ایجاد keystore و truststore با استفاده از Edge UI

شما در حال مشاهده اسناد Apigee Edge هستید.
به مستندات Apigee X بروید . اطلاعات

این سند نحوه ایجاد، تغییر، و حذف کلیدها و ذخیره‌سازی‌های اعتماد را برای Edge برای Cloud و برای Edge برای Private Cloud نسخه‌های 4.18.01 و جدیدتر شرح می‌دهد.

درباره فروشگاه‌های کلید/قابل اعتماد و میزبان‌های مجازی برای Edge Cloud

فرآیند ایجاد keystores/truststores برای Edge Cloud مستلزم این است که تمام قوانین استفاده از هاست های مجازی را رعایت کنید. به عنوان مثال، با میزبان های مجازی در Cloud:

  • هاست های مجازی باید از TLS استفاده کنند.
  • هاست های مجازی فقط می توانند از پورت 443 استفاده کنند.
  • باید از یک گواهی TLS امضا شده استفاده کنید. گواهی نامه های بدون امضا برای استفاده با میزبان های مجازی در Cloud مجاز نیستند.
  • نام دامنه مشخص شده توسط گواهی TLS باید با نام مستعار میزبان میزبان مجازی مطابقت داشته باشد.

بیشتر بدانید:

پیاده سازی keystores و truststores در Edge

برای پیکربندی عملکردی که به زیرساخت کلید عمومی متکی است، مانند TLS، باید ذخیره‌سازی کلید و ذخیره‌سازی اعتماد ایجاد کنید که حاوی کلیدهای لازم و گواهی‌های دیجیتال باشد.

در Edge، ذخیره‌های کلید و Truststores هر دو توسط یک موجودیت ذخیره‌سازی کلید نشان داده می‌شوند که حاوی یک یا چند نام مستعار است. یعنی هیچ تفاوت پیاده سازی بین keystore و truststore در Edge وجود ندارد.

تفاوت بین keystore و truststore از انواع ورودی‌هایی که در آن‌ها وجود دارد و نحوه استفاده از آنها در دست دادن TLS ناشی می‌شود:

  • keystore - یک موجودیت ذخیره کلید که حاوی یک یا چند نام مستعار است، که در آن هر نام مستعار شامل یک جفت گواهی/کلید است.
  • Truststore - یک موجودیت ذخیره کلید که حاوی یک یا چند نام مستعار است که در آن هر نام مستعار فقط حاوی یک گواهی است.

هنگام پیکربندی TLS برای یک میزبان مجازی یا نقطه پایانی هدف، ذخیره‌سازی کلید و ذخیره‌سازی اعتماد نقش‌های متفاوتی را در فرآیند دست دادن TLS ارائه می‌کنند. هنگام پیکربندی یک میزبان مجازی یا نقطه پایانی هدف، ذخیره‌های کلید و ذخیره‌های اعتماد را به طور جداگانه در تگ <SSLInfo> مشخص می‌کنید، همانطور که در زیر برای یک میزبان مجازی نشان داده شده است:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>false</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
    </SSLInfo>
</VirtualHost>

در این مثال، شما نام keystore و نام مستعار استفاده شده توسط میزبان مجازی برای ذخیره کلید TLS خود را مشخص می کنید. شما از یک مرجع برای تعیین نام فروشگاه کلید استفاده می کنید تا بتوانید بعداً زمانی که گواهی منقضی شد آن را تغییر دهید. نام مستعار شامل یک جفت گواهی/کلید است که برای شناسایی میزبان مجازی به مشتری TLS که به میزبان مجازی دسترسی دارد استفاده می شود. در این مثال، نیازی به Truststore نیست.

اگر به یک Truststore نیاز است، برای مثال برای یک پیکربندی TLS دو طرفه، از تگ <TrustStore> برای مشخص کردن Truststore استفاده کنید:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>true</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
        <TrustStore>ref://truststoreref</TrustStore>
    </SSLInfo>
</VirtualHost>

در این مثال، تگ <TrustStore> تنها به یک فروشگاه کلید ارجاع می دهد، اما نام مستعار خاصی را مشخص نمی کند. هر نام مستعار در فروشگاه کلید حاوی یک گواهی یا یک زنجیره گواهی است که به عنوان بخشی از فرآیند دست دادن TLS استفاده می شود.

