أنت تعرض مستندات Apigee Edge.
انتقل إلى
مستندات Apigee X. معلومات
يشرح هذا المستند كيفية إنشاء ملفات تخزين المفاتيح والمستودعات الموثوق بها وتعديلها وحذفها في Edge. للسحابة الإلكترونية وEdge للإصدارات 4.18.01 والإصدارات الأحدث من Private Cloud.
لمحة عن ملفات تخزين المفاتيح/المستودعات الموثوق بها والمضيفات الافتراضية لخدمة Edge Cloud
تتطلب عملية إنشاء ملفات تخزين المفاتيح أو متاجر الثقة في Edge Cloud اتّباع جميع حول استخدام المضيفات الظاهرية. على سبيل المثال، باستخدام المضيفات الافتراضية في السحابة:
- على المضيفات الافتراضية استخدام بروتوكول أمان طبقة النقل (TLS).
- يمكن للمضيفين الظاهرين استخدام المنفذ 443 فقط.
- يجب استخدام شهادة بروتوكول أمان طبقة النقل (TLS) مُوقَّعة. لا يُسمح باستخدام الشهادات غير الموقَّعة مع المضيفات الافتراضية في السحابة الإلكترونية.
- يجب أن يتطابق اسم النطاق المحدّد من خلال شهادة بروتوكول أمان طبقة النقل (TLS) مع اسم المضيف المستعار للمضيف الظاهري.
مزيد من المعلومات:
- لمحة عن بروتوكول أمان طبقة النقل (TLS)/طبقة المقابس الآمنة (SSL)
- استخدام بروتوكول أمان طبقة النقل (TLS) مع Edge
- الأسئلة الشائعة حول المضيفات الافتراضية
- لمحة عن المضيفات الافتراضية
تنفيذ ملفات تخزين المفاتيح والمستودعات الموثوقة في الحافة
لإعداد الوظائف التي تعتمد على البنية الأساسية للمفتاح العام، مثل بروتوكول أمان طبقة النقل (TLS)، عليك إجراء ما يلي: إنشاء ملفات تخزين مفاتيح ومستودعات ائتمانية تشتمل على المفاتيح والشهادات الرقمية اللازمة.
في Edge، يتم تمثيل كل من ملفات تخزين المفاتيح والمستودعات الموثوقة بواسطة كيان ملف تخزين المفاتيح. تحتوي على اسم مستعار واحد أو أكثر. أي أنّه ما مِن فارق في التنفيذ. بين ملف تخزين مفاتيح ومخزن موثوق به على Edge.
يتم استخلاص الفرق بين ملفات تخزين المفاتيح وتخزين الثقة من أنواع الإدخالات التي وكيفية استخدامها في المصافحة عبر بروتوكول أمان طبقة النقل (TLS):
- ملف تخزين المفاتيح - كيان في ملف تخزين المفاتيح يحتوي على واحد أو أكثر ALIAS، حيث يحتوي كل اسم مستعار على زوج شهادة/مفتاح.
- Truststore - كيان في مفتاح تخزين المفاتيح يحتوي على عنصر واحد أو أكثر ALIAS، حيث يحتوي كل اسم مستعار على شهادة فقط.
عند ضبط بروتوكول أمان طبقة النقل (TLS) لمضيف افتراضي أو نقطة نهاية مستهدَفة، توفّر مستودعات المفاتيح والمستودعات الموثوق بها
أدوار مختلفة في عملية المصافحة لبروتوكول أمان طبقة النقل (TLS). عند إعداد مضيف أو هدف افتراضي
نقطة نهاية، يمكنك تحديد ملفات تخزين المفاتيح ومستودعات الثقة بشكل منفصل في <SSLInfo>
كما هو موضح أدناه للمضيف الظاهري:
<VirtualHost name="myTLSVHost"> <HostAliases> <HostAlias>apiTLS.myCompany.com</HostAlias> </HostAliases> <Interfaces/> <Port>9006</Port> <SSLInfo> <Enabled>true</Enabled> <ClientAuthEnabled>false</ClientAuthEnabled> <KeyStore>ref://keystoreref</KeyStore> <KeyAlias>myKeyAlias</KeyAlias> </SSLInfo> </VirtualHost>
في هذا المثال، يمكنك تحديد اسم ملف تخزين المفاتيح والاسم المستعار الذي يستخدمه المضيف الظاهري ملف تخزين مفاتيح بروتوكول أمان طبقة النقل (TLS) الخاص به. يمكنك استخدام مرجع لتحديد اسم ملف تخزين المفاتيح كي تتمكّن من تغييره. لاحقًا عند انتهاء صلاحية الشهادة. يحتوي الاسم المستعار على شهادة/زوج مفتاح يُستخدم لتحديد المضيف الظاهري إلى عميل بروتوكول أمان طبقة النقل (TLS) الذي يدخل إلى المضيف الظاهري. في هذا المثال، لا يوجد مخزن شهادات الجذر الموثوق به مطلوبة.
