Edge UI를 사용하여 키 저장소 및 트러스트 저장소 만들기

현재 Apigee Edge 문서가 표시되고 있습니다.
Apigee X 문서로 이동 정보

이 문서에서는 클라우드용 Edge 및 프라이빗 클라우드용 Edge 버전 4.18.01 이상에 대해 키 저장소와 트러스트 저장소를 생성, 수정, 삭제하는 방법을 설명합니다.

Edge Cloud용 keystore/truststores 및 가상 호스트 정보

Edge Cloud용 키 저장소/트러스트 저장소를 만들려면 가상 호스트 사용에 관한 모든 규칙을 따라야 합니다. 클라우드의 가상 호스트를 예시로 들어보겠습니다.

  • 가상 호스트는 TLS를 사용해야 합니다.
  • 가상 호스트는 포트 443만 사용할 수 있습니다.
  • 서명된 TLS 인증서를 사용해야 합니다. 서명되지 않은 인증서는 클라우드의 가상 호스트에서 사용할 수 없습니다.
  • TLS 인증서로 지정된 도메인 이름은 가상 호스트의 호스트 별칭과 일치해야 합니다.

자세히 알아보기:

Edge에서 키 저장소 및 트러스트 저장소 구현

TLS와 같은 공개 키 인프라를 사용하는 기능을 구성하려면 필요한 키와 디지털 인증서가 포함된 키 저장소와 트러스트 저장소를 만들어야 합니다.

Edge에서 키 저장소와 트러스트 저장소는 모두 하나 이상의 별칭이 포함된 키 저장소 항목으로 표시됩니다. 즉, Edge의 키 저장소와 트러스트 저장소 간에 구현 차이가 없습니다.

키 저장소와 truststore의 차이점은 키 저장소에 포함된 항목의 종류와 TLS 핸드셰이크에서 사용되는 방식에서 비롯됩니다.

  • keystore - 별칭이 하나 이상 포함된 키 저장소 항목이며, 각 별칭에는 인증서/키 쌍이 포함됩니다.
  • truststore - 별칭을 하나 이상 포함하는 키 저장소 항목. 각 별칭에는 인증서만 포함됩니다.

가상 호스트 또는 대상 엔드포인트에 TLS를 구성할 때 키 저장소와 트러스트 저장소는 TLS 핸드셰이크 프로세스에서 서로 다른 역할을 제공합니다. 가상 호스트 또는 대상 엔드포인트를 구성할 때는 아래와 같이 가상 호스트에 대해 <SSLInfo> 태그에 키 저장소와 트러스트 저장소를 개별적으로 지정합니다.

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>false</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
    </SSLInfo>
</VirtualHost>

이 예시에서는 TLS 키 저장소에 가상 호스트에서 사용하는 키 저장소 및 별칭의 이름을 지정합니다. 참조를 사용하여 키 저장소 이름을 지정하면 나중에 인증서가 만료될 때 변경할 수 있습니다. 별칭에는 가상 호스트에 액세스하는 TLS 클라이언트에 대해 가상 호스트를 식별하는 데 사용되는 인증서/키 쌍이 포함됩니다. 이 예시에서는 트러스트 저장소가 필요하지 않습니다.

예를 들어 양방향 TLS 구성에 트러스트 저장소가 필요한 경우 <TrustStore> 태그를 사용하여 트러스트 저장소를 지정합니다.

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>true</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
        <TrustStore>ref://truststoreref</TrustStore>
    </SSLInfo>
</VirtualHost>

이 예에서 <TrustStore> 태그는 키 저장소만 참조하며 특정 별칭을 지정하지 않습니다. 키 저장소의 각 별칭에는 TLS 핸드셰이크 프로세스의 일부로 사용되는 인증서 또는 인증서 체인이 포함됩니다.

지원되는 인증서 형식

형식 API 및 UI 업로드 지원 북쪽 방면 지원됨 확인 완료
PEM
* PKCS12
참고: Apigee는 내부적으로
PKCS12를 PEM으로 변환합니다.
* DER 아니요 아니요
* PKCS7 아니요 아니요 아니요

* 가능하면 PEM을 사용하는 것이 좋습니다.