فرمت های گواهی پشتیبانی شده

قالب آپلود API و UI پشتیبانی می شود به شمال پشتیبانی می شود تایید شد
PEM بله بله بله
* PKCS12 بله بله بله
توجه: Apigee به صورت داخلی تبدیل می شود
PKCS12 به PEM.
* DER خیر خیر بله
* PKCS7 خیر خیر خیر

* توصیه می کنیم در صورت امکان از PEM استفاده کنید.

استفاده از کلیدهای PKCS12 با Edge برای Private Cloud 4.53.00 یا جدیدتر

اگر از Edge برای Private Cloud 4.53.00 یا جدیدتر استفاده می‌کنید، باید فقط از فروشگاه کلید PKCS12 برای آپلود کلیدها و گواهی‌های مرتبط در Apigee استفاده کنید. برای کمک به تبدیل کلیدها و گواهی‌های موجود به قالب PKCS12/PFX، به تبدیل گواهی‌ها به فرمت پشتیبانی‌شده مراجعه کنید.

درباره پیاده سازی نام مستعار

در Edge، یک keystore حاوی یک یا چند نام مستعار است که در آن هر نام مستعار شامل:

  • گواهی TLS به عنوان یک فایل PEM یا PKCS12/PFX - یا گواهی امضا شده توسط یک مرجع گواهی (CA)، یک فایل حاوی زنجیره ای از گواهی ها که در آن آخرین گواهی توسط یک CA امضا شده است، یا یک گواهی خودامضا.
  • کلید خصوصی به عنوان فایل PEM یا PKCS12/PFX. Edge از اندازه های کلید تا 2048 بیت پشتیبانی می کند. عبارت عبور اختیاری است.

در Edge، یک Truststore حاوی یک یا چند نام مستعار است که در آن هر نام مستعار حاوی یک نام است:

  • گواهی TLS به عنوان یک فایل PEM - یا گواهی امضا شده توسط یک مرجع گواهی (CA)، زنجیره ای از گواهی ها که در آن آخرین گواهی توسط یک CA امضا شده است، یا یک گواهی خودامضا.

Edge یک UI و API ارائه می‌کند که از آنها برای ایجاد ذخیره‌سازی کلید، ایجاد نام مستعار، آپلود جفت‌های گواهی/کلید و به‌روزرسانی گواهی‌ها استفاده می‌کنید. UI و API که برای ایجاد یک Truststore استفاده می کنید، همان چیزی است که برای ایجاد یک keystore استفاده می کنید. تفاوت این است که وقتی یک Truststore ایجاد می‌کنید، نام مستعاری ایجاد می‌کنید که فقط حاوی یک گواهی است.

درباره فرمت فایل های گواهی و کلید

می‌توانید گواهی‌ها و کلیدها را به‌عنوان فایل‌های PEM یا فایل‌های PKCS12/PFX نشان دهید. فایل های PEM با فرمت X.509 مطابقت دارند. اگر گواهی یا کلید خصوصی شما توسط یک فایل PEM تعریف نشده است، می توانید با استفاده از ابزارهایی مانند openssl آن را به یک فایل PEM تبدیل کنید.

با این حال، بسیاری از فایل‌های crt. و فایل‌های کلیدی از قبل در قالب PEM هستند. اگر این فایل ها فایل های متنی هستند و در موارد زیر قرار می گیرند:

-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----

یا:

-----BEGIN ENCRYPTED PRIVATE KEY-----
-----END ENCRYPTED PRIVATE KEY-----

سپس فایل‌ها با فرمت PEM سازگار هستند و می‌توانید بدون تبدیل آنها به فایل PEM از آنها در فروشگاه کلید یا Truststore استفاده کنید.