وفي حال كان مخزنًا موثوقًا مطلوبًا، على سبيل المثال لإعداد بروتوكول أمان طبقة النقل (TLS) الثنائي الاتجاه، استخدم
علامة <TrustStore>
لتحديد متجر الثقة:
<VirtualHost name="myTLSVHost"> <HostAliases> <HostAlias>apiTLS.myCompany.com</HostAlias> </HostAliases> <Interfaces/> <Port>9006</Port> <SSLInfo> <Enabled>true</Enabled> <ClientAuthEnabled>true</ClientAuthEnabled> <KeyStore>ref://keystoreref</KeyStore> <KeyAlias>myKeyAlias</KeyAlias> <TrustStore>ref://truststoreref</TrustStore> </SSLInfo> </VirtualHost>
في هذا المثال، تشير العلامة <TrustStore>
إلى ملف تخزين مفاتيح فقط،
عدم تحديد اسم مستعار محدد. يحتوي كل اسم مستعار في ملف تخزين المفاتيح على شهادة أو سلسلة شهادات،
كجزء من عملية المصافحة لـ TLS.
تنسيقات الشهادات المتوافقة
التنسيق | إمكانية التحميل من خلال واجهة برمجة التطبيقات وواجهة المستخدم | مدعوم في اتجاه الشمال | تمّ التحقق من الملف |
---|---|---|---|
PEM | نعم | نعم | نعم |
* PKCS12 | نعم | نعم | نعم ملاحظة: تحوّل Apigee داخليًا PKCS12 إلى PEM. |
* DER | لا | لا | نعم |
* PKCS7 | لا | لا | لا |
* ننصح باستخدام PEM إن أمكن.
نبذة عن تنفيذ اسم مستعار
على Edge، يحتوي ملف تخزين المفاتيح على اسم مستعار واحد أو أكثر، حيث يتم حفظ كل يحتوي الاسم المستعار على:
- شهادة بروتوكول أمان طبقة النقل (TLS) كملف PEM أو PKCS12/PFX - إما شهادة موقعة بواسطة شهادة المرجع (CA)، ملف يحتوي على سلسلة من الشهادات حيث يتم توقيع الشهادة الأخيرة من مرجع تصديق أو شهادة موقعة ذاتيًا.
- المفتاح الخاص كملف PEM أو PKCS12/PFX. يدعم Edge أحجام المفاتيح التي تصل إلى 2048 بت. حاسمة عبارة المرور اختيارية.
على Edge، يحتوي المتجر الموثوق به على اسم مستعار واحد أو أكثر، حيث يتم كل اسم مستعار يحتوي على:
- شهادة بروتوكول أمان طبقة النقل (TLS) كملف PEM - إما شهادة موقعة بواسطة مرجع تصديق (CA)، أو سلسلة من الشهادات التي يتم فيها توقيع الشهادة الأخيرة من قبل مرجع تصديق (CA) أو شهادة موقعة ذاتيًا شهادة.
توفّر شبكة Edge واجهة مستخدم وواجهة برمجة تطبيقات تستخدمها لإنشاء ملفات تخزين مفاتيح وإنشاء أسماء مستعارة وتحميل شهادة أو مفتاح. الأزواج وتحديث الشهادات. إنّ واجهة المستخدم وواجهة برمجة التطبيقات اللتين تستخدمهما لإنشاء متجر موثوق به هي نفسها استخدامها لإنشاء ملف تخزين مفاتيح. ويتمثل الفرق بينهما في أنه عند إنشاء Truststore، يمكنك إنشاء أسماء مستعارة التي تحتوي على شهادة فقط.
لمحة عن تنسيق الشهادة والمفتاح الملفات
يمكنك تمثيل الشهادات والمفاتيح كملفات PEM أو كملفات PKCS12/PFX. تتوافق ملفات PEM مع
بتنسيق X.509. إذا لم يتم تحديد الشهادة أو المفتاح الخاص من خلال ملف PEM، يمكنك تحويله إلى
ملف PEM باستخدام أدوات مساعدة مثل openssl
.
ومع ذلك، هناك العديد من ملفات .crt وملفات .key بتنسيق PEM من قبل. إذا كانت هذه الملفات نصية ويتم تضمينها في:
-----BEGIN CERTIFICATE----- -----END CERTIFICATE-----
أو:
-----BEGIN ENCRYPTED PRIVATE KEY----- -----END ENCRYPTED PRIVATE KEY-----
بعد ذلك، تكون الملفات متوافقة مع تنسيق PEM ويمكنك استخدامها في ملف تخزين مفاتيح أو Truststore بدون تحويلها إلى ملف PEM.