별칭 구현 정보

Edge의 키 저장소에는 하나 이상의 별칭이 포함되며, 각 별칭에는 다음이 포함됩니다.

  • PEM 또는 PKCS12/PFX 파일로 TLS 인증서 - 인증 기관 (CA)이 서명한 인증서, 마지막 인증서가 CA에서 서명한 인증서 체인이 포함된 파일 또는 자체 서명된 인증서
  • PEM 또는 PKCS12/PFX 파일로 비공개 키입니다. Edge는 최대 2048비트의 키 크기를 지원합니다. 암호는 선택사항입니다.

Edge에서 truststore에는 하나 이상의 별칭이 포함되며, 각 별칭에는 다음이 포함됩니다.

  • PEM 파일로 사용되는 TLS 인증서 - 인증 기관(CA)이 서명한 인증서, 마지막 인증서가 CA에서 서명한 인증서 체인 또는 자체 서명된 인증서

Edge는 키 저장소를 만들고, 별칭을 만들고, 인증서/키 쌍을 업로드하고, 인증서를 업데이트하는 데 사용하는 UI와 API를 제공합니다. 트러스트 저장소를 만드는 데 사용하는 UI와 API는 키 저장소를 만드는 데 사용하는 것과 동일합니다. 차이점은 트러스트 저장소를 만들 때 인증서만 포함된 별칭을 만든다는 것입니다.

인증서 및 키 파일의 형식 정보

인증서와 키는 PEM 파일 또는 PKCS12/PFX 파일로 나타낼 수 있습니다. PEM 파일은 X.509 형식을 준수합니다. 인증서 또는 비공개 키가 PEM 파일로 정의되지 않은 경우 openssl와 같은 유틸리티를 사용하여 PEM 파일로 변환할 수 있습니다.

하지만 많은 .crt 파일과 .key 파일은 이미 PEM 형식으로 되어 있습니다. 이러한 파일이 텍스트 파일이며 안에 포함된 경우:

-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----

또는:

-----BEGIN ENCRYPTED PRIVATE KEY-----
-----END ENCRYPTED PRIVATE KEY-----

그러면 파일이 PEM 형식과 호환되며 PEM 파일로 변환하지 않고 키 저장소 또는 트러스트 저장소에서 사용할 수 있습니다.

인증서 체인 정보

인증서가 체인의 일부인 경우 인증서가 키 저장소 또는 트러스트 저장소에서 사용되었는지에 따라 다르게 처리합니다.

  • 키 저장소 - 인증서가 체인의 일부인 경우 체인의 모든 인증서가 포함된 단일 파일을 만들어야 합니다. 인증서가 올바르고 마지막 인증서는 루트 인증서 또는 루트 인증서에서 서명한 중간 인증서여야 합니다.
  • 트러스트 저장소 - 인증서가 체인의 일부인 경우 모든 인증서가 포함된 단일 파일을 만들고 해당 파일을 별칭에 업로드하거나, 각 인증서에 다른 별칭을 사용하여 체인의 모든 인증서를 개별적으로 트러스트 저장소에 업로드해야 합니다. 단일 인증서로 업로드하는 경우 인증서가 순서대로 있어야 하며 마지막 인증서는 루트 인증서 또는 루트 인증서에서 서명한 중간 인증서여야 합니다.
  • 여러 인증서가 포함된 단일 파일을 만드는 경우 각 인증서 사이에 빈 줄을 삽입해야 합니다.

예를 들어 모든 인증서를 단일 PEM 파일로 결합할 수 있습니다. 인증서는 순서대로 있어야 하며 마지막 인증서는 루트 인증서 또는 루트 인증서에서 서명한 중간 인증서여야 합니다.

-----BEGIN CERTIFICATE----- 
(Your Primary TLS certificate) 
-----END CERTIFICATE----- 

-----BEGIN CERTIFICATE----- 
(Intermediate certificate) 
-----END CERTIFICATE-----
 
-----BEGIN CERTIFICATE----- 
(Root certificate or intermediate certificate signed by a root certificate) 
-----END CERTIFICATE-----

인증서가 PKCS12/PFX 파일로 표시되면 아래와 같이 openssl 명령어를 사용하여 인증서 체인에서 PKCS12/PFX 파일을 만들 수 있습니다.