درباره زنجیره های گواهی

اگر گواهی بخشی از یک زنجیره باشد، بر اساس اینکه گواهی در فروشگاه کلید یا Truststore استفاده می‌شود، آن را به طور متفاوتی مدیریت می‌کنید:

  • Keystore - اگر یک گواهی بخشی از یک زنجیره است، باید یک فایل منفرد حاوی تمام گواهی‌های زنجیره ایجاد کنید. گواهینامه ها باید مرتب باشند و آخرین گواهی باید گواهی ریشه یا گواهی میانی باشد که توسط گواهی ریشه امضا شده باشد.
  • Truststore - اگر یک گواهی بخشی از یک زنجیره است، پس باید یا یک فایل واحد حاوی تمام گواهی ها ایجاد کنید و آن فایل را در یک نام مستعار آپلود کنید، یا تمام گواهی های موجود در زنجیره را به طور جداگانه در Truststore با استفاده از نام مستعار متفاوت برای هر گواهی آپلود کنید. اگر آنها را به عنوان یک گواهی آپلود کنید، گواهینامه ها باید مرتب باشند و آخرین گواهی باید گواهی ریشه یا گواهی میانی باشد که با گواهی ریشه امضا شده باشد.
  • اگر یک فایل واحد ایجاد می کنید که حاوی چندین گواهی است، باید یک خط خالی بین هر گواهی وارد کنید.

برای مثال، می‌توانید تمام گواهی‌ها را در یک فایل PEM ترکیب کنید. گواهینامه ها باید مرتب باشند و آخرین گواهی باید یک گواهی ریشه یا یک گواهی میانی باشد که توسط یک گواهی ریشه امضا شده است:

-----BEGIN CERTIFICATE----- 
(Your Primary TLS certificate) 
-----END CERTIFICATE----- 

-----BEGIN CERTIFICATE----- 
(Intermediate certificate) 
-----END CERTIFICATE-----
 
-----BEGIN CERTIFICATE----- 
(Root certificate or intermediate certificate signed by a root certificate) 
-----END CERTIFICATE-----

اگر گواهی‌های شما به صورت فایل‌های PKCS12/PFX نشان داده می‌شوند، می‌توانید از دستور openssl برای ایجاد یک فایل PKCS12/PFX از زنجیره گواهی‌ها، مانند شکل زیر استفاده کنید:

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

هنگام کار با زنجیره های گواهی در فروشگاه اعتماد، همیشه مجبور نیستید همه گواهی های موجود در زنجیره را آپلود کنید. برای مثال، شما یک گواهی مشتری، client_cert_1 ، و گواهی صادرکننده گواهی مشتری، ca_cert را آپلود می کنید.

در طول احراز هویت دو طرفه TLS، احراز هویت مشتری زمانی موفق می شود که سرور client_cert_1 به عنوان بخشی از فرآیند دست دادن TLS برای مشتری ارسال کند.

از طرف دیگر، شما یک گواهی دوم دارید، client_cert_2 ، که توسط همان گواهی امضا شده است، ca_cert . با این حال، شما client_cert_2 را در Truststore آپلود نمی کنید. Truststore هنوز فقط شامل client_cert_1 و ca_cert است.

وقتی سرور client_cert_2 به عنوان بخشی از دست دادن TLS ارسال می کند، درخواست با موفقیت انجام می شود. این به این دلیل است که Edge به تأیید TLS اجازه می دهد زمانی که client_cert_2 در Truststore وجود نداشته باشد اما توسط گواهی موجود در truststore امضا شده باشد. اگر گواهی CA، ca_cert را از فروشگاه اعتماد حذف کنید، تأیید TLS ناموفق است.

ملاحظات FIPS

اگر از Edge برای Private Cloud نسخه 4.53.00 یا جدیدتر در سیستم عامل مجهز به FIPS استفاده می‌کنید، باید فقط از فروشگاه کلید PKCS12 برای آپلود کلیدها و گواهی‌های مرتبط در Apigee استفاده کنید.

صفحه کلیدهای TLS را کاوش کنید

همانطور که در زیر توضیح داده شده است به صفحه TLS Keystores دسترسی پیدا کنید.

لبه

برای دسترسی به صفحه کلیدهای TLS با استفاده از رابط کاربری Edge:

  1. به عنوان مدیر سازمان وارد https://apigee.com/edge شوید.
  2. سازمان خود را انتخاب کنید
  3. Admin > Environment > Keystores TLS را انتخاب کنید.

