقة النقل (TLS) من Edge إلى خدمة خلفية. يمكن ضبط خدمة الخلفية لإتاحة استخدام بروتوكول أمان طبقة النقل (TLS) باتجاه واحد أو باتجاهين.

لاختبار بروتوكول أمان طبقة النقل أحادي الاتجاه:

  1. الوصول إلى صفحة "مخزون مفاتيح أمان بروتوكول أمان طبقة النقل"
  2. اختَر البيئة (عادةً prod أو test).
  3. ضَع مؤشر الماوس فوق ملف تخزين مفاتيح بروتوكول أمان طبقة النقل (TLS) الذي تريد اختباره لعرض قائمة الإجراءات، ثم انقر على اختبار. يظهر مربّع الحوار التالي اسم متجر الثقة:
  4. أدخِل اسم مضيف خدمة الخلفية.
  5. أدخِل رقم منفذ TLS (عادةً 443).
  6. يمكنك تحديد أي بروتوكول أو رمز اختياريًا.
  7. انقر على اختبار.

لاختبار بروتوكول أمان طبقة النقل ثنائي الاتجاه:

  1. انقر على الزر اختبار للانتقال إلى المتجر الموثوق به.
  2. في مربع الحوار، اختَر اتجاهان لنوع اختبار طبقة المقابس الآمنة. يظهر مربّع الحوار التالي:
  3. تحدِّد هذه السياسة اسم ملف تخزين المفاتيح المستخدَم في بروتوكول أمان طبقة النقل (TLS) الثنائي الاتجاه.
  4. حدِّد الاسم المستعار في ملف تخزين المفاتيح الذي يتضمّن الشهادة والمفتاح.
  5. أدخِل اسم مضيف خدمة الخلفية.
  6. أدخِل رقم منفذ TLS (عادةً 443).
  7. يمكنك تحديد أي بروتوكول أو رمز اختياريًا.
  8. انقر على اختبار.

إضافة شهادة إلى متجر موثوق به لبروتوكول أمان طبقة النقل ثنائي الاتجاه

عند استخدام بروتوكول أمان طبقة النقل (TLS) المتبادل للاتصالات الواردة، ويعني ذلك أنّه تم إرسال طلب من واجهة برمجة التطبيقات إلى Edge، يحتوي المتجر موثوق به على سلسلة شهادات أو مرجع تصديق لكل عميل مسموح له بتقديم طلبات إلى Edge.

عند إعداد المتجر الموثوق به في البداية، يمكنك إضافة جميع الشهادات للعملاء المعروفين. ومع ذلك، قد تحتاج بمرور الوقت إلى إضافة شهادات إضافية إلى المتجر الموثوق به عند إضافة عملاء جدد.

لإضافة شهادات جديدة إلى متجر موثوق به يُستخدم لبروتوكول أمان طبقة النقل (TLS) الثنائية:

  1. تأكَّد من أنّك تستخدم إشارة إلى متجر الثقة في المضيف الافتراضي.
  2. حمِّل شهادة جديدة إلى المتجر الموثوق به كما هو موضّح أعلاه في إنشاء عنوان بديل للبريد الإلكتروني من شهادة (truststore فقط).

  3. يجب تعديل مرجع الثقة المُخصَّصة لضبطه على القيمة نفسها. يؤدي هذا التحديث إلى إعادة تحميل Edge من Truststore والشهادة الجديدة.

    يمكنك الاطّلاع على مقالة تعديل مرجع لمعرفة المزيد من المعلومات.

حذف ملف تخزين المفاتيح/متجر الثقة أو العنوان البديل للبريد الإلكتروني

يجب توخي الحذر عند حذف ملف تخزين المفاتيح/متجر الثقة أو الاسم المستعار. في حال حذف ملف تخزين المفاتيح أو ملف تخزين المفاتيح الموثوق به أو العنوان البديل للبريد الإلكتروني الذي يستخدمه المضيف الافتراضي أو نقطة النهاية المستهدفة أو الخادم المستهدَف، سيتعذّر إرسال جميع طلبات البيانات من واجهة برمجة التطبيقات من خلال المضيف الافتراضي أو خادم نقطة النهاية المستهدفة أو الخادم المستهدَف.