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

트러스트 저장소에서 인증서 체인을 사용할 때 항상 체인의 모든 인증서를 업로드할 필요는 없습니다. 예를 들어 클라이언트 인증서 client_cert_1와 클라이언트 인증서 발급기관의 인증서 ca_cert를 업로드합니다.

양방향 TLS 인증 중에 서버가 TLS 핸드셰이크 프로세스의 일부로 client_cert_1를 클라이언트에 전송하면 클라이언트 인증이 성공합니다.

또는 동일한 인증서 ca_cert로 서명된 두 번째 인증서 client_cert_2가 있습니다. 그러나 client_cert_2는 트러스트 저장소에 업로드하지 않습니다. 트러스트 저장소에는 여전히 client_cert_1ca_cert만 포함됩니다.

서버가 TLS 핸드셰이크의 일부로 client_cert_2를 전달하면 요청이 성공합니다. 이는 client_cert_2가 트러스트 저장소에 존재하지 않지만 트러스트 저장소에 있는 인증서로 서명되었을 때 Edge에서 TLS 확인을 성공적으로 수행하기 때문입니다. 트러스트 저장소에서 CA 인증서 ca_cert을 삭제하면 TLS 확인이 실패합니다.

TLS 키 저장소 페이지 살펴보기

아래에 설명된 대로 TLS 키 저장소 페이지에 액세스합니다.

에지

Edge UI를 사용하여 TLS 키 저장소 페이지에 액세스하려면 다음 안내를 따르세요.

  1. 조직 관리자https://apigee.com/edge에 로그인합니다.
  2. 조직을 선택합니다.
  3. 관리 > 환경 > TLS 키 저장소를 선택합니다.

Classic Edge (Private Cloud)

Classic Edge UI를 사용하여 TLS 키 저장소 페이지에 액세스하려면 다음 안내를 따르세요.

  1. 조직 관리자http://ms-ip:9000에 로그인합니다. 여기서 ms-ip는 관리 서버 노드의 IP 주소 또는 DNS 이름입니다.
  2. 조직을 선택합니다.
  3. 관리 > 환경 구성 > TLS 키 저장소를 선택합니다.

TLS 키 저장소 페이지가 표시됩니다.

이전 그림에서 강조한 것처럼 TLS 키 저장소 페이지를 사용하면 다음을 수행할 수 있습니다.

별칭 보기

별칭을 보려면 다음 단계를 따르세요.

  1. TLS 키 저장소 페이지에 액세스
  2. 환경을 선택합니다(일반적으로 prod 또는 test).
  3. 보려는 별칭과 연결된 행을 클릭합니다.

    별칭 인증서 및 키에 대한 세부정보가 표시됩니다.

    만료일을 포함하여 별칭에 대한 모든 정보를 볼 수 있습니다.

  4. 페이지 상단의 버튼을 사용하여 인증서를 관리하세요.
    • 인증서를 PEM 파일로 다운로드합니다.
    • CSR을 생성합니다. 만료된 인증서가 있고 이를 갱신하려는 경우 인증서 서명 요청 (CSR)을 다운로드할 수 있습니다. 그런 다음 CSR을 CA로 보내 새 인증서를 가져옵니다.
    • 인증서를 업데이트합니다. 주의: 현재 가상 호스트 또는 대상 서버/대상 엔드포인트에서 사용 중인 인증서를 업데이트하는 경우 Apigee Edge 지원에 문의하여 라우터 및 메시지 프로세서를 다시 시작해야 합니다. 인증서를 업데이트할 때 권장되는 방법은 다음과 같습니다.
      1. 새 키 저장소 또는 truststore를 만듭니다.
      2. 새 인증서를 새 키 저장소 또는 트러스트 저장소에 추가합니다.
      3. 가상 호스트 또는 대상 서버/대상 엔드포인트의 참조를 키 저장소 또는 트러스트 저장소로 업데이트합니다. 자세한 내용은 Cloud의 TLS 인증서 업데이트를 참조하세요.
      4. 별칭을 삭제합니다. 참고: 현재 가상 호스트 또는 대상 엔드포인트에서 사용 중인 별칭을 삭제하면 가상 호스트 또는 대상 엔드포인트가 실패합니다.

