Tworzenie magazynów kluczy i magazynu zaufania za pomocą interfejsu użytkownika Edge

Wyświetlasz dokumentację Apigee Edge.
Otwórz dokumentację Apigee X. Informacje

Z tego dokumentu dowiesz się, jak tworzyć, modyfikować i usuwać repozytoria kluczy i repozytoria zaufania dla Edge w chmurze i Edge w prywatnym środowisku wirtualnym w wersjach 4.18.01 i nowszych.

Informacje o kluczowych magazynach/magazynach zaufania i hostach wirtualnych w Edge Cloud

Proces tworzenia kluczowych zasobników i zasobników zaufanych w Edge Cloud wymaga przestrzegania wszystkich reguł dotyczących używania hostów wirtualnych. Na przykład w przypadku hostów wirtualnych w chmurze:

  • Wirtualni hostowie muszą używać protokołu TLS.
  • Hosty wirtualne mogą używać tylko portu 443.
  • Musisz użyć podpisanego certyfikatu TLS. Certyfikaty bez podpisu nie mogą być używane z hostami wirtualnymi w chmurze.
  • Nazwa domeny określona przez certyfikat TLS musi być zgodna z aliasem hosta hosta wirtualnego.

Więcej informacji:

Implementowanie magazynów kluczy i magazynów zaufania w Edge

Aby skonfigurować funkcje, które opierają się na infrastrukturze klucza publicznego, takiej jak TLS, musisz utworzyć repozytorium kluczy i repozytorium zaufania, które zawierają niezbędne klucze i certyfikaty cyfrowe.

W Edge magazyny kluczy i magazyny zaufania są reprezentowane przez element magazynu kluczy, który zawiera co najmniej 1 alias. Oznacza to, że w Edge nie ma różnicy w implementacji między repozytorium kluczy a repozytorium zaufania.

Różnica między repozytorium kluczy a repozytorium zaufania wynika z rodzajów wpisów, które zawierają, oraz sposobu ich używania w procesie nawiązywania połączenia TLS:

  • keystore – encja keystore zawierająca co najmniej aliasy, z których każdy zawiera parę certyfikat/klucz.
  • truststore – encja keystore zawierająca co najmniej 1 alias, przy czym każdy alias zawiera tylko certyfikat.

Podczas konfigurowania TLS dla hosta wirtualnego lub punktu końcowego docelowego repozytoria kluczy i repozytoria zaufania pełnią różne role w procesie nawiązywania połączenia TLS. Podczas konfigurowania hosta wirtualnego lub docelowego punktu końcowego musisz oddzielnie określić repozytoria kluczy i repozytoria zaufania w tagu <SSLInfo>, jak pokazano poniżej w przypadku hosta wirtualnego:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>false</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
    </SSLInfo>
</VirtualHost>

W tym przykładzie podajesz nazwę magazynu kluczy i alias używany przez hosta wirtualnego dla magazynu kluczy TLS. Aby określić nazwę klucza, użyj odwołania, aby móc ją później zmienić, gdy certyfikat wygaśnie. Alias zawiera parę certyfikat/klucz, która służy do identyfikowania hosta wirtualnego dla klienta TLS uzyskującego dostęp do tego hosta. W tym przykładzie nie jest wymagany magazyn zaufania.

Jeśli wymagany jest magazyn zaufania, na przykład w przypadku konfiguracji dwukierunkowego TLS, użyj tagu <TrustStore>, aby określić magazyn zaufania:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>true</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
        <TrustStore>ref://truststoreref</TrustStore>
    </SSLInfo>
</VirtualHost>

W tym przykładzie tag <TrustStore> odwołuje się tylko do magazynu kluczy i nie określa konkretnego aliasu. Każdy alias w magazynie kluczy zawiera certyfikat lub łańcuch certyfikatów, który jest używany w ramach procesu nawiązywania połączenia TLS.