Classic Edge (ابر خصوصی)

برای دسترسی به صفحه کلیدهای TLS با استفاده از رابط کاربری Classic Edge:

  1. به عنوان مدیر سازمان وارد http:// ms-ip :9000 شوید، جایی که ms-ip آدرس IP یا نام DNS گره مدیریت سرور است.
  2. سازمان خود را انتخاب کنید
  3. Admin > Environment Configuration > TLS Keystores را انتخاب کنید.

صفحه کلیدهای TLS نمایش داده می شود:

همانطور که در شکل قبلی مشخص شده است، صفحه کلیدهای TLS به شما امکان می دهد:

مشاهده نام مستعار

برای مشاهده نام مستعار:

  1. به صفحه کلیدهای TLS دسترسی پیدا کنید .
  2. محیط را انتخاب کنید (معمولاً prod یا test ).
  3. روی ردیف مرتبط با نام مستعار مورد نظر برای مشاهده کلیک کنید.

    جزئیات مربوط به گواهی نام مستعار و کلید نمایش داده می شود.

    شما می توانید تمام اطلاعات مربوط به نام مستعار، از جمله تاریخ انقضا را مشاهده کنید.

  4. گواهی را با استفاده از دکمه های بالای صفحه مدیریت کنید تا:
    • گواهی را به عنوان یک فایل PEM دانلود کنید.
    • یک CSR ایجاد کنید. اگر گواهی منقضی شده ای دارید و می خواهید آن را تمدید کنید، می توانید یک درخواست امضای گواهی (CSR) را دانلود کنید. سپس CSR را برای دریافت گواهی جدید به CA خود ارسال می کنید.
    • یک گواهی را به روز کنید. احتیاط : اگر گواهینامه‌ای را به‌روزرسانی می‌کنید که در حال حاضر توسط یک میزبان مجازی یا سرور هدف/نقطه پایانی هدف استفاده می‌شود، باید با پشتیبانی Apigee Edge تماس بگیرید تا روترها و پردازشگرهای پیام را مجدداً راه‌اندازی کنید. روش توصیه شده برای به روز رسانی گواهی این است که:
      1. یک فروشگاه کلید یا Truststore جدید ایجاد کنید.
      2. گواهی جدید را به فروشگاه کلید یا Truststore جدید اضافه کنید.
      3. مرجع موجود در میزبان مجازی یا سرور هدف/نقطه پایانی هدف را به فروشگاه کلید یا Truststore به روز کنید. برای اطلاعات بیشتر به به روز رسانی گواهی TLS برای Cloud مراجعه کنید.
      4. نام مستعار را حذف کنید. توجه : اگر نام مستعار را حذف کنید و در حال حاضر توسط یک میزبان مجازی یا نقطه پایانی هدف استفاده می شود، میزبان مجازی یا نقطه پایانی هدف از کار می افتد.

یک keystore/truststore و نام مستعار ایجاد کنید

شما می توانید یک فروشگاه کلید برای استفاده به عنوان ذخیره کلید TLS یا Truststore TLS ایجاد کنید. یک فروشگاه کلید مخصوص یک محیط در سازمان شما است، به عنوان مثال محیط آزمایش یا تولید. بنابراین، اگر می خواهید فروشگاه کلید را در یک محیط آزمایشی قبل از استقرار آن در محیط تولید خود آزمایش کنید، باید آن را در هر دو محیط ایجاد کنید.

برای ایجاد keystore در یک محیط، فقط باید نام keystore را مشخص کنید. بعد از اینکه یک keystore با نام در یک محیط ایجاد کردید، سپس می توانید نام مستعار ایجاد کنید و یک جفت گواهی/کلید (keystore) آپلود کنید یا فقط یک گواهی (truststore) را در نام مستعار آپلود کنید.

برای ایجاد یک فروشگاه کلید:

  1. به صفحه کلیدهای TLS دسترسی پیدا کنید .
  2. محیط را انتخاب کنید (معمولاً prod یا test ).
  3. روی + Keystore کلیک کنید.
  4. نام keystore را مشخص کنید. نام فقط می تواند شامل نویسه های الفبایی باشد.
  5. روی Add Keystore کلیک کنید. ذخیره کلید جدید در لیست ظاهر می شود.
  6. برای افزودن نام مستعار از یکی از روش های زیر استفاده کنید. همچنین به فرمت های فایل گواهی پشتیبانی شده مراجعه کنید.

