Schlüsselspeicher und Truststore mithilfe der Edge-Benutzeroberfläche erstellen

Sie sehen die Dokumentation zu Apigee Edge.
Rufen Sie die Apigee X-Dokumentation auf.
weitere Informationen

In diesem Dokument wird beschrieben, wie Sie Schlüsselspeicher und Truststores für Edge für die Cloud und für Edge für die Private Cloud-Version 4.18.01 und höher erstellen, ändern und löschen.

Schlüsselspeicher/Truststores und virtuelle Hosts für Edge Cloud

Zum Erstellen von Schlüsselspeichern/Vertrauensspeichern für Edge Cloud müssen Sie alle Regeln zur Verwendung virtueller Hosts befolgen. Zum Beispiel mit virtuellen Hosts in der Cloud:

  • Virtuelle Hosts müssen TLS verwenden.
  • Virtuelle Hosts können nur Port 443 verwenden.
  • Sie müssen ein signiertes TLS-Zertifikat verwenden. Unsignierte Zertifikate sind nicht für virtuelle Hosts in der Cloud zulässig.
  • Der im TLS-Zertifikat angegebene Domainname muss mit dem Hostalias des virtuellen Hosts übereinstimmen.

Weitere Informationen:

Schlüsselspeicher und Truststores in Edge implementieren

Zum Konfigurieren von Funktionen, die auf einer Public-Key-Infrastruktur wie TLS basieren, müssen Sie Schlüsselspeicher und Truststores erstellen, die die erforderlichen Schlüssel und digitalen Zertifikate enthalten.

In Edge werden sowohl Schlüsselspeicher als auch Truststores durch eine Schlüsselspeicherentität dargestellt, die einen oder mehrere Aliasse enthält. Das heißt, es gibt keinen Implementierungsunterschied zwischen einem Schlüsselspeicher und einem Truststore in Edge.

Der Unterschied zwischen Schlüsselspeichern und Truststores ergibt sich aus der Art der Einträge, die sie enthalten, und der Art und Weise, wie sie beim TLS-Handshake verwendet werden:

  • Keystore: Eine Schlüsselspeicherentität, die einen oder mehrere Aliasse enthält, wobei jeder Alias ein Zertifikat/Schlüsselpaar enthält.
  • Truststore – eine keystore-Entität, die einen oder mehrere Aliasse enthält, wobei jeder Alias nur ein Zertifikat enthält.

Wenn Sie TLS für einen virtuellen Host oder Zielendpunkt konfigurieren, bieten Schlüsselspeicher und Truststores unterschiedliche Rollen im TLS-Handshake. Wenn Sie einen virtuellen Host oder einen Zielendpunkt konfigurieren, geben Sie Schlüsselspeicher und Truststores separat im Tag <SSLInfo> an, wie unten für einen virtuellen Host dargestellt:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>false</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
    </SSLInfo>
</VirtualHost>

In diesem Beispiel geben Sie den Namen des Schlüsselspeichers und des Alias an, die vom virtuellen Host für seinen TLS-Schlüsselspeicher verwendet werden. Sie verwenden eine Referenz, um den Schlüsselspeichernamen anzugeben, damit Sie ihn später ändern können, wenn das Zertifikat abläuft. Der Alias enthält ein Zertifikat/Schlüsselpaar, mit dem der virtuelle Host bei einem TLS-Client identifiziert wird, der auf den virtuellen Host zugreift. In diesem Beispiel ist kein Truststore erforderlich.

Wenn ein Truststore erforderlich ist, z. B. für eine 2‐Wege-TLS-Konfiguration, geben Sie ihn mit dem Tag <TrustStore> an:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>true</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
        <TrustStore>ref://truststoreref</TrustStore>
    </SSLInfo>
</VirtualHost>

In diesem Beispiel verweist das Tag <TrustStore> nur auf einen Schlüsselspeicher und gibt keinen bestimmten Alias an. Jeder Alias im Schlüsselspeicher enthält ein Zertifikat oder eine Zertifikatkette, die als Teil des TLS-Handshakeprozesses verwendet wird.