Obsługiwane formaty certyfikatów

Format Obsługiwane przesyłanie za pomocą interfejsu API i interfejsu użytkownika Obsługa jazdy na północ Zweryfikowano
PEM Tak Tak Tak
* PKCS12 Tak Tak Tak
Uwaga: Apigee wewnętrznie konwertuje
PKCS12 na PEM.
* DER Nie Nie Tak
* PKCS7 Nie Nie Nie

* Jeśli to możliwe, zalecamy używanie formatu PEM.

Korzystanie z kluczowych repozytoriów PKCS12 w Edge for Private Cloud w wersji 4.53.00 lub nowszej

Jeśli używasz Edge for Private Cloud w wersji 4.53.00 lub nowszej, do przesyłania kluczy i powiązanych z nimi certyfikatów do Apigee należy używać tylko repozytorium kluczy PKCS12. Aby uzyskać pomoc w konwertowaniu dotychczasowych kluczy i certyfikatów na format PKCS12/PFX, zapoznaj się z artykułem Konwertowanie certyfikatów na obsługiwany format.

Wdrażanie aliasu

W Edge magazyn kluczy zawiera co najmniej 1 alias, a każdy alias zawiera:

  • certyfikat TLS jako plik PEM lub PKCS12/PFX – certyfikat podpisany przez urząd certyfikacji (CA), plik zawierający łańcuch certyfikatów, w którym ostatni certyfikat jest podpisany przez CA, lub certyfikat samopodpisany;
  • Klucz prywatny jako plik PEM lub PKCS12/PFX. Edge obsługuje klucze o długości do 2048 bitów. Hasło wielowyrazowe jest opcjonalne.

W Edge truststore zawiera co najmniej 1 alias, w którym każdy alias zawiera:

  • certyfikat TLS jako plik PEM – certyfikat podpisany przez urząd certyfikacji (CA), łańcuch certyfikatów, w którym ostatni certyfikat jest podpisany przez urząd certyfikacji, lub certyfikat samopodpisany;

Edge udostępnia interfejs użytkownika i interfejs API, które służą do tworzenia magazynów kluczy, tworzenia aliasów, przesyłania par kluczy i certyfikatów oraz aktualizowania certyfikatów. Interfejs użytkownika i interfejs API, których używasz do tworzenia repozytorium zaufania, są takie same jak te, których używasz do tworzenia repozytorium kluczy. Różnica polega na tym, że podczas tworzenia repozytorium zaufanych certyfikatów tworzysz aliasy zawierające tylko certyfikat.

Format plików certyfikatów i kluczy

Certyfikaty i klucze możesz reprezentować jako pliki PEM lub PKCS12/PFX. Pliki PEM są zgodne z formatem X.509. Jeśli certyfikat lub klucz prywatny nie jest zdefiniowany w pliku PEM, możesz przekonwertować go na plik PEM za pomocą narzędzi takich jak openssl.

Wiele plików .crt i .key jest jednak już w formacie PEM. Jeśli te pliki są plikami tekstowymi i są załączone w:

-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----

lub

-----BEGIN ENCRYPTED PRIVATE KEY-----
-----END ENCRYPTED PRIVATE KEY-----

Wtedy pliki są zgodne z formatem PEM i można ich używać w magazynie kluczy lub magazynie zaufania bez konwertowania ich do pliku PEM.

Łańcuchy certyfikatów

Jeśli certyfikat jest częścią łańcucha, obsługujesz go inaczej w zależności od tego, czy jest on używany w magazynie kluczy czy w magazynie zaufania:

  • Keystore – jeśli certyfikat jest częścią łańcucha, musisz utworzyć pojedynczy plik zawierający wszystkie certyfikaty w łańcuchu. Certyfikaty muszą być uporządkowane, a ostatni certyfikat musi być certyfikatem głównym lub certyfikatem pośrednim podpisanym przez certyfikat główny.
  • Zaufane repozytorium kluczy – jeśli certyfikat jest częścią łańcucha, musisz utworzyć jeden plik zawierający wszystkie certyfikaty i przesłać go do aliasu lub przesłać wszystkie certyfikaty z łańcucha oddzielnie do zaufane repozytorium kluczy, używając innego aliasu dla każdego certyfikatu. Jeśli przesyłasz je jako jeden certyfikat, muszą być one uporządkowane, a ostatni certyfikat musi być certyfikatem głównym lub certyfikatem pośrednim podpisanym przez certyfikat główny.
  • Jeśli utworzysz pojedynczy plik zawierający wiele certyfikatów, musisz wstawić pusty wiersz pomiędzy każdym certyfikatem.