ایجاد نام مستعار از یک گواهی (فقط Truststore)

برای ایجاد نام مستعار از یک گواهی:

  1. به صفحه کلیدهای TLS دسترسی پیدا کنید .
  2. مکان نما را روی کلید ذخیره قرار دهید تا منوی عملکرد نمایش داده شود و روی + کلیک کنید.
  3. نام مستعار را مشخص کنید.
  4. در قسمت جزئیات گواهی، در منوی کشویی Type فقط گواهی را انتخاب کنید.
  5. روی Choose File در کنار Certificate File کلیک کنید، به فایل PEM حاوی گواهینامه بروید و روی Open کلیک کنید.
  6. به طور پیش فرض، API بررسی می کند که گواهی منقضی نشده باشد. به صورت اختیاری Allow Expired Certificate را برای رد شدن از اعتبارسنجی انتخاب کنید.
  7. ذخیره را برای آپلود گواهی و ایجاد نام مستعار انتخاب کنید.

ایجاد نام مستعار از یک فایل JAR (فقط فروشگاه کلید)

برای ایجاد نام مستعار از یک فایل JAR:

  1. به صفحه کلیدهای TLS دسترسی پیدا کنید .
  2. مکان نما را روی کلید ذخیره قرار دهید تا منوی عملکرد نمایش داده شود و روی + کلیک کنید.
  3. نام مستعار را مشخص کنید.
  4. در قسمت جزئیات گواهی، فایل JAR را در منوی کشویی Type انتخاب کنید.
  5. روی Choose File در کنار فایل JAR کلیک کنید، به فایل JAR حاوی گواهی و کلید بروید و روی Open کلیک کنید.
  6. اگر کلید دارای رمز عبور است، رمز عبور را مشخص کنید. اگر کلید رمز عبور ندارد، این قسمت را خالی بگذارید.
  7. به طور پیش فرض، API بررسی می کند که گواهی منقضی نشده باشد. به صورت اختیاری Allow Expired Certificate را برای رد شدن از اعتبارسنجی انتخاب کنید.
  8. برای آپلود کلید و گواهی و ایجاد نام مستعار، ذخیره را انتخاب کنید.

ایجاد نام مستعار از گواهی و کلید (فقط فروشگاه کلید)

برای ایجاد نام مستعار از گواهی و کلید:

  1. به صفحه کلیدهای TLS دسترسی پیدا کنید .
  2. مکان نما را روی کلید ذخیره قرار دهید تا منوی عملکرد نمایش داده شود و روی + کلیک کنید.
  3. نام مستعار را مشخص کنید.
  4. در قسمت جزئیات گواهی، Certificate و Key را در منوی کشویی Type انتخاب کنید.
  5. روی Choose File در کنار Certificate File کلیک کنید، به فایل PEM حاوی گواهینامه بروید و روی Open کلیک کنید.
  6. اگر کلید دارای رمز عبور است، رمز عبور کلید را مشخص کنید. اگر کلید رمز عبور ندارد، این قسمت را خالی بگذارید.
  7. روی Choose File در کنار Key File کلیک کنید، به فایل PEM حاوی کلید بروید و روی Open کلیک کنید.
  8. به طور پیش فرض، API بررسی می کند که گواهی منقضی نشده باشد. به صورت اختیاری Allow Expired Certificate را برای رد شدن از اعتبارسنجی انتخاب کنید.
  9. برای آپلود کلید و گواهی و ایجاد نام مستعار، ذخیره را انتخاب کنید.