키 저장소/truststore 및 별칭 만들기

TLS 키 저장소 또는 TLS 트러스트 저장소로 사용할 키 저장소를 생성할 수 있습니다. 키 저장소는 조직의 환경에 따라 다릅니다(예: 테스트 또는 프로덕션 환경). 따라서 프로덕션 환경에 배포하기 전에 테스트 환경에서 키 저장소를 테스트하려면 두 환경 모두에서 키 저장소를 만들어야 합니다.

환경에서 키 저장소를 생성할 때는 키 저장소 이름만 지정하면 됩니다. 환경에서 이름이 지정된 키 저장소를 생성한 후에는 별칭을 만들고 인증서/키 쌍(키 저장소)을 업로드하거나 인증서만 (truststore) 별칭에 업로드할 수 있습니다.

키 저장소를 생성하려면 다음 단계를 따르세요.

  1. TLS 키 저장소 페이지에 액세스
  2. 환경을 선택합니다(일반적으로 prod 또는 test).
  3. + 키 저장소를 클릭합니다.
  4. 키 저장소 이름을 지정합니다. 이름에는 영숫자 문자만 포함할 수 있습니다.
  5. 키 저장소 추가를 클릭합니다. 새 키 저장소가 목록에 표시됩니다.
  6. 다음 절차 중 하나를 사용하여 별칭을 추가합니다. 지원되는 인증서 파일 형식도 참조하세요.

인증서에서 별칭 만들기 (truststore만 해당)

인증서에서 별칭을 만들려면 다음 단계를 따르세요.

  1. TLS 키 저장소 페이지에 액세스
  2. 키 저장소 위에 커서를 올려 놓으면 작업 메뉴가 표시되고 +를 클릭합니다.
  3. Alias Name을 지정합니다.
  4. 인증서 세부정보의 유형 드롭다운에서 인증서만을 선택합니다.
  5. 인증서 파일 옆의 파일 선택을 클릭하고 인증서가 포함된 PEM 파일로 이동한 후 열기를 클릭합니다.
  6. 기본적으로 API는 인증서가 만료되지 않았는지 확인합니다. 필요한 경우 만료된 인증서 허용을 선택하여 검증을 건너뜁니다.
  7. 저장을 선택하여 인증서를 업로드하고 별칭을 만듭니다.

JAR 파일에서 별칭 생성(키 저장소만 해당)

JAR 파일에서 별칭을 만들려면 다음 단계를 따르세요.

  1. TLS 키 저장소 페이지에 액세스
  2. 키 저장소 위에 커서를 올려 놓으면 작업 메뉴가 표시되고 +를 클릭합니다.
  3. Alias Name을 지정합니다.
  4. 인증서 세부정보의 유형 드롭다운에서 JAR 파일을 선택합니다.
  5. JAR 파일 옆의 파일 선택을 클릭하고 인증서 및 키가 포함된 JAR 파일로 이동한 다음 열기를 클릭합니다.
  6. 키에 비밀번호가 있으면 비밀번호를 지정하고, 키에 비밀번호가 없으면 이 필드를 비워둡니다.
  7. 기본적으로 API는 인증서가 만료되지 않았는지 확인합니다. 필요한 경우 만료된 인증서 허용을 선택하여 검증을 건너뜁니다.
  8. 저장을 선택하여 키와 인증서를 업로드하고 별칭을 만듭니다.

인증서와 키에서 별칭 생성 (키 저장소만 해당)

인증서와 키에서 별칭을 만들려면 다음 안내를 따르세요.