Możesz na przykład połączyć wszystkie certyfikaty w jeden plik PEM. Certyfikaty muszą być uporządkowane we właściwej kolejności, a ostatni z nich musi być certyfikatem głównym lub certyfikatem pośrednim podpisanym przez certyfikat główny:

-----BEGIN CERTIFICATE----- 
(Your Primary TLS certificate) 
-----END CERTIFICATE----- 

-----BEGIN CERTIFICATE----- 
(Intermediate certificate) 
-----END CERTIFICATE-----
 
-----BEGIN CERTIFICATE----- 
(Root certificate or intermediate certificate signed by a root certificate) 
-----END CERTIFICATE-----

Jeśli certyfikaty są reprezentowane jako pliki PKCS12 lub PFX, możesz użyć polecenia openssl , aby utworzyć plik PKCS12 lub PFX z łańcucha certyfikatów, jak pokazano poniżej:

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

Podczas pracy z łańcuchami certyfikatów w repozytorium zaufanych certyfikatów nie zawsze trzeba przesyłać wszystkie certyfikaty w łańcuchu. Przesyłasz na przykład certyfikat klienta client_cert_1 i certyfikat wystawcy certyfikatu klienta ca_cert.

Podczas uwierzytelniania dwustronnego TLS uwierzytelnianie klienta kończy się sukcesem, gdy serwer wysyła klientowi client_cert_1 w ramach procesu uzgadniania połączenia TLS.

Możesz też mieć drugi certyfikat client_cert_2 podpisany tym samym certyfikatem ca_cert. Nie musisz jednak przesyłać pliku client_cert_2 do repozytorium zaufania. Sklep z zaufanymi certyfikatami zawiera tylko client_cert_1ca_cert.

Gdy serwer przekaże client_cert_2 w ramach uzgadniania połączenia TLS, żądanie zostanie zrealizowane. Dzieje się tak, ponieważ Edge pozwala na pomyślne przeprowadzenie weryfikacji TLS, gdy client_cert_2 nie istnieje w magazynie zaufania, ale został podpisany przez certyfikat, który znajduje się w magazynie zaufania. Jeśli usuniesz z repozytorium zaufania certyfikat urzędu certyfikacji ca_cert, weryfikacja TLS się nie powiedzie.

Uwagi dotyczące standardu FIPS

Jeśli używasz Edge for Private Cloud w wersji 4.53.00 lub nowszej w systemie operacyjnym obsługującym FIPS, do przesyłania kluczy i powiązanych certyfikatów do Apigee należy używać tylko repozytorium kluczy PKCS12.

Poznawanie strony Keystore TLS

Otwórz stronę TLS Keystore w sposób opisany poniżej.

Edge

Aby otworzyć stronę Keystore TLS za pomocą interfejsu Edge:

  1. Zaloguj się na stronie https://apigee.com/edge jako administrator organizacji.
  2. Wybierz swoją organizację.
  3. Kliknij Administracja > Środowisko > Sklepy kluczy TLS.

Classic Edge (Private Cloud)

Aby otworzyć stronę TLS Keystores za pomocą klasycznego interfejsu Edge:

  1. Zaloguj się na konto http://ms-ip:9000 jako administrator organizacji, gdzie ms-ip to adres IP lub nazwa DNS węzła serwera zarządzania.
  2. Wybierz swoją organizację.
  3. Kliknij Administracja > Konfiguracja środowiska > Sklepy kluczy TLS.