Unterstützte Zertifikatsformate

Format API- und UI-Upload wird unterstützt Richtung Norden unterstützt Bestätigt
PEM Ja Ja Ja
* PKCS12 Ja Ja Ja
Hinweis: Apigee konvertiert
PKCS12 intern zu PEM.
* DER Nein Nein Ja
* PKCS7 Nein Nein Nein

* Wir empfehlen, nach Möglichkeit PEM zu verwenden.

Informationen zum Implementieren eines Alias

In Edge enthält ein Schlüsselspeicher einen oder mehrere Aliasse, wobei jeder Alias Folgendes enthält:

  • TLS-Zertifikat als PEM- oder PKCS12/PFX-Datei – entweder ein von einer Zertifizierungsstelle (CA) signiertes Zertifikat, eine Datei mit einer Reihe von Zertifikaten, bei der das letzte Zertifikat von einer Zertifizierungsstelle signiert ist, oder ein selbst signiertes Zertifikat.
  • Privater Schlüssel als PEM- oder PKCS12/PFX-Datei. Edge unterstützt Schlüsselgrößen bis zu 2.048 Bit. Eine Passphrase ist optional.

In Edge enthält ein truststore einen oder mehrere Aliasse, wobei jeder Alias Folgendes enthält:

  • TLS-Zertifikat als PEM-Datei – entweder ein von einer Zertifizierungsstelle signiertes Zertifikat, eine Zertifikatskette, bei der das letzte Zertifikat von einer Zertifizierungsstelle signiert ist, oder ein selbst signiertes Zertifikat.

Edge bietet eine Benutzeroberfläche und eine API, mit denen Sie Schlüsselspeicher erstellen, Aliasse erstellen, Zertifikat/Schlüssel-Paare hochladen und Zertifikate aktualisieren können. Die Benutzeroberfläche und die API, mit denen Sie einen Truststore erstellen, sind identisch mit der, mit der Sie einen Schlüsselspeicher erstellen. Der Unterschied besteht darin, dass Sie beim Erstellen eines Truststore Aliasse erstellen, die nur ein Zertifikat enthalten.

Format der Zertifikat- und Schlüsseldateien

Sie können Zertifikate und Schlüssel als PEM-Dateien oder als PKCS12-/PFX-Dateien darstellen. PEM-Dateien entsprechen dem X.509-Format. Wenn Ihr Zertifikat oder Ihr privater Schlüssel nicht durch eine PEM-Datei definiert ist, können Sie sie mit Dienstprogrammen wie openssl in eine PEM-Datei konvertieren.

Viele CRT- und Schlüsseldateien haben jedoch bereits das PEM-Format. Wenn es sich bei diesen Dateien um Textdateien handelt, die in den folgenden Feldern eingeschlossen sind:

-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----

oder

-----BEGIN ENCRYPTED PRIVATE KEY-----
-----END ENCRYPTED PRIVATE KEY-----

Dann sind die Dateien mit dem PEM-Format kompatibel und können in einem Schlüsselspeicher oder Truststore verwendet werden, ohne sie in eine PEM-Datei konvertieren zu müssen.

Zertifikatsketten

Wenn ein Zertifikat Teil einer Kette ist, wird es anders behandelt, je nachdem, ob das Zertifikat in einem Schlüsselspeicher oder in einem Truststore verwendet wird:

  • Schlüsselspeicher – Wenn ein Zertifikat Teil einer Kette ist, müssen Sie eine einzelne Datei erstellen, die alle Zertifikate in der Kette enthält. Die Zertifikate müssen sortiert sein und das letzte Zertifikat muss ein Root-Zertifikat oder ein Zwischenzertifikat sein, das von einem Root-Zertifikat signiert wurde.
  • Truststore – Wenn ein Zertifikat Teil einer Kette ist, müssen Sie entweder eine einzelne Datei mit allen Zertifikaten erstellen und diese Datei in einen Alias hochladen oder alle Zertifikate in der Kette separat in den Truststore hochladen, indem Sie für jedes Zertifikat einen anderen Alias verwenden. Wenn Sie sie als Einzelzertifikat hochladen, müssen die Zertifikate richtig angeordnet sein und das letzte Zertifikat muss ein Root-Zertifikat oder ein Zwischenzertifikat sein, das von einem Root-Zertifikat signiert wurde.
  • Wenn Sie eine einzelne Datei erstellen, die mehrere Zertifikate enthält, müssen Sie zwischen den einzelnen Zertifikaten eine leere Zeile einfügen.