لمحة عن سلاسل الشهادات
إذا كانت الشهادة جزءًا من سلسلة، فستتعامل معها بشكل مختلف بناءً على ما إذا كانت الشهادة مستخدمة في ملف تخزين مفاتيح أو في مخزن شهادات:
- ملف تخزين المفاتيح: إذا كانت الشهادة جزءًا من سلسلة، عليك إنشاء ملف واحد يحتوي على جميع الشهادات في السلسلة. يجب أن تكون الشهادات بالترتيب وأن تكون الشهادة الأخيرة جذرًا شهادة أو شهادة متوسطة موقعة بشهادة جذر.
- Truststore: إذا كانت الشهادة جزءًا من سلسلة، عليك إنشاء ملف واحد. التي تحتوي على جميع الشهادات وتحميل هذا الملف إلى اسم مستعار، أو تحميل جميع الشهادات في السلسلة بشكل منفصل إلى Truststore باستخدام اسم مستعار مختلف لكل شهادة. إذا قمت بتحميلها شهادة واحدة، فيجب أن تكون الشهادات بالترتيب وأن تكون الشهادة الأخيرة شهادة جذر أو شهادة متوسطة موقَّعة بواسطة شهادة جذر.
- في حال إنشاء ملف واحد يحتوي على شهادات متعددة، يجب إدراج سطر فارغ. بين كل شهادة.
على سبيل المثال، يمكنك دمج جميع الشهادات في ملف PEM واحد. ينبغي أن تكون الشهادات في على أن تكون الشهادة الأخيرة شهادة جذر أو شهادة وسيطة موقعة من قِبل جذر الشهادة:
-----BEGIN CERTIFICATE----- (Your Primary TLS certificate) -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- (Intermediate certificate) -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- (Root certificate or intermediate certificate signed by a root certificate) -----END CERTIFICATE-----
إذا تم تمثيل شهاداتك كملفات PKCS12/PFX، يمكنك استخدام openssl
لإنشاء ملف PKCS12/PFX من سلسلة الشهادات، كما هو موضح أدناه:
openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt
عند العمل مع سلاسل الشهادات في متجر موثوق به، لا تحتاج دائمًا إلى تحميل جميع
شهادات في السلسلة. على سبيل المثال، عليك تحميل شهادة عميل، client_cert_1
،
شهادة جهة إصدار شهادة العميل، ca_cert
.
تنجح مصادقة العميل أثناء مصادقة بروتوكول أمان طبقة النقل (TLS) ثنائية الاتجاه عندما يرسل الخادم
client_cert_1
إلى العميل كجزء من عملية تأكيد الاتصال من خلال بروتوكول أمان طبقة النقل (TLS).
يمكنك أيضًا الحصول على شهادة ثانية، وهي "client_cert_2
"، موقَّعة من خلال الشهادة نفسها.
ca_cert
ومع ذلك، لا يتم تحميل client_cert_2
إلى Truststore.
لا تزال Truststore يحتوي على client_cert_1
وca_cert
فقط.
عندما يمرر الخادم client_cert_2
كجزء من تأكيد الاتصال عبر بروتوكول أمان طبقة النقل (TLS)، سيحصل الطلب
للنجاح. ويرجع ذلك إلى أنّ Edge يسمح بإجراء عملية التحقّق من خلال بروتوكول أمان طبقة النقل (TLS) بنجاح عند client_cert_2
.
غير موجود في Truststore ولكن تم توقيعه من خلال شهادة موجودة في Truststore. في حال حذف
إزالة شهادة CA، ca_cert
، من Truststore، ثم التحقق من بروتوكول أمان طبقة النقل (TLS)
فشل.
الاطّلاع على صفحة ملفات تخزين مفاتيح بروتوكول أمان طبقة النقل (TLS)
ادخل إلى صفحة ملفات تخزين مفاتيح بروتوكول أمان طبقة النقل (TLS) كما هو موضَّح أدناه.Edge
للوصول إلى صفحة ملفات تخزين مفاتيح بروتوكول أمان طبقة النقل (TLS) باستخدام واجهة مستخدم Edge:
- سجِّل الدخول إلى https://apigee.com/edge بصفتك مشرف مؤسسة.
- اختَر مؤسستك.
- اختَر المشرف >. البيئة > ملفات تخزين مفاتيح بروتوكول أمان طبقة النقل (TLS)
الإصدار الكلاسيكي Edge (السحابة الإلكترونية الخاصة)
للوصول إلى صفحة ملفات تخزين مفاتيح بروتوكول أمان طبقة النقل (TLS) باستخدام واجهة مستخدم Edge الكلاسيكي:
- يُرجى تسجيل الدخول إلى
http://ms-ip:9000
بصفتك مشرف مؤسسة، حيث يكون ms-ip هو عنوان IP أو اسم نظام أسماء النطاقات لعقدة خادم الإدارة. - اختَر مؤسستك.