Wyświetli się strona TLS Keystores:

Jak widać na poprzednim rysunku, strona Keystore TLS umożliwia:

Wyświetlanie aliasu

Aby wyświetlić alias:

  1. Otwórz stronę Keystore TLS.
  2. Wybierz środowisko (zwykle prod lub test).
  3. Kliknij wiersz powiązany z aliasem, który chcesz wyświetlić.

    Wyświetlają się szczegóły certyfikatu i klucza aliasu.

    Możesz wyświetlić wszystkie informacje o aliasie, w tym datę ważności.

  4. Zarządzaj certyfikatem za pomocą przycisków u góry strony, aby:
    • Pobierz certyfikat jako plik PEM.
    • Wygeneruj żądanie podpisania certyfikatu. Jeśli masz certyfikat, którego ważność wygasła, i chcesz go odnowić, możesz pobrać żądanie podpisania certyfikatu (CSR). Następnie wysyłasz CSR do CA, aby uzyskać nowy certyfikat.
    • Zaktualizuj certyfikat. Uwaga: jeśli zaktualizujesz certyfikat, którego używa obecnie host wirtualny lub docelowy serwer/docelowy punkt końcowy, musisz skontaktować się z zespołem pomocy Apigee Edge, aby ponownie uruchomić routery i przetwarzacze wiadomości. Zalecane sposoby aktualizacji certyfikatu:
      1. Utwórz nowy magazyn kluczy lub magazyn zaufania.
      2. Dodaj nowy certyfikat do nowego repozytorium kluczy lub repozytorium zaufania.
      3. Zaktualizuj odniesienie w hostie wirtualnym lub docelowym serwerze/docelowym punkcie końcowym do klucza lub repozytorium zaufania. Więcej informacji znajdziesz w artykule Aktualizacja certyfikatu TLS w usłudze Cloud.
      4. usunąć alias. Uwaga: jeśli usuniesz alias, który jest obecnie używany przez hosta wirtualnego lub docelowy punkt końcowy, host wirtualny lub docelowy punkt końcowy przestanie działać.

Tworzenie magazynu kluczy/magazynu zaufania i aliasu

Możesz utworzyć magazyn kluczy do użycia jako magazyn kluczy TLS lub magazyn zaufania TLS. Sklep kluczy jest przeznaczony do konkretnego środowiska w organizacji, na przykład środowiska testowego lub produkcyjnego. Jeśli chcesz przetestować magazyn kluczy w środowisku testowym, zanim wdrożysz go w środowisku produkcyjnym, musisz utworzyć go w obu środowiskach.

Aby utworzyć magazyn kluczy w danym środowisku, wystarczy podać jego nazwę. Po utworzeniu w środowisku katalogu kluczy o nazwie możesz utworzyć aliasy i przesłać parę certyfikat/klucz (katalog kluczy) lub przesłać tylko certyfikat (katalog zaufania) do aliasu.

Aby utworzyć magazyn kluczy:

  1. Otwórz stronę Keystore TLS.
  2. Wybierz środowisko (zwykle prod lub test).
  3. Kliknij + Keystore.
  4. Podaj nazwę magazynu kluczy. Nazwa może zawierać tylko znaki alfanumeryczne.
  5. Kliknij Dodaj magazyn kluczy. Nowy magazyn kluczy pojawi się na liście.
  6. Aby dodać alias, użyj jednej z tych procedur. Zobacz też Obsługiwane formaty plików certyfikatów.