Sie können beispielsweise alle Zertifikate in einer einzigen PEM-Datei zusammenfassen. Die Zertifikate müssen sortiert sein und das letzte Zertifikat muss ein Root-Zertifikat oder ein Zwischenzertifikat sein, das von einem Root-Zertifikat signiert wurde:

-----BEGIN CERTIFICATE----- 
(Your Primary TLS certificate) 
-----END CERTIFICATE----- 

-----BEGIN CERTIFICATE----- 
(Intermediate certificate) 
-----END CERTIFICATE-----
 
-----BEGIN CERTIFICATE----- 
(Root certificate or intermediate certificate signed by a root certificate) 
-----END CERTIFICATE-----

Wenn Ihre Zertifikate als PKCS12-/PFX-Dateien dargestellt werden, können Sie mit dem Befehl openssl eine PKCS12/PFX-Datei aus einer Zertifikatskette erstellen, wie unten gezeigt:

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

Wenn Sie mit Zertifikatsketten in einem Truststore arbeiten, müssen Sie nicht immer alle Zertifikate in der Kette hochladen. Beispiel: Sie laden das Clientzertifikat client_cert_1 und das Zertifikat des Ausstellers des Clientzertifikats ca_cert hoch.

Bei der Zwei-Wege-TLS-Authentifizierung ist die Clientauthentifizierung erfolgreich, wenn der Server im Rahmen des TLS-Handshakes client_cert_1 an den Client sendet.

Alternativ haben Sie ein zweites Zertifikat namens client_cert_2, das vom selben Zertifikat signiert wurde: ca_cert. Sie laden jedoch client_cert_2 nicht in den Truststore hoch. Der Truststore enthält weiterhin nur client_cert_1 und ca_cert.

Wenn der Server client_cert_2 im Rahmen des TLS-Handshakes übergibt, ist die Anfrage erfolgreich. Dies liegt daran, dass Edge die TLS-Prüfung zulässt, wenn client_cert_2 nicht im Truststore vorhanden, aber von einem Zertifikat signiert wurde, das im Truststore vorhanden ist. Wenn Sie das CA-Zertifikat ca_cert aus dem Truststore entfernen, schlägt die TLS-Überprüfung fehl.

Seite „TLS-Schlüsselspeicher“ ansehen

Rufen Sie wie unten beschrieben die Seite „TLS-Schlüsselspeicher“ auf.

Edge

So greifen Sie über die Edge-Benutzeroberfläche auf die Seite „TLS-Schlüsselspeicher“ zu:

  1. Melden Sie sich unter https://apigee.com/edge als Organisationsadministrator an.
  2. Wählen Sie Ihre Organisation aus.
  3. Wählen Sie Admin > Umgebung > TLS-Schlüsselspeicher aus.

Classic Edge (Private Cloud)

So greifen Sie über die Classic Edge-Benutzeroberfläche auf die Seite „TLS-Schlüsselspeicher“ zu:

  1. Melden Sie sich bei http://ms-ip:9000 als Organisationsadministrator an, wobei ms-ip die IP-Adresse oder der DNS-Name des Management Server-Knotens ist.
  2. Wählen Sie Ihre Organisation aus.
  3. Wählen Sie Admin > Umgebungskonfiguration > TLS-Schlüsselspeicher aus.

Die Seite „TLS-Schlüsselspeicher“ wird angezeigt:

Wie in der vorherigen Abbildung hervorgehoben, können Sie auf der Seite „TLS-Schlüsselspeicher“ Folgendes tun:

Alias ansehen

So rufen Sie einen Alias auf:

  1. Rufen Sie die Seite „TLS-Schlüsselspeicher“ auf.
  2. Wählen Sie die Umgebung aus (in der Regel prod oder test).
  3. Klicken Sie auf die Zeile für den Alias, den Sie sich ansehen möchten.