- اختَر المشرف >. تهيئة البيئة > ملفات تخزين مفاتيح بروتوكول أمان طبقة النقل (TLS)
يتم عرض صفحة ملفات تخزين مفاتيح بروتوكول أمان طبقة النقل (TLS):
كما هو موضح في الشكل السابق، تتيح لك صفحة تخزين مفاتيح بروتوكول أمان طبقة النقل إمكانية إجراء ما يلي:
- اختيار بيئة
- إنشاء ملف تخزين مفاتيح واسم مستعار
- اختبار وحذف ملفات تخزين المفاتيح
- عرض وحذف الأسماء المستعارة
عرض اسم مستعار
لعرض اسم مستعار:
- انتقِل إلى صفحة ملفات تخزين مفاتيح بروتوكول أمان طبقة النقل (TLS).
- اختَر البيئة (عادةً
prod
أوtest
). - انقر على الصف المرتبط بالاسم المستعار الذي تريد عرضه.
يتم عرض تفاصيل شهادة ومفتاح الاسم المستعار.
يمكنك الاطّلاع على جميع المعلومات حول العنوان البديل للبريد الإلكتروني، بما في ذلك تاريخ انتهاء الصلاحية. - يمكنك إدارة الشهادة باستخدام الأزرار في أعلى الصفحة لإجراء ما يلي:
- نزِّل الشهادة كملف PEM.
- إنشاء طلب توقيع الشهادة. إذا كانت لديك شهادة منتهية الصلاحية وتريد تجديدها، يمكنك تنزيل طلب توقيع الشهادة (CSR). ثم تقوم بإرسال ممثل خدمة العملاء إلى مرجع تصديق (CA) للحصول على شهادة.
- تعديل شهادة تنبيه: في حال تعديل شهادة كانت
يتم استخدامه حاليًا بواسطة مضيف افتراضي أو خادم مستهدف/نقطة نهاية هدف، يجب عليك
يُرجى التواصل مع فريق دعم Apigee Edge لإعادة تشغيل أجهزة التوجيه ومعالجات الرسائل. الطريقة الموصى بها لتحديث
الشهادة إلى:
- أنشِئ ملف تخزين مفاتيح أو ملف تخزين ثقة جديدًا.
- أضِف الشهادة الجديدة إلى ملف تخزين المفاتيح الجديد أو ملف تخزين الثقة الجديد.
- تعديل المرجع في المضيف الافتراضي أو الخادم المستهدف/نقطة النهاية المستهدفة ملف تخزين المفاتيح أو ملف تخزين الثقة. عرض عليك تعديل شهادة بروتوكول أمان طبقة النقل (TLS) للسحابة الإلكترونية لمزيد من المعلومات.
- احذف العنوان البديل للبريد الإلكتروني. ملاحظة: إذا حذفت اسمًا مستعارًا، وسيتم يستخدمه حاليًا مضيف افتراضي أو نقطة نهاية هدف، ثم المضيف الظاهري أو ستفشل نقطة النهاية المستهدفة.
إنشاء ملف تخزين مفاتيح أو تخزين موثوق به واسم مستعار
يمكنك إنشاء ملف تخزين مفاتيح لاستخدامه كمخزن مفاتيح بروتوكول أمان طبقة النقل (TLS) أو كمخزن ثقة لبروتوكول أمان طبقة النقل (TLS). ملف تخزين مفاتيح تكون خاصة ببيئة في مؤسستك، مثل بيئة الاختبار أو الإنتاج. ولذلك، إذا أردت اختبار ملف تخزين المفاتيح في بيئة اختبار قبل نشره في يجب إنشاؤها في كلتا البيئتين.
لإنشاء ملف تخزين مفاتيح في بيئة، ما عليك سوى تحديد اسم ملف تخزين المفاتيح. بعد إنشاء ملف تخزين مفاتيح مُسمّى في بيئة، يمكنك إنشاء أسماء مستعارة وتحميل زوج مفاتيح/شهادة (keystore) أو حمّل شهادة فقط (الثقة) إلى الاسم المستعار.
لإنشاء ملف تخزين مفاتيح:
- انتقِل إلى صفحة ملفات تخزين مفاتيح بروتوكول أمان طبقة النقل (TLS).
- اختَر البيئة (عادةً
prod
أوtest
). - انقر على + ملف تخزين مفاتيح.
- حدِّد اسم ملف تخزين المفاتيح. لا يمكن أن يحتوي الاسم إلا على أحرف أبجدية رقمية.
- انقر على إضافة ملف تخزين مفاتيح. سيظهر ملف تخزين المفاتيح الجديد في القائمة.