Tworzenie aliasu na podstawie certyfikatu (tylko w przypadku zaufanego magazynu)

Aby utworzyć alias certyfikatu:

  1. Otwórz stronę Keystore TLS.
  2. Umieść kursor nad magazynem kluczy, aby wyświetlić menu czynności, i kliknij +.
  3. Podaj Nazwa aliasu.
  4. W sekcji Szczegóły certyfikatu w menu Typ wybierz Tylko certyfikat.
  5. Kliknij Choose File (Wybierz plik) obok Certificate File (Plik certyfikatu), przejdź do pliku PEM zawierającego certyfikat i kliknij Open (Otwórz).
  6. Domyślnie interfejs API sprawdza, czy certyfikat nie wygasł. Opcjonalnie zaznacz Zezwalaj na certyfikat wygasły, aby pominąć weryfikację.
  7. Aby przesłać certyfikat i utworzyć alias, kliknij Zapisz.

Tworzenie aliasu z pliku JAR (tylko w magazynie kluczy)

Aby utworzyć alias z pliku JAR:

  1. Otwórz stronę Keystore TLS.
  2. Umieść kursor nad magazynem kluczy, aby wyświetlić menu czynności, i kliknij +.
  3. Podaj Nazwa aliasu.
  4. W sekcji Szczegóły certyfikatu na liście Typ wybierz Plik JAR.
  5. Kliknij Wybierz plik obok Plik JAR, przejdź do pliku JAR zawierającego certyfikat i klucz, a następnie kliknij Otwórz.
  6. Jeśli klucz ma hasło, podaj je w polu Hasło. Jeśli nie ma hasła, pozostaw to pole puste.
  7. Domyślnie interfejs API sprawdza, czy certyfikat nie wygasł. Opcjonalnie zaznacz Zezwalaj na certyfikat wygasły, aby pominąć weryfikację.
  8. Aby przesłać klucz i certyfikat oraz utworzyć alias, kliknij Zapisz.

Tworzenie aliasu na podstawie certyfikatu i klucza (tylko w magazynie kluczy)

Aby utworzyć alias na podstawie certyfikatu i klucza:

  1. Otwórz stronę Keystore TLS.
  2. Umieść kursor nad magazynem kluczy, aby wyświetlić menu czynności, i kliknij +.
  3. Podaj Nazwa aliasu.
  4. W sekcji Szczegóły certyfikatu w menu Typ wybierz Certyfikat i klucz.
  5. Kliknij Wybierz plik obok Plik certyfikatu, przejdź do pliku PEM zawierającego certyfikat i kliknij Otwórz.
  6. Jeśli klucz ma hasło, określ Hasło klucza. Jeśli klucz nie ma hasła, pozostaw to pole puste.
  7. Kliknij Wybierz plik obok Plik klucza, przejdź do pliku PEM zawierającego klucz i kliknij Otwórz.
  8. Domyślnie interfejs API sprawdza, czy certyfikat nie wygasł. Opcjonalnie zaznacz Zezwalaj na certyfikat wygasły, aby pominąć weryfikację.
  9. Aby przesłać klucz i certyfikat oraz utworzyć alias, kliknij Zapisz.

Tworzenie aliasu z pliku PKCS12 lub PFX (tylko w magazynie kluczy)

Aby utworzyć alias z pliku PKCS12 zawierającego certyfikat i klucz:

  1. Otwórz stronę Keystore TLS.
  2. Umieść kursor nad magazynem kluczy, aby wyświetlić menu czynności, i kliknij +.
  3. Podaj Nazwa aliasu.
  4. W sekcji Szczegóły certyfikatu wybierz PKCS12/PFX na liście Typ.
  5. Kliknij Wybierz plik obok PKCS12/PFX, przejdź do pliku zawierającego klucz i certyfikat, a następnie kliknij Otwórz.
  6. Jeśli klucz ma hasło, określ hasło dla pliku PKCS12 lub PFX. Jeśli klucz nie ma hasła, pozostaw to pole puste.
  7. Domyślnie interfejs API sprawdza, czy certyfikat nie wygasł. Opcjonalnie zaznacz Zezwalaj na certyfikat wygasły, aby pominąć weryfikację.
  8. Kliknij Zapisz, aby przesłać plik i utworzyć alias.