    Details zum Aliaszertifikat und ‐schlüssel werden angezeigt.

    Sie sehen alle Informationen zum Alias, einschließlich des Ablaufdatums.

  4. Verwalten Sie das Zertifikat mithilfe der Schaltflächen oben auf der Seite:
    • Laden Sie das Zertifikat als PEM-Datei herunter.
    • Generieren Sie eine CSR. Wenn Sie ein abgelaufenes Zertifikat haben und es verlängern möchten, können Sie eine Anfrage zur Zertifikatssignierung (Certificate Signing Request, CSR) herunterladen. Senden Sie die CSR dann an Ihre Zertifizierungsstelle, um ein neues Zertifikat zu erhalten.
    • Aktualisieren Sie ein Zertifikat. Achtung: Wenn Sie ein Zertifikat aktualisieren, das derzeit von einem virtuellen Host oder Zielserver/Zielendpunkt verwendet wird, müssen Sie sich an den Apigee Edge-Support wenden, um die Router und Message Processor neu zu starten. Die empfohlene Methode zum Aktualisieren eines Zertifikats ist:
      1. Erstellen Sie einen neuen Schlüsselspeicher oder Truststore.
      2. Fügen Sie das neue Zertifikat dem neuen Schlüsselspeicher oder Truststore hinzu.
      3. Aktualisieren Sie die Referenz im virtuellen Host oder Zielserver/Zielendpunkt auf den Schlüsselspeicher oder Truststore. Weitere Informationen finden Sie unter TLS-Zertifikat für die Cloud aktualisieren.
      4. Löschen Sie den Alias. Hinweis: Wenn Sie einen Alias löschen, der derzeit von einem virtuellen Host oder Zielendpunkt verwendet wird, schlägt der virtuelle Host oder Zielendpunkt fehl.

Schlüsselspeicher/Truststore und Alias erstellen

Sie können einen Schlüsselspeicher entweder als TLS-Schlüsselspeicher oder als TLS-Truststore erstellen. Ein Schlüsselspeicher ist spezifisch für eine Umgebung in Ihrer Organisation, z. B. die Test- oder Produktionsumgebung. Wenn Sie den Schlüsselspeicher also vor der Bereitstellung in Ihrer Produktionsumgebung in einer Testumgebung testen möchten, müssen Sie ihn in beiden Umgebungen erstellen.

Zum Erstellen eines Schlüsselspeichers in einer Umgebung müssen Sie nur den Schlüsselspeichernamen angeben. Nachdem Sie einen benannten Schlüsselspeicher in einer Umgebung erstellt haben, können Sie Aliasse erstellen und ein Zertifikat/Schlüsselpaar hochladen (Schlüsselspeicher) oder nur ein Zertifikat (truststore) in den Alias hochladen.

So erstellen Sie einen Schlüsselspeicher:

  1. Rufen Sie die Seite „TLS-Schlüsselspeicher“ auf.
  2. Wählen Sie die Umgebung aus (in der Regel prod oder test).
  3. Klicken Sie auf + Schlüsselspeicher.
  4. Geben Sie den Namen des Schlüsselspeichers an. Der Name darf nur alphanumerische Zeichen enthalten.
  5. Klicken Sie auf Schlüsselspeicher hinzufügen. Der neue Schlüsselspeicher wird in der Liste angezeigt.
  6. Verwenden Sie eine der folgenden Methoden, um einen Alias hinzuzufügen. Weitere Informationen finden Sie unter Unterstützte Dateiformate für Zertifikate.