ایجاد نام مستعار از یک فایل PKCS12/PFX (فقط فروشگاه کلید)

برای ایجاد نام مستعار از یک فایل PKCS12 حاوی گواهی و کلید:

  1. به صفحه کلیدهای TLS دسترسی پیدا کنید .
  2. مکان نما را روی کلید ذخیره قرار دهید تا منوی عملکرد نمایش داده شود و روی + کلیک کنید.
  3. نام مستعار را مشخص کنید.
  4. در قسمت جزئیات گواهی، PKCS12/PFX را در منوی کشویی Type انتخاب کنید.
  5. روی Choose File در کنار PKCS12/PFX کلیک کنید، به فایل حاوی کلید و گواهی بروید و روی Open کلیک کنید.
  6. اگر کلید دارای رمز عبور است، رمز عبور فایل PKCS12/PFX را مشخص کنید. اگر کلید رمز عبور ندارد، این قسمت را خالی بگذارید.
  7. به طور پیش فرض، API بررسی می کند که گواهی منقضی نشده باشد. به صورت اختیاری Allow Expired Certificate را برای رد شدن از اعتبارسنجی انتخاب کنید.
  8. ذخیره را برای آپلود فایل و ایجاد نام مستعار انتخاب کنید.

ایجاد یک نام مستعار از یک گواهی خود امضا شده (فقط فروشگاه کلید)

برای ایجاد نام مستعار که از گواهی امضا شده استفاده می‌کند، فرمی را پر می‌کنید که اطلاعات لازم برای ایجاد گواهی را دارد. سپس Edge گواهی و یک جفت کلید خصوصی را ایجاد می کند و آنها را در نام مستعار آپلود می کند.

برای ایجاد نام مستعار از گواهی امضا شده:

  1. به صفحه کلیدهای TLS دسترسی پیدا کنید .
  2. مکان نما را روی کلید ذخیره قرار دهید تا منوی عملکرد نمایش داده شود و روی + کلیک کنید.
  3. نام مستعار را مشخص کنید.
  4. در قسمت جزئیات گواهی، در منوی کشویی تایپ ، گواهی خود امضا شده را انتخاب کنید.
  5. با استفاده از جدول زیر فرم را پر کنید.
  6. برای ایجاد جفت کلید گواهی و خصوصی و آپلود آنها در نام مستعار، ذخیره را انتخاب کنید.

در گواهی تولید شده، فیلدهای اضافی زیر را مشاهده خواهید کرد:

  • صادر کننده
    نهادی که گواهی را امضا و صادر کرده است. برای گواهی خودامضا، این همان CN است که هنگام ایجاد گواهی مشخص کردید.
  • اعتبار
    دوره اعتبار گواهی به صورت دو تاریخ نشان داده می شود: تاریخی که دوره اعتبار گواهی شروع می شود و تاریخی که دوره اعتبار گواهی پایان می یابد. هر دو را می توان به عنوان مقادیر UTCTime یا GeneralizedTime کدگذاری کرد.

جدول زیر فیلدهای فرم را توضیح می دهد:

فیلد فرم توضیحات پیش فرض مورد نیاز
نام مستعار نام مستعار. حداکثر طول 128 کاراکتر است. N/A بله
اندازه کلید اندازه کلید بر حسب بیت مقدار پیش فرض و حداکثر 2048 بیت است. 2048 خیر
الگوریتم امضا الگوریتم امضا برای تولید کلید خصوصی. مقادیر معتبر «SHA512withRSA»، «SHA384withRSA» و «SHA256withRSA» (پیش‌فرض) هستند. SHA256withRSA خیر
اعتبار گواهی در روز مدت اعتبار گواهی، بر حسب روز. مقدار مثبت غیر صفر را می پذیرد. 365 خیر
نام مشترک نام مشترک (CN) سازمان، نام(های) دامنه کاملا واجد شرایط مرتبط با گواهی را مشخص می کند. معمولاً توسط یک میزبان و یک نام دامنه تشکیل شده است. به عنوان مثال، api.enterprise.apigee.com، www.apigee.com، و غیره حداکثر طول 64 کاراکتر است.

بسته به نوع گواهی ، CN می‌تواند یک یا چند نام میزبان متعلق به یک دامنه (مانند example.com، www.example.com)، یک نام واژگان (مثلا *.example.com) یا فهرستی از دامنه‌ها باشد. هیچ پروتکل (http:// یا https://)، شماره پورت یا مسیر منبع را درج نکنید.

گواهی تنها در صورتی معتبر است که نام میزبان درخواست حداقل با یکی از نام‌های رایج گواهی مطابقت داشته باشد.