  1. TLS 키 저장소 페이지에 액세스
  2. 키 저장소 위에 커서를 올려 놓으면 작업 메뉴가 표시되고 +를 클릭합니다.
  3. Alias Name을 지정합니다.
  4. 인증서 세부정보의 유형 드롭다운에서 인증서 및 키를 선택합니다.
  5. 인증서 파일 옆의 파일 선택을 클릭하고 인증서가 포함된 PEM 파일로 이동한 다음 열기를 클릭합니다.
  6. 키에 비밀번호가 있으면 Key Password를 지정합니다. 키에 비밀번호가 없으면 이 필드를 비워둡니다.
  7. 키 파일 옆에 있는 파일 선택을 클릭하고 키가 포함된 PEM 파일로 이동한 다음 열기를 클릭합니다.
  8. 기본적으로 API는 인증서가 만료되지 않았는지 확인합니다. 필요한 경우 만료된 인증서 허용을 선택하여 검증을 건너뜁니다.
  9. 저장을 선택하여 키와 인증서를 업로드하고 별칭을 만듭니다.

PKCS12/PFX 파일에서 별칭 생성 (키 저장소만 해당)

인증서와 키가 포함된 PKCS12 파일에서 별칭을 만들려면 다음 단계를 따르세요.

  1. TLS 키 저장소 페이지에 액세스
  2. 키 저장소 위에 커서를 올려 놓으면 작업 메뉴가 표시되고 +를 클릭합니다.
  3. Alias Name을 지정합니다.
  4. 인증서 세부정보의 유형 드롭다운에서 PKCS12/PFX를 선택합니다.
  5. PKCS12/PFX 옆에 있는 Choose File을 클릭하고 키와 인증서가 포함된 파일로 이동한 다음 Open을 클릭합니다.
  6. 키에 비밀번호가 있으면 PKCS12/PFX 파일의 비밀번호를 지정합니다. 키에 비밀번호가 없으면 이 입력란을 비워둡니다.
  7. 기본적으로 API는 인증서가 만료되지 않았는지 확인합니다. 필요한 경우 만료된 인증서 허용을 선택하여 검증을 건너뜁니다.
  8. 저장을 선택하여 파일을 업로드하고 별칭을 만듭니다.

자체 서명 인증서에서 별칭 만들기 (키 저장소만 해당)

자체 서명 인증서를 사용하는 별칭을 만들려면 인증서를 만드는 데 필요한 필수 정보를 양식에 작성합니다. 그러면 Edge가 인증서와 비공개 키 쌍을 만들어 별칭에 업로드합니다.

자체 서명 인증서에서 별칭을 만들려면 다음 단계를 따르세요.

  1. TLS 키 저장소 페이지에 액세스
  2. 키 저장소 위에 커서를 올려 놓으면 작업 메뉴가 표시되고 +를 클릭합니다.
  3. Alias Name을 지정합니다.
  4. 인증서 세부정보의 유형 드롭다운에서 자체 서명된 인증서를 선택합니다.
  5. 아래 표를 이용하여 양식을 작성합니다.
  6. Save를 선택하여 인증서와 비공개 키 쌍을 만들고 별칭에 업로드합니다.

생성된 인증서에 다음과 같은 추가 필드가 표시됩니다.

  • 발급기관
    인증서에 서명하고 발급한 주체입니다. 자체 서명된 인증서의 경우 인증서를 만들 때 지정한 CN입니다.
  • 유효성
    인증서 유효 기간은 두 날짜, 즉 인증서 유효 기간이 시작되는 날짜와 인증서 유효 기간이 종료되는 날짜로 표시됩니다. 둘 다 UTCTime 또는 GeneralizedTime 값으로 인코딩할 수 있습니다.

다음 표에서는 양식 필드를 설명합니다.

양식 입력란 설명 기본 계정 필수
별칭 이름 별칭 이름입니다. 최대 길이는 128자(영문 기준)입니다. 해당 사항 없음
키 크기 키의 크기(비트)입니다. 기본 및 최댓값은 2048비트입니다. 2048 아니요
서명 알고리즘 비공개 키를 생성하기 위한 서명 알고리즘입니다. 유효한 값은 'SHA512withRSA', 'SHA384withRSA' 및 'SHA256withRSA' (기본값)입니다. SHA256withRSA 아니요
인증서 유효 기간(일) 인증서의 유효 기간(일)입니다. 0이 아닌 양의 값을 허용합니다. 365 아니요
공용이름 조직의 일반 이름(CN)은 인증서와 연결된 정규화된 도메인 이름을 식별합니다. 일반적으로 호스트와 도메인 이름으로 구성됩니다. 예를 들어 api.enterprise.apigee.com, www.apigee.com 등입니다. 최대 길이는 64자(영문 기준)입니다.