Alias aus einem Zertifikat erstellen (nur Truststore)

So erstellen Sie einen Alias aus einem Zertifikat:

  1. Rufen Sie die Seite „TLS-Schlüsselspeicher“ auf.
  2. Positionieren Sie den Cursor über dem Schlüsselspeicher, um das Aktionsmenü aufzurufen, und klicken Sie auf +.
  3. Geben Sie den Aliasnamen an.
  4. Wählen Sie unter „Certificate details“ (Zertifikatdetails) im Drop-down-Menü „Type“ (Typ) die Option Certificate Only (Nur Zertifikat) aus.
  5. Klicken Sie neben Zertifikatsdatei auf Datei auswählen, wechseln Sie zur PEM-Datei mit dem Zertifikat und klicken Sie auf Öffnen.
  6. Standardmäßig prüft die API, ob das Zertifikat nicht abgelaufen ist. Wählen Sie optional Abgelaufenes Zertifikat zulassen aus, um die Validierung zu überspringen.
  7. Wählen Sie Speichern aus, um das Zertifikat hochzuladen und den Alias zu erstellen.

Alias aus einer JAR-Datei erstellen (nur Schlüsselspeicher)

So erstellen Sie einen Alias aus einer JAR-Datei:

  1. Rufen Sie die Seite „TLS-Schlüsselspeicher“ auf.
  2. Positionieren Sie den Cursor über dem Schlüsselspeicher, um das Aktionsmenü aufzurufen, und klicken Sie auf +.
  3. Geben Sie den Aliasnamen an.
  4. Wählen Sie unter „Certificate details“ (Zertifikatdetails) im Drop-down-Menü „Type“ (Typ) die Option JAR File (JAR-Datei) aus.
  5. Klicken Sie neben JAR-Datei auf Datei auswählen, gehen Sie zur JAR-Datei mit dem Zertifikat und dem Schlüssel und klicken Sie auf Öffnen.
  6. Wenn der Schlüssel ein Passwort hat, geben Sie das Passwort an. Falls für den Schlüssel kein Passwort festgelegt ist, lassen Sie dieses Feld leer.
  7. Standardmäßig prüft die API, ob das Zertifikat nicht abgelaufen ist. Wählen Sie optional Abgelaufenes Zertifikat zulassen aus, um die Validierung zu überspringen.
  8. Wählen Sie Speichern aus, um den Schlüssel und das Zertifikat hochzuladen und den Alias zu erstellen.

Alias aus einem Zertifikat und einem Schlüssel erstellen (nur Schlüsselspeicher)

So erstellen Sie einen Alias aus einem Zertifikat und einem Schlüssel:

  1. Rufen Sie die Seite „TLS-Schlüsselspeicher“ auf.
  2. Positionieren Sie den Cursor über dem Schlüsselspeicher, um das Aktionsmenü aufzurufen, und klicken Sie auf +.
  3. Geben Sie den Aliasnamen an.
  4. Wählen Sie unter „Zertifikatdetails“ im Drop-down-Menü „Typ“ die Option Zertifikat und Schlüssel aus.
  5. Klicken Sie neben Zertifikatsdatei auf Datei auswählen, gehen Sie zur PEM-Datei mit dem Zertifikat und klicken Sie auf Öffnen.
  6. Wenn der Schlüssel ein Passwort hat, geben Sie das Schlüsselpasswort an. Falls für den Schlüssel kein Passwort festgelegt ist, lassen Sie dieses Feld leer.
  7. Klicken Sie neben Schlüsseldatei auf Datei auswählen, gehen Sie zur PEM-Datei mit dem Schlüssel und klicken Sie auf Öffnen.
  8. Standardmäßig prüft die API, ob das Zertifikat nicht abgelaufen ist. Wählen Sie optional Abgelaufenes Zertifikat zulassen aus, um die Validierung zu überspringen.
  9. Wählen Sie Speichern aus, um den Schlüssel und das Zertifikat hochzuladen und den Alias zu erstellen.