- استخدم أحد الإجراءات التالية لإضافة اسم مستعار. يمكن أيضًا مراجعة
تنسيقات ملفات الشهادات المتوافقة
- إنشاء اسم مستعار من شهادة (المتجر الموثوق به فقط)
- إنشاء اسم مستعار من JAR ملف (ملف تخزين المفاتيح فقط)
- إنشاء عنوان بديل للبريد الإلكتروني من شهادة ومفتاح (ملف تخزين المفاتيح فقط)
- إنشاء اسم مستعار من ملف PKCS12/PFX (ملف تخزين المفاتيح فقط)
- إن إنشاء عنوان بديل من شهادة موقَّعة ذاتيًا (ملف تخزين المفاتيح فقط)
إنشاء اسم مستعار من شهادة (Truststore) فقط)
لإنشاء اسم مستعار من شهادة:
- انتقِل إلى صفحة ملفات تخزين مفاتيح بروتوكول أمان طبقة النقل (TLS).
- ضع مؤشر الماوس فوق ملف تخزين المفاتيح لعرض قائمة الإجراءات وانقر على +.
- حدِّد الاسم المستعار.
- ضمن "تفاصيل الشهادة"، اختَر الشهادة فقط في القائمة المنسدلة "النوع".
- انقر على اختيار ملف بجانب ملف الشهادة، ثم انتقِل إلى PEM الذي يحتوي على الشهادة، وانقر على Open (فتح).
- تتحقّق واجهة برمجة التطبيقات تلقائيًا من عدم انتهاء صلاحية الشهادة. تحديد خيار السماح بالشهادة المنتهية الصلاحية لتخطّي عملية التحقّق
- اختَر حفظ لتحميل الشهادة وإنشاء العنوان البديل للبريد الإلكتروني.
إنشاء اسم مستعار من ملف JAR (ملف تخزين المفاتيح فقط)
لإنشاء اسم مستعار من ملف JAR:
- انتقِل إلى صفحة ملفات تخزين مفاتيح بروتوكول أمان طبقة النقل (TLS).
- ضع مؤشر الماوس فوق ملف تخزين المفاتيح لعرض قائمة الإجراءات وانقر على +.
- حدِّد الاسم المستعار.
- ضمن "تفاصيل الشهادة"، اختَر ملف JAR في القائمة المنسدلة "النوع".
- انقر على اختيار ملف بجانب ملف JAR، وانتقِل إلى ملف JAR الذي يحتوي على الشهادة والمفتاح، ثم انقر على فتح.
- إذا كان المفتاح يحتوي على كلمة مرور، حدِّد كلمة المرور. إذا لم يكن المفتاح كلمة المرور، اترك هذا الحقل فارغًا.
- تتحقّق واجهة برمجة التطبيقات تلقائيًا من عدم انتهاء صلاحية الشهادة. تحديد خيار السماح بالشهادة المنتهية الصلاحية لتخطّي عملية التحقّق
- اختَر حفظ لتحميل المفتاح والشهادة وإنشاء العنوان البديل للبريد الإلكتروني.
يمكن أن يؤدي إنشاء اسم مستعار من شهادة مفتاح (ملف تخزين المفاتيح فقط)
لإنشاء اسم مستعار من شهادة ومفتاح:
- انتقِل إلى صفحة ملفات تخزين مفاتيح بروتوكول أمان طبقة النقل (TLS).
- ضع مؤشر الماوس فوق ملف تخزين المفاتيح لعرض قائمة الإجراءات وانقر على +.
- حدِّد الاسم المستعار.
- ضمن "تفاصيل الشهادة"، اختَر الشهادة والمفتاح في القائمة المنسدلة "النوع".
- انقر على اختيار ملف بجانب ملف الشهادة، وانتقِل إلى ملف PEM الذي يحتوي على الشهادة، ثم انقر على فتح.
- إذا كان المفتاح يحتوي على كلمة مرور، حدِّد كلمة مرور المفتاح. إذا لم يكن المفتاح كلمة المرور، اترك هذا الحقل فارغًا.
- انقر على Choose File (اختيار ملف) بجانب Key File (ملف المفتاح)، وانتقِل إلى ملف PEM الذي يحتوي على المفتاح، وانقر على Open (فتح).
- تتحقّق واجهة برمجة التطبيقات تلقائيًا من عدم انتهاء صلاحية الشهادة. تحديد خيار السماح بالشهادة المنتهية الصلاحية لتخطّي عملية التحقّق
- اختَر حفظ لتحميل المفتاح والشهادة وإنشاء العنوان البديل للبريد الإلكتروني.
إنشاء اسم مستعار من ملف PKCS12/PFX (ملف تخزين المفاتيح فقط)
لإنشاء اسم مستعار من ملف PKCS12 يحتوي على الشهادة والمفتاح:
- انتقِل إلى صفحة ملفات تخزين مفاتيح بروتوكول أمان طبقة النقل (TLS).