CN은 인증서 유형에 따라 같은 도메인에 속한 하나 이상의 호스트 이름 (예: example.com, www.example.com), 와일드 카드 이름 (예: *.example.com) 또는 도메인 목록일 수 있습니다. 프로토콜 (http:// 또는 https://), 포트 번호 또는 리소스 경로는 포함하지 마세요.

인증서는 요청 호스트 이름이 인증서 일반 이름 중 하나 이상과 일치하는 경우에만 유효합니다.

 해당 사항 없음
이메일 이메일 주소입니다. 최대 길이는 255자(영문 기준)입니다. 해당 사항 없음 아니요
조직 단위 이름 조직 팀 이름 최대 길이는 64자(영문 기준)입니다. 해당 사항 없음 아니요
조직 이름 조직 이름입니다. 최대 길이는 64자(영문 기준)입니다. 해당 사항 없음 아니요
지역 구/군/시 이름입니다. 최대 길이는 128자(영문 기준)입니다. 해당 사항 없음 아니요
주/도 이름입니다. 최대 길이는 128자(영문 기준)입니다. 해당 사항 없음 아니요
국가 2자리 국가 코드입니다. 예를 들어 인도는 IN, 미국은 US를 입력합니다. 해당 사항 없음 아니요
다른 이름 대체 호스트 이름 목록입니다. 추가 ID를 인증서 주체에 결합할 수 있습니다. 인터넷 전자 메일 주소, DNS 이름, IP 주소 및 URI (Uniform Resource Identifier)로 정의됩니다.

각 값의 최대 문자 수는 255자(영문 기준)입니다. 쉼표를 사용하거나 각 이름 뒤에 Enter 키를 눌러 이름을 구분할 수 있습니다.

 해당 사항 없음 아니요

키 저장소 또는 트러스트 저장소 테스트

Edge UI에서 트러스트 저장소와 키 저장소를 테스트하여 올바르게 구성되었는지 확인할 수 있습니다. 테스트 UI는 Edge에서 백엔드 서비스로의 TLS 요청의 유효성을 검사합니다. 단방향 또는 양방향 TLS를 지원하도록 백엔드 서비스를 구성할 수 있습니다.

단방향 TLS를 테스트하려면 다음 안내를 따르세요.

  1. TLS 키 저장소 페이지에 액세스
  2. 환경을 선택합니다(일반적으로 prod 또는 test).
  3. 테스트하려는 TLS 키 저장소 위에 커서를 놓고 작업 메뉴가 표시되도록 하고 테스트를 클릭합니다. 트러스트 저장소 이름을 보여주는 다음 대화상자가 나타납니다.
  4. 백엔드 서비스의 호스트 이름을 입력합니다.
  5. TLS 포트 번호 (일반적으로 443)를 입력합니다.
  6. 원하는 경우 프로토콜 또는 암호화를 지정합니다.
  7. 테스트를 선택합니다.

양방향 TLS를 테스트하려면 다음 안내를 따르세요.

  1. 원하는 트러스트 저장소의 테스트 버튼을 선택합니다.
  2. 대화상자에서 SSL 테스트 유형으로 양방향을 선택합니다. 다음 대화상자가 표시됩니다.
  3. 양방향 TLS에 사용되는 키 저장소의 이름을 지정합니다.
  4. 인증서와 키가 포함된 키 저장소의 별칭 이름을 지정합니다.
  5. 백엔드 서비스의 호스트 이름을 입력합니다.
  6. TLS 포트 번호 (일반적으로 443)를 입력합니다.
  7. 원하는 경우 프로토콜 또는 암호화를 지정합니다.
  8. 테스트를 선택합니다.

양방향 TLS를 위해 트러스트 저장소에 인증서 추가

인바운드 연결에 양방향 TLS를 사용하는 경우(Edge에 대한 API 요청) 트러스트 저장소에는 Edge에 요청할 수 있는 각 클라이언트에 대한 인증서 또는 CA 체인이 포함됩니다.