Alias aus einer PKCS12/PFX-Datei erstellen (nur Schlüsselspeicher)

So erstellen Sie einen Alias aus einer PKCS12-Datei, die das Zertifikat und den Schlüssel enthält:

  1. Rufen Sie die Seite „TLS-Schlüsselspeicher“ auf.
  2. Positionieren Sie den Cursor über dem Schlüsselspeicher, um das Aktionsmenü aufzurufen, und klicken Sie auf +.
  3. Geben Sie den Aliasnamen an.
  4. Wählen Sie unter „Certificate details“ (Zertifikatdetails) im Drop-down-Menü „Type“ (Typ) die Option PKCS12/PFX aus.
  5. Klicken Sie neben PKCS12/PFX auf Datei auswählen, gehen Sie zur Datei mit dem Schlüssel und dem Zertifikat und klicken Sie auf Öffnen.
  6. Wenn der Schlüssel ein Passwort hat, geben Sie das Passwort für die PKCS12/PFX-Datei an. Falls der Schlüssel kein Passwort hat, lassen Sie dieses Feld leer.
  7. Standardmäßig prüft die API, ob das Zertifikat nicht abgelaufen ist. Wählen Sie optional Abgelaufenes Zertifikat zulassen aus, um die Validierung zu überspringen.
  8. Wählen Sie Speichern aus, um die Datei hochzuladen und den Alias zu erstellen.

Alias aus einem selbst signierten Zertifikat erstellen (nur Schlüsselspeicher)

Wenn Sie einen Alias erstellen möchten, der ein selbst signiertes Zertifikat verwendet, füllen Sie ein Formular mit den erforderlichen Informationen zum Erstellen des Zertifikats aus. Edge erstellt dann das Zertifikat und ein privates Schlüsselpaar und lädt sie in den Alias hoch.

So erstellen Sie einen Alias aus einem selbst signierten Zertifikat:

  1. Rufen Sie die Seite „TLS-Schlüsselspeicher“ auf.
  2. Positionieren Sie den Cursor über dem Schlüsselspeicher, um das Aktionsmenü aufzurufen, und klicken Sie auf +.
  3. Geben Sie den Aliasnamen an.
  4. Wählen Sie unter „Certificate details“ (Zertifikatdetails) im Drop-down-Menü „Type“ (Typ) die Option Selbst signiertes Zertifikat aus.
  5. Füllen Sie das Formular mithilfe der Tabelle unten aus.
  6. Wählen Sie Speichern aus, um das Zertifikat und den privaten Schlüsselpaar zu erstellen und in den Alias hochzuladen.

Das generierte Zertifikat enthält die folgenden zusätzlichen Felder:

  • Aussteller
    Die Entität, die das Zertifikat unterzeichnet und ausgestellt hat. Bei einem selbst signierten Zertifikat ist dies der CN, den Sie beim Erstellen des Zertifikats angegeben haben.
  • Gültigkeit
    Der Gültigkeitszeitraum des Zertifikats, dargestellt aus zwei Datumsangaben: dem Datum, an dem der Gültigkeitszeitraum des Zertifikats beginnt, und dem Datum, an dem der Gültigkeitszeitraum des Zertifikats endet. Beide können als UTCTime- oder GeneralizedTime-Werte codiert werden.

In der folgenden Tabelle werden die Formularfelder beschrieben:

Formularfeld Beschreibung Standard Erforderlich
Aliasname Alias name. Maximale Länge: 128 Zeichen. Ja
Schlüsselgröße Größe des Schlüssels in Bit. Der Standardwert ist 2.048 Bit. 2.048 Nein
Signaturalgorithmus Signaturalgorithmus zum Generieren des privaten Schlüssels. Gültige Werte sind „SHA512withRSA“, „SHA384withRSA“ und „SHA256withRSA“ (Standardeinstellung). SHA-256mitRSA Nein
Gültigkeit des Zertifikats in Tagen Gültigkeitsdauer des Zertifikats in Tagen. Akzeptiert einen positiven Wert ungleich null. 365 Nein
Gemeinsamer Name Der allgemeine Name (Common Name, CN) der Organisation gibt die voll qualifizierten Domainnamen an, die mit dem Zertifikat verknüpft sind. Sie besteht normalerweise aus einem Host und einem Domainnamen. Beispiel: api.enterprise.apigee.com, www.apigee.com usw. Die maximale Länge beträgt 64 Zeichen.

Je nach Zertifikatstyp kann das CN ein oder mehrere Hostnamen aus derselben Domain (z.B. beispiel.de, www.beispiel.de), ein Platzhaltername (z.B. *.beispiel.de) oder eine Liste von Domains sein. Geben Sie kein Protokoll (http:// oder https://), keine Portnummer und keinen Ressourcenpfad an.