- ضع مؤشر الماوس فوق ملف تخزين المفاتيح لعرض قائمة الإجراءات وانقر على +.
- حدِّد الاسم المستعار.
- ضمن "تفاصيل الشهادة"، اختَر PKCS12/PFX في القائمة المنسدلة "النوع".
- انقر على اختيار ملف بجانب PKCS12/PFX، ثم انتقِل إلى الذي يحتوي على المفتاح والشهادة، وانقر على فتح.
- إذا كان المفتاح يحتوي على كلمة مرور، حدِّد كلمة المرور لملف PKCS12/PFX. إذا كان المفتاح لا يحتوي على كلمة مرور، اترك هذا الحقل فارغًا.
- تتحقّق واجهة برمجة التطبيقات تلقائيًا من عدم انتهاء صلاحية الشهادة. تحديد خيار السماح بالشهادة المنتهية الصلاحية لتخطّي عملية التحقّق
- اختَر حفظ لتحميل الملف وإنشاء العنوان البديل للبريد الإلكتروني.
إنشاء اسم مستعار من شهادة موقعة ذاتيًا (ملف تخزين المفاتيح فقط)
لإنشاء اسم مستعار يستخدم شهادة موقعة ذاتيًا، يمكنك ملء نموذج بالمعلومات المعلومات المطلوبة لإنشاء الشهادة. ينشئ Edge بعد ذلك الشهادة وزوجًا من المفاتيح الخاصة وقم بتحميلها إلى الاسم المستعار.
لإنشاء اسم مستعار من شهادة موقعة ذاتيًا:
- انتقِل إلى صفحة ملفات تخزين مفاتيح بروتوكول أمان طبقة النقل (TLS).
- ضع مؤشر الماوس فوق ملف تخزين المفاتيح لعرض قائمة الإجراءات وانقر على +.
- حدِّد الاسم المستعار.
- ضمن "تفاصيل الشهادة"، اختَر الشهادة الموقعة ذاتيًا في القائمة المنسدلة "النوع".
- املأ النموذج باستخدام الجدول أدناه.
- اختَر حفظ لإنشاء زوج المفتاح الخاص بالشهادة والمفتاح الخاص وتحميلهما إلى. الاسم المستعار.
في الشهادة التي تم إنشاؤها، ستظهر لك الحقول الإضافية التالية:
- جهة الإصدار
الكيان الذي وقّع الشهادة وأصدرها. بالنسبة للشهادة الموقعة ذاتيًا، فهذا هو CN التي حددتها عند إنشاء الشهادة. - الصلاحية
يتم تمثيل فترة صلاحية الشهادة كتاريخين: التاريخ الذي تتوفر فيه الشهادة تبدأ مدة الصلاحية وتاريخ انتهاء مدة صلاحية الشهادة. يمكن أن يكون كلاهما التي تم ترميزها كقيم UTCTime أو GeneralizedTime.
يوضّح الجدول التالي حقول النموذج:
حقل النموذج | الوصف | تلقائي | مطلوب |
---|---|---|---|
الاسم المستعار | الاسم المستعار. الحد الأقصى للطول هو 128 حرفًا. | لا ينطبق | نعم |
حجم المفتاح | حجم المفتاح بالبت. القيمة التلقائية والحد الأقصى هي 2048 بت. | 2048 | لا |
خوارزمية التوقيع | خوارزمية التوقيع لإنشاء مفتاح خاص. القيم الصالحة هي "SHA512withRSA"، "SHA384withRSA" و"SHA256withRSA" (الخيار التلقائي). | خوارزمية SHA256withRSA | لا |
صلاحية الشهادة بالأيام | مدة صلاحية الشهادة بالأيام. يتم قبول القيمة الموجبة غير الصفرية. | 365 | لا |
الاسم الشائع |
يحدد الاسم الشائع (CN) للمؤسسة أسماء النطاقات المؤهلة بالكامل
المرتبطة بالشهادة. عادةً ما يتكون من مضيف واسم نطاق.
على سبيل المثال، api.enterprise.apigee.com، www.apigee.com، وما إلى ذلك. الحد الأقصى للطول هو 64 حرفًا.