트러스트 저장소를 처음 구성할 때 알려진 클라이언트의 모든 인증서를 추가할 수 있습니다. 하지만 시간이 지남에 따라 새 클라이언트를 추가할 때 트러스트 저장소에 인증서를 추가해야 할 수도 있습니다.

양방향 TLS에 사용되는 트러스트 저장소에 새 인증서를 추가하려면 다음 안내를 따르세요.

  1. 가상 호스트의 트러스트 저장소에 대한 참조를 사용하고 있는지 확인합니다.
  2. 위의 인증서에서 별칭 만들기 (truststore만 해당)에 설명된 대로 트러스트 저장소에 새 인증서를 업로드합니다.

  3. truststore 참조를 업데이트하여 동일한 값으로 설정합니다. 이 업데이트를 통해 Edge는 트러스트 저장소와 새 인증서를 새로고침합니다.

    자세한 내용은 참조 수정을 참고하세요.

키 저장소/truststore 또는 별칭 삭제

키 저장소/truststore 또는 별칭을 삭제할 때는 주의해야 합니다. 가상 호스트, 대상 엔드포인트 또는 대상 서버에서 사용 중인 키 저장소, 트러스트 저장소 또는 별칭을 삭제하면 가상 호스트 또는 대상 엔드포인트/대상 서버를 통한 모든 API 호출이 실패합니다.

일반적으로 키 저장소/truststore 또는 별칭을 삭제하는 데 사용하는 프로세스는 다음과 같습니다.

  1. 위에서 설명한 대로 새 키 저장소/truststore 또는 별칭을 만듭니다.
  2. 인바운드 연결(Edge에 대한 API 요청)의 경우 새 키 저장소 및 키 별칭을 참조하도록 가상 호스트 구성을 업데이트합니다.
  3. 아웃바운드 연결의 경우(Apigee에서 백엔드 서버로의 경우):
    1. 이전 키 저장소 및 키 별칭을 참조한 모든 API 프록시의 TargetEndpoint 구성을 업데이트하여 새 키 저장소 및 키 별칭을 참조하도록 합니다. TargetEndpoint가 TargetServer를 참조하는 경우 새 키 저장소와 키 별칭을 참조하도록 TargetServer 정의를 업데이트합니다.
    2. 키 저장소와 트러스트 저장소가 TargetEndpoint 정의에서 직접 참조되는 경우 프록시를 다시 배포해야 합니다. TargetEndpoint가 TargetServer 정의를 참조하고 TargetServer 정의가 키 저장소와 truststore를 참조하는 경우 프록시 재배포가 필요하지 않습니다.
  4. API 프록시가 올바르게 작동하는지 확인합니다.
  5. 키 저장소/truststore 또는 별칭을 삭제합니다.

키 저장소 삭제

목록에서 키 저장소 또는 trustore 위로 커서를 가져가 작업 메뉴를 표시하고 를 클릭하여 키 저장소 또는 트러스트 저장소를 삭제할 수 있습니다. 가상 호스트 또는 대상 엔드포인트/대상 서버에서 사용 중인 키 저장소나 트러스트 저장소를 삭제하면 가상 호스트 또는 대상 엔드포인트/대상 서버를 통한 모든 API 호출이 실패합니다.

주의: 새 키 저장소를 사용하도록 가상 호스트 및 대상 엔드포인트/대상 서버를 변환할 때까지 키 저장소를 삭제하면 안 됩니다.

별칭 삭제

목록에서 별칭 위에 커서를 놓고 작업 메뉴를 표시하고 를 클릭하면 별칭 B를 삭제할 수 있습니다. 가상 호스트 또는 대상 엔드포인트/대상 서버에서 사용 중인 별칭을 삭제하면 가상 호스트 또는 대상 엔드포인트/대상 서버를 통한 모든 API 호출이 실패합니다.

주의: 새 키 저장소와 별칭을 사용하도록 가상 호스트 및 대상 엔드포인트/대상 서버를 변환할 때까지 별칭을 삭제하면 안 됩니다.