Das Zertifikat ist nur gültig, wenn der Hostname der Anfrage mit mindestens einem der allgemeinen Namen des Zertifikats übereinstimmt.

Ja
E-Mail E-Mail-Adresse. Maximale Länge: 255 Zeichen Nein
Name der Organisationseinheit Name des Organisationsteams. Maximale Länge: 64 Zeichen Nein
Name der Organisation Name der Organisation. Maximale Länge: 64 Zeichen Nein
Ort Name der Stadt. Maximale Länge: 128 Zeichen. Nein
Bundesland Bundesland/Kanton. Maximale Länge: 128 Zeichen. Nein
Land Ländercode aus zwei Buchstaben. Beispiel: IN für Indien, USA für die USA. Nein
Alternative Namen Liste alternativer Hostnamen. Lässt zu, dass zusätzliche Identitäten an den Subjekt des Zertifikats gebunden werden können. Zu den definierten Optionen gehören eine elektronische Internetadresse, ein DNS-Name, eine IP-Adresse und eine URI (Uniform Resource Identifier).

Maximal 255 Zeichen pro Wert. Sie können Namen durch Kommas trennen oder nach jedem Namen die Eingabetaste drücken.

Nein

Schlüsselspeicher oder Truststore testen

Sie können den Truststore und den Schlüsselspeicher in der Edge-UI testen, um zu prüfen, ob sie ordnungsgemäß konfiguriert sind. Die Test-UI validiert eine TLS-Anfrage von Edge an einen Back-End-Dienst. Der Back-End-Dienst kann so konfiguriert werden, dass er One-Way- oder Zwei-Wege-TLS unterstützt.

So testen Sie One-Way-TLS:

  1. Rufen Sie die Seite „TLS-Schlüsselspeicher“ auf.
  2. Wählen Sie die Umgebung aus (in der Regel prod oder test).
  3. Bewegen Sie den Mauszeiger auf den TLS-Schlüsselspeicher, den Sie testen möchten, um das Aktionsmenü aufzurufen, und klicken Sie auf Test. Das folgende Dialogfeld mit dem Namen des Truststores wird angezeigt:
  4. Geben Sie den Hostnamen des Back-End-Dienstes ein.
  5. Geben Sie die TLS-Portnummer ein (in der Regel 443).
  6. Geben Sie optional Protokolle oder Chiffren an.
  7. Wählen Sie Testen aus.

So testen Sie die Zwei-Wege-TLS-Authentifizierung:

  1. Wählen Sie für den gewünschten Truststore die Schaltfläche Test (Testen) aus.
  2. Wählen Sie im Dialogfeld für SSL Test Type (SSL-Testtyp) die Option Two Way (Zwei Möglichkeiten) aus. Das folgende Dialogfeld wird angezeigt:
  3. Geben Sie den Namen des in Zweiwege-TLS verwendeten Schlüsselspeichers an.
  4. Geben Sie den Aliasnamen im Schlüsselspeicher an, der das Zertifikat und den Schlüssel enthält.
  5. Geben Sie den Hostnamen des Back-End-Dienstes ein.
  6. Geben Sie die TLS-Portnummer ein (in der Regel 443).
  7. Geben Sie optional Protokolle oder Chiffren an.
  8. Wählen Sie Testen aus.

Einem Truststore ein Zertifikat für Zwei-Wege-TLS hinzufügen

Wenn Sie Zwei-Wege-TLS für eingehende Verbindungen verwenden, d. h. eine API-Anfrage an Edge, enthält der Truststore ein Zertifikat oder eine CA-Kette für jeden Client, der Anfragen an Edge senden darf.

Wenn Sie den Truststore zum ersten Mal konfigurieren, können Sie alle Zertifikate für die bekannten Clients hinzufügen. Mit der Zeit kann es jedoch sinnvoll sein, dem Truststore weitere Zertifikate hinzuzufügen, wenn Sie neue Clients hinzufügen.