وبناءً على نوع الشهادة، يمكن أن يكون CN واحدًا أو أكثر من أسماء المضيفين الذين ينتمون إلى النطاق نفسه (مثل example.com، www.example.com) أو اسم حرف بدل (مثل *.example.com) أو قائمة بالنطاقات لا تفعل أن تتضمّن أي بروتوكول (http:// أو https://) أو رقم منفذ أو مسار مورد. لا تكون الشهادة صالحة إلا إذا تطابق اسم مضيف الطلب مع اسم الأسماء الشائعة للشهادات. |
لا ينطبق | نعم |
البريد الإلكتروني | عنوان البريد الإلكتروني. الحد الأقصى للطول هو 255 حرفًا. | لا ينطبق | لا |
اسم الوحدة التنظيمية | اسم فريق المؤسسة. الحد الأقصى للطول هو 64 حرفًا. | لا ينطبق | لا |
اسم المؤسسة | اسم المؤسسة. الحد الأقصى للطول هو 64 حرفًا. | لا ينطبق | لا |
منطقة محلية | اسم المدينة/البلدة الحد الأقصى للطول هو 128 حرفًا. | لا ينطبق | لا |
الولاية/المقاطعة | اسم الولاية/المقاطعة الحد الأقصى للطول هو 128 حرفًا. | لا ينطبق | لا |
البلد | رمز البلد من حرفَين. مثال: الهند بالنسبة إلى الهند والولايات المتحدة الأمريكية. | لا ينطبق | لا |
الأسماء البديلة |
قائمة بأسماء المضيفين البديلة. يسمح بربط الهويات الإضافية بالموضوع.
من الشهادة. تتضمن الخيارات المحددة عنوان بريد إلكتروني عبر الإنترنت ونظام أسماء النطاقات
اسم وعنوان IP ومعرِّف موارد منتظم (URI).
255 حرفًا كحد أقصى لكل قيمة. يمكنك فصل الأسماء بفاصلة أو بالضغط على مفتاح Enter بعد كل اسم. |
لا ينطبق | لا |
اختبار ملف تخزين مفاتيح أو ملف تخزين موثوق به
يمكنك اختبار ملف تخزين الثقة وملف تخزين المفاتيح في واجهة مستخدم Edge للتأكّد من أنّه تم ضبطهما. بشكل صحيح. يتحقّق واجهة المستخدم الاختبارية من طلب بروتوكول أمان طبقة النقل (TLS) من Edge إلى خدمة خلفية. خدمة الخلفية لإتاحة استخدام بروتوكول أمان طبقة النقل أحادي الاتجاه أو ثنائي الاتجاه.
لاختبار بروتوكول أمان طبقة النقل (TLS) الأحادي الاتجاه:
- انتقِل إلى صفحة ملفات تخزين مفاتيح بروتوكول أمان طبقة النقل (TLS).
- اختَر البيئة (عادةً
prod
أوtest
). - ضع مؤشر الماوس فوق ملف تخزين مفاتيح بروتوكول أمان طبقة النقل (TLS) الذي تريد اختباره لعرض قائمة الإجراءات، ثم انقر على اختبار. مربع الحوار التالي
يظهر فيه اسم المخزن الموثوق:
- أدخِل اسم المضيف لخدمة الخلفية.
- أدخِل رقم منفذ بروتوكول أمان طبقة النقل (TLS) (عادةً 443).
- بشكل اختياري، يمكنك تحديد أي بروتوكولات أو رموز.
- اختَر اختبار.
لاختبار بروتوكول أمان طبقة النقل (TLS) ثنائي الاتجاه:
- بالنسبة إلى متجر الثقة المطلوب، انقر على الزر اختبار.
- في مربع الحوار، اختَر طريقان في نوع اختبار طبقة المقابس الآمنة (SSL).
سيظهر مربّع الحوار التالي:
- حدِّد اسم ملف تخزين المفاتيح المُستخدَم في بروتوكول أمان طبقة النقل (TLS) الثنائي الاتجاه.
- حدد اسم الاسم المستعار في ملف تخزين المفاتيح الذي يحتوي على الشهادة والمفتاح.
- أدخِل اسم المضيف لخدمة الخلفية.
- أدخِل رقم منفذ بروتوكول أمان طبقة النقل (TLS) (عادةً 443).
- بشكل اختياري، يمكنك تحديد أي بروتوكولات أو رموز.
- اختَر اختبار.
إضافة شهادة إلى مخزن شهادات الجذر الموثوق به لبروتوكول أمان طبقة النقل (TLS) ثنائي الاتجاه
عند استخدام بروتوكول أمان طبقة النقل (TLS) ثنائي الاتجاه للاتصالات الواردة، ما يعني إرسال طلب من واجهة برمجة التطبيقات إلى Edge، تحتوي Truststore على شهادة أو سلسلة مرجع تصديق لكل عميل مسموح له بتقديم طلبات إلى Edge.
عند ضبط المخزن الموثوق في البداية، يمكنك إضافة جميع الشهادات للبرامج المعروفة. ومع ذلك، قد تحتاج بمرور الوقت إلى إضافة شهادات أخرى إلى المخزن الموثوق عند إضافة عملاء جدد.
لإضافة شهادات جديدة إلى مخزن شهادات مستخدَم مع بروتوكول أمان طبقة النقل (TLS) ثنائي الاتجاه:
- يُرجى التأكُّد من أنّك تستخدم مرجعًا إلى Truststore في المضيف الافتراضي.