 N/A بله
ایمیل آدرس ایمیل. حداکثر طول 255 کاراکتر است. N/A خیر
نام واحد سازمانی نام تیم سازمان حداکثر طول 64 کاراکتر است. N/A خیر
نام سازمان نام سازمان حداکثر طول 64 کاراکتر است. N/A خیر
محل نام شهر/شهرک حداکثر طول 128 کاراکتر است. N/A خیر
ایالت/استان نام ایالت/استان حداکثر طول 128 کاراکتر است. N/A خیر
کشور کد کشور دو حرفی به عنوان مثال، IN برای هند، ایالات متحده برای ایالات متحده آمریکا. N/A خیر
نام های جایگزین لیست نام های میزبان جایگزین اجازه می دهد تا هویت های اضافی به موضوع گواهی متصل شود. گزینه های تعریف شده عبارتند از یک آدرس پست الکترونیکی اینترنتی، یک نام DNS، یک آدرس IP و یک شناسه منبع یکسان (URI).

حداکثر 255 کاراکتر برای هر مقدار. می توانید نام ها را با کاما یا با فشار دادن کلید Enter بعد از هر نام جدا کنید.

 N/A خیر

یک keystore یا truststore را تست کنید

می توانید Truststore و Keystore خود را در Edge UI تست کنید تا مطمئن شوید که آنها به درستی پیکربندی شده اند. Test Ui یک درخواست TLS از Edge به یک سرویس Backend را تأیید می کند. سرویس Backend را می توان برای پشتیبانی از TLS یک طرفه یا دو طرفه پیکربندی کرد.

برای تست TLS یک طرفه:

  1. به صفحه کلیدهای TLS دسترسی پیدا کنید .
  2. محیط را انتخاب کنید (معمولاً prod یا test ).
  3. مکان‌نمای خود را روی کلید ذخیره‌سازی TLS که می‌خواهید آزمایش کنید قرار دهید تا منوی عملکردها نمایش داده شود و روی تست کلیک کنید. کادر محاوره ای زیر ظاهر می شود که نام Truststore را نشان می دهد:
  4. نام میزبان سرویس باطن را وارد کنید.
  5. شماره پورت TLS (معمولاً 443) را وارد کنید.
  6. به صورت اختیاری هر پروتکل یا رمزی را مشخص کنید.
  7. تست را انتخاب کنید.

برای تست TLS دو طرفه:

  1. برای Truststore مورد نظر، دکمه Test را انتخاب کنید.
  2. در کادر محاوره ای، Two Way را برای نوع تست SSL انتخاب کنید. کادر محاوره ای زیر ظاهر می شود:
  3. نام keystore مورد استفاده در TLS دو طرفه را مشخص کنید.
  4. نام مستعار را در فروشگاه کلید حاوی گواهی و کلید مشخص کنید.
  5. نام میزبان سرویس باطن را وارد کنید.
  6. شماره پورت TLS (معمولاً 443) را وارد کنید.
  7. به صورت اختیاری هر پروتکل یا رمزی را مشخص کنید.
  8. تست را انتخاب کنید.

برای TLS دو طرفه یک گواهی به فروشگاه اعتماد اضافه کنید

هنگام استفاده از TLS دو طرفه برای اتصالات ورودی ، یعنی درخواست API در Edge، Truststore حاوی یک زنجیره گواهی یا CA برای هر کلاینت مجاز به درخواست به Edge است.

هنگامی که در ابتدا Truststore را پیکربندی می‌کنید، می‌توانید تمام گواهی‌ها را برای مشتریان شناخته شده اضافه کنید. با این حال، با گذشت زمان، ممکن است بخواهید همزمان با اضافه کردن مشتریان جدید، گواهی‌های اضافی را به فروشگاه اعتماد اضافه کنید.

برای افزودن گواهی‌های جدید به یک فروشگاه اعتماد که برای TLS دو طرفه استفاده می‌شود:

  1. اطمینان حاصل کنید که از یک مرجع به Truststore در میزبان مجازی استفاده می کنید.
  2. همانطور که در بالا در ایجاد یک نام مستعار از یک گواهی (فقط Truststore) توضیح داده شد، یک گواهی جدید در فروشگاه اعتماد آپلود کنید.