So fügen Sie einem Truststore neue Zertifikate hinzu, die für Zwei-Wege-TLS verwendet werden:

  1. Achten Sie darauf, einen Verweis auf den Truststore im virtuellen Host zu verwenden.
  2. Laden Sie ein neues Zertifikat in den Truststore hoch, wie oben unter Alias aus einem Zertifikat erstellen (nur Truststore) beschrieben.
  3. Aktualisieren Sie die Truststore-Referenz, um sie auf denselben Wert zu setzen. Dieses Update führt dazu, dass Edge den Truststore und das neue Zertifikat neu lädt.

    Weitere Informationen findest du unter Referenz ändern.

Schlüsselspeicher/Truststore oder Alias löschen

Seien Sie vorsichtig, wenn Sie einen Schlüsselspeicher/Truststore oder einen Alias löschen. Wenn Sie einen Schlüsselspeicher, Truststore oder Alias löschen, der von einem virtuellen Host, Zielendpunkt oder Zielserver verwendet wird, schlagen alle API-Aufrufe über den virtuellen Host oder den Zielendpunkt/Zielserver fehl.

So löschen Sie in der Regel einen Schlüsselspeicher/Truststore oder einen Alias:

  1. Erstellen Sie wie oben beschrieben einen neuen Schlüsselspeicher/Truststore oder Alias.
  2. Aktualisieren Sie bei eingehenden Verbindungen, d. h. einer API-Anfrage an Edge, die Konfiguration des virtuellen Hosts, um auf den neuen Schlüsselspeicher und den Schlüsselalias zu verweisen.
  3. Für ausgehende Verbindungen, d. h. von Apigee zu einem Back-End-Server:
    1. Aktualisieren Sie die TargetEndpoint-Konfiguration für alle API-Proxys, die auf den alten Schlüsselspeicher und den alten Schlüsselalias verwiesen haben, um auf den neuen Schlüsselspeicher und den Schlüsselalias zu verweisen. Wenn Ihr TargetEndpoint auf einen TargetServer verweist, aktualisieren Sie die TargetServer-Definition, um auf den neuen Schlüsselspeicher und den Schlüsselalias zu verweisen.
    2. Wenn in der TargetEndpoint-Definition direkt auf den Schlüsselspeicher und den Truststore verwiesen wird, müssen Sie den Proxy noch einmal bereitstellen. Wenn der TargetEndpoint auf eine Zielserverdefinition und die TargetServer-Definition auf den Schlüsselspeicher und den Truststore verweist, ist keine erneute Proxybereitstellung erforderlich.
  4. Prüfen Sie, ob Ihre API-Proxys ordnungsgemäß funktionieren.
  5. Löschen Sie den Schlüsselspeicher/Truststore oder den Alias.

Schlüsselspeicher löschen

Sie können einen Schlüsselspeicher oder Truststore löschen. Positionieren Sie dazu den Cursor über dem Schlüsselspeicher oder Truststore in der Liste und klicken Sie auf . Wenn Sie einen Schlüsselspeicher oder Truststore löschen, der von einem virtuellen Host oder einem Zielendpunkt/Zielserver verwendet wird, schlagen alle API-Aufrufe über den virtuellen Host oder den Zielendpunkt/Zielserver fehl.

Achtung: Sie sollten einen Schlüsselspeicher erst löschen, wenn Sie Ihre virtuellen Hosts und Zielendpunkte/Zielserver für die Verwendung eines neuen Schlüsselspeichers konvertiert haben.

Alias löschen

Sie können einen Alias löschen, indem Sie den Cursor über den Alias in der Liste bewegen, um das Aktionsmenü anzuzeigen, und auf klicken. Wenn Sie einen Alias löschen, der von einem virtuellen Host oder einem Zielendpunkt/Zielserver verwendet wird, schlagen alle API-Aufrufe über den virtuellen Host oder den Zielendpunkt/Zielserver fehl.

Achtung: Sie sollten einen Alias erst löschen, wenn Sie Ihre virtuellen Hosts und Zielendpunkte/Zielserver in die Verwendung eines neuen Schlüsselspeichers und Alias konvertiert haben.