- حمِّل شهادة جديدة إلى Truststore كما هو موضّح أعلاه في إنشاء اسم مستعار من شهادة (المتجر الموثوق به فقط):
عدِّل مرجع Truststore لضبطه على القيمة نفسها. يؤدي هذا التحديث إلى إعادة تحميل Edge للمكتبة الموثوق بها والشهادة الجديدة.
راجِع المقالة تعديل مرجع للاطّلاع على مزيد من المعلومات.
حذف ملف تخزين مفاتيح أو ملف تخزين موثوق به أو اسم مستعار
يجب توخي الحذر عند حذف ملف تخزين مفاتيح أو موثوق به أو اسم مستعار. إذا حذفت ملف تخزين مفاتيح، أو Truststore أو اسم مستعار يستخدمه مضيف افتراضي أو نقطة نهاية هدف أو خادم مستهدف، ستفشل طلبات البيانات من واجهة برمجة التطبيقات من خلال المضيف الظاهري أو نقطة النهاية المستهدفة/خادم الهدف.
عادةً ما تكون العملية التي تستخدمها لحذف ملف تخزين مفاتيح/موثوق به أو اسم مستعار:
- أنشِئ ملف تخزين مفاتيح أو ملفًا موثوقًا به أو اسمًا مستعارًا جديدًا كما هو موضّح أعلاه.
- بالنسبة إلى الاتصالات الواردة، أي طلب بيانات من واجهة برمجة التطبيقات في Edge، يجب تحديث تهيئة المضيف الافتراضي للإشارة إلى ملف تخزين المفاتيح الجديد والاسم المستعار للمفتاح.
- بالنسبة إلى الاتصالات الصادرة، يعني ذلك من Apigee إلى خادم خلفية:
- عدِّل إعدادات TargetEndpoint لأي خوادم وكيلة لواجهة برمجة التطبيقات تشير إلى الخادم القديم ملف تخزين المفاتيح والاسم المستعار للمفتاح للإشارة إلى ملف تخزين المفاتيح والاسم المستعار للمفتاح الجديد. إذا كانت قيمة TargetEndpoint تشير إلى TargetServer، يُرجى تحديث تعريف TargetServer للإشارة إلى ملف تخزين المفاتيح الجديد والاسم المستعار للمفتاح.
- في حال تمت الإشارة إلى ملف تخزين المفاتيح وملف تخزين الثقة مباشرةً من عنصر النهاية المستهدَف ثم يجب عليك إعادة نشر الخادم الوكيل. إذا كانت TargetEndpoint تشير إلى المستهدف في الخادم، ويشير تعريف TargetServer إلى ملف تخزين المفاتيح Truststore، إذًا لا حاجة إلى إعادة نشر الخادم الوكيل.
- تأكّد من أن الخوادم الوكيلة لواجهة برمجة التطبيقات تعمل بشكل صحيح.
- احذف ملف تخزين المفاتيح أو الملف الموثوق به أو الاسم المستعار.
حذف ملف تخزين مفاتيح
يمكنك حذف ملف تخزين مفاتيح أو ملف تخزين موثوق به من خلال وضع مؤشر الماوس فوق ملف تخزين المفاتيح أو صندوق الثقة في القائمة لعرض الإجراءات القائمة والنقر على . في حال حذف ملف تخزين مفاتيح أو ملف تخزين موثوق به حاليًا يستخدمها مضيف افتراضي أو نقطة نهاية مستهدفة/خادم مستهدف، وجميع طلبات البيانات من واجهة برمجة التطبيقات من خلال المضيف الظاهري أو نقطة النهاية المستهدفة/الخادم الهدف.
تنبيه: يجب عدم حذف ملف تخزين مفاتيح حتى يتم تحويل ملف المضيفات الافتراضية ونقاط النهاية المستهدفة/الخوادم المستهدفة لاستخدام ملف تخزين مفاتيح جديد.
حذف اسم مستعار
يمكنك حذف اسم مستعار من خلال وضع مؤشر الماوس فوق الاسم المستعار في القائمة لعرض الإجراءات القائمة والنقر على . في حال حذف اسم مستعار يستخدمه مضيف ظاهري أو نقطة النهاية المستهدفة أو الخادم المستهدف، وجميع طلبات البيانات من واجهة برمجة التطبيقات من خلال المضيف الظاهري أو نقطة النهاية المستهدفة أو الهدف سيفشل الخادم.
تنبيه: يجب عدم حذف الاسم المستعار إلا بعد تحويل العنوان الافتراضي. المضيفين ونقاط النهاية المستهدفة/الخوادم المستهدفة لاستخدام ملف تخزين مفاتيح واسم مستعار جديد.