  3. مرجع Truststore را به روز کنید تا روی همان مقدار تنظیم شود. این به‌روزرسانی باعث می‌شود Edge ذخیره‌سازی اعتماد و گواهی جدید را دوباره بارگیری کند.

    برای اطلاعات بیشتر به اصلاح یک مرجع مراجعه کنید.

ذخیره کلید/truststore یا نام مستعار را حذف کنید

هنگام حذف یک فروشگاه کلید/تراستستور یا نام مستعار باید احتیاط کنید. اگر یک keystore، truststore یا نام مستعاری را که توسط یک میزبان مجازی، نقطه پایانی هدف یا سرور هدف استفاده می‌شود حذف کنید، همه تماس‌های API از طریق میزبان مجازی یا نقطه پایانی/سرور هدف هدف با شکست مواجه می‌شوند.

به طور معمول، فرآیندی که برای حذف یک keystore/truststore یا نام مستعار استفاده می‌کنید به صورت زیر است:

  1. همانطور که در بالا توضیح داده شد، یک keystore/truststore یا نام مستعار جدید ایجاد کنید.
  2. برای اتصالات ورودی ، به معنای درخواست API در Edge، پیکربندی میزبان مجازی را به‌روزرسانی کنید تا به فروشگاه کلید و نام مستعار کلید جدید اشاره کند.
  3. برای اتصالات خروجی ، یعنی از Apigee به یک سرور باطن:
    1. پیکربندی TargetEndpoint را برای هر پراکسی API که به انبار کلید و نام مستعار کلیدی قدیمی اشاره کرده است، به‌روزرسانی کنید تا به فروشگاه کلید و نام مستعار کلید جدید ارجاع داده شود. اگر TargetEndpoint شما به TargetServer ارجاع می دهد، تعریف TargetServer را برای ارجاع به keystore و نام مستعار کلید جدید به روز کنید.
    2. اگر ذخیره کلید و Truststore مستقیماً از تعریف TargetEndpoint ارجاع داده شوند، باید پراکسی را مجدداً مستقر کنید. اگر TargetEndpoint به تعریف TargetServer و تعریف TargetServer به keystore و truststore ارجاع دهد، در این صورت نیازی به استقرار مجدد پروکسی نیست.
  4. تأیید کنید که پراکسی های API شما به درستی کار می کنند.
  5. keystore/truststore یا نام مستعار را حذف کنید.

یک فروشگاه کلید را حذف کنید

می‌توانید با قرار دادن مکان‌نما روی مکان‌نمای کلید یا Trustore در فهرست، یک فروشگاه کلید یا ذخیره‌سازی اعتماد را حذف کنید تا منوی عملکردها نمایش داده شود و کلیک کنید. . اگر یک keystore یا truststore را که توسط یک میزبان مجازی یا سرور هدف/نقطه پایانی/هدف استفاده می‌شود حذف کنید، همه تماس‌های API از طریق میزبان مجازی یا نقطه پایانی/سرور هدف هدف با شکست مواجه می‌شوند.

احتیاط : تا زمانی که هاست مجازی خود را تبدیل نکرده اید و نقاط پایانی/سرورهای هدف را برای استفاده از یک فروشگاه کلید جدید هدف قرار داده اید، نباید یک فروشگاه کلید را حذف کنید.

یک نام مستعار را حذف کنید

می‌توانید با قرار دادن مکان‌نما روی نام مستعار موجود در لیست، یک نام مستعار حذف کنید تا منوی اقدامات نمایش داده شود و روی آن کلیک کنید. . اگر نام مستعاری را که توسط میزبان مجازی یا سرور هدف/نقطه پایانی/هدف استفاده می‌شود حذف کنید، همه تماس‌های API از طریق میزبان مجازی یا نقطه پایانی/سرور هدف هدف با شکست مواجه می‌شوند.

احتیاط : نباید نام مستعار را حذف کنید تا زمانی که هاست مجازی خود و نقاط پایانی/سرورهای هدف را برای استفاده از یک فروشگاه کلید و نام مستعار جدید تبدیل کنید.