عادةً ما تكون العملية التي تستخدمها لحذف ملف تخزين المفاتيح/متجر الثقة أو الاسم المستعار هي:

  1. أنشئ ملفًا شخصيًا جديدًا أو ملفًا تخزينًا للمعلومات أو عنوانًا بديلاً كما هو موضَّح أعلاه.
  2. بالنسبة إلى الاتصالات الواردة، يعني ذلك طلب واجهة برمجة التطبيقات إلى Edge، وعليك تعديل إعدادات المضيف الافتراضي للإشارة إلى ملف تخزين المفاتيح الجديد والعنوان البديل للبريد الإلكتروني.
  3. بالنسبة إلى الاتصالات الصادرة، أي من Apigee إلى خادم خلفية:
    1. يتم تعديل إعدادات TargetEndpoint لأي خوادم وكيل لواجهة برمجة التطبيقات أشارت إلى ملف تخزين المفاتيح القديم والعنوان البديل للمفاتيح المرجعية للإشارة إلى ملف تخزين المفاتيح الجديد والعنوان البديل الجديد للمفاتيح. إذا كانت نقطة النهاية Target تكون تشير إلى TargetServer، عدِّل تعريف TargetServer للإشارة إلى ملف تخزين المفاتيح الجديد والعنوان البديل الجديد للمفاتيح.
    2. إذا تمت الإشارة إلى ملف تخزين المفاتيح ومتجر تخزين المفاتيح مباشرةً من تعريف TargetEndpoint ، يجب إعادة نشر الخادم الوكيل. إذا كانت نقطة النهاية تشير إلى تعريف TargetServer، وكان تعريف TargetServer يشير إلى ملف تخزين المفاتيح ومتجر إدارة الثقة، لن تحتاج إلى إعادة نشر الخادم الوكيل.
  4. تأكّد من أن الخوادم الوكيلة لواجهة برمجة التطبيقات تعمل بشكل صحيح.
  5. احذف ملف تخزين المفاتيح/حساب الثقة أو الاسم المستعار.

حذف ملف تخزين مفاتيح

يمكنك حذف ملف تخزين مفاتيح أو متجر ثقة من خلال وضع مؤشر الماوس فوق ملف تخزين المفاتيح أو صندوق الثقة في القائمة لعرض قائمة الإجراءات والنقر على . في حال حذف ملف تخزين مفاتيح أو مخزن ثقة يستخدمه مضيف افتراضي أو خادم نقطة نهاية/هدف مستهدف، سيتعذّر إرسال جميع طلبات البيانات من واجهة برمجة التطبيقات من خلال المضيف الافتراضي أو خادم نقطة النهاية/الهدف المستهدف.

تنبيه: يجب عدم حذف ملف تخزين مفاتيح إلى أن يتم تحويل المضيفين الافتراضيين ونقاط النهاية المستهدفة وخوادم الاستهداف لاستخدام ملف تخزين مفاتيح جديد.

حذف عنوان بديل

يمكنك حذف اسم مستعار للبريد الإلكتروني تضع المؤشر فوق الاسم المستعار في القائمة لعرض قائمة الإجراءات والنقر على . إذا حذفت عنوانًا بديلاً يتم استخدامه من خلال مضيف افتراضي أو خادم نقطة نهاية/هدف مستهدف، سيتعذّر تنفيذ جميع طلبات البيانات من واجهة برمجة التطبيقات من خلال المضيف الافتراضي أو خادم نقطة النهاية/الهدف المستهدف.

تنبيه: يجب عدم حذف عنوان بديل للبريد الإلكتروني إلى أن يتم تحويل المضيفين الافتراضيين ونقاط النهاية المستهدفة وخوادم الهدف لاستخدام ملف تخزين مفاتيح بديل وعنوان بديل جديد.