Tworzenie aliasu na podstawie certyfikatu z podpisem własnym (tylko w magazynie kluczy)

Aby utworzyć alias, który używa samodzielnie podpisanego certyfikatu, musisz wypełnić formularz z informacjami niezbędnymi do utworzenia certyfikatu. Edge tworzy następnie certyfikat i parę kluczy prywatnych, a następnie przesyła je do aliasu.

Aby utworzyć alias na podstawie samodzielnie podpisanego certyfikatu:

  1. Otwórz stronę Keystore TLS.
  2. Umieść kursor nad magazynem kluczy, aby wyświetlić menu czynności, i kliknij +.
  3. Podaj Nazwa aliasu.
  4. W sekcji Szczegóły certyfikatu w menu Typ wybierz Samodzielny certyfikat.
  5. Wypełnij formularz, korzystając z tabeli poniżej.
  6. Kliknij Zapisz, aby utworzyć parę kluczy (publiczny i prywatny) i przesłać je do aliasu.

Wygenerowany certyfikat zawiera te dodatkowe pola:

  • Wydawca
    Podmiot, który podpisał i wydał certyfikat. W przypadku certyfikatu podpisanego samodzielnie jest to nazwa domeny bez kropki (CN), którą określono podczas tworzenia certyfikatu.
  • Wadliwość
    Okres ważności certyfikatu podany w formie 2 daty: data rozpoczęcia i zakończenia okresu ważności. Obie mogą być zakodowane jako wartości UTCTime lub GeneralizedTime.

W tabeli poniżej opisano pola formularza:

Pole formularza Opis Domyślny Wymagane
Nazwa aliasu Nazwa aliasu. Maksymalna długość to 128 znaków. Nie dotyczy Tak
Rozmiar klucza Rozmiar klucza w bitach. Wartość domyślna i maksymalna to 2048 bitów. 2048 Nie
Algorytm podpisu algorytm podpisywania do generowania klucza prywatnego. Prawidłowe wartości to „SHA512withRSA”, „SHA384withRSA” i „SHA256withRSA” (wartość domyślna). SHA256withRSA Nie
Okres ważności certyfikatu (dni) Okres ważności certyfikatu (w dniach). Może przyjmować wartości dodatnie inne niż zero. 365 Nie
Wspólna nazwa Common Name (CN) organizacji wskazuje pełne domeny jednoznaczne powiązane z certyfikatem. Zwykle składa się z nazwa hosta i nazwy domeny. Na przykład: api.enterprise.apigee.com, www.apigee.com itp. Maksymalna długość to 64 znaki.

W zależności od typu certyfikatu CN może być jedną lub większą liczbą nazw hostów należących do tej samej domeny (np. example.com, www.example.com), nazwą z symbolem wieloznacznym (np. *.example.com) lub listą domen. Nie używaj protokołu (http:// lub https://), numeru portu ani ścieżki zasobu.

Certyfikat jest ważny tylko wtedy, gdy nazwa hosta żądania jest zgodna z co najmniej jedną z nazw wspólnych certyfikatu.

 Nie dotyczy Tak
E-mail Adres e-mail. Maksymalna długość to 255 znaków. Nie dotyczy Nie
Nazwa jednostki organizacyjnej Nazwa zespołu organizacji. Maksymalna długość to 64 znaki. Nie dotyczy Nie
Nazwa organizacji Nazwa organizacji. Maksymalna długość to 64 znaki. Nie dotyczy Nie
Miejscowość Nazwa miasta. Maksymalna długość to 128 znaków. Nie dotyczy Nie
Region Nazwa stanu lub prowincji. Maksymalna długość to 128 znaków. Nie dotyczy Nie
Kraj Dwuliterowy kod kraju. Przykład: IN dla Indii, US dla Stanów Zjednoczonych. Nie dotyczy Nie
Nazwa alternatywna Lista nazw hostów alternatywnych. Umożliwia powiązanie dodatkowych tożsamości z podmiotem certyfikatu. Zdefiniowane opcje obejmują adres e-mail, nazwę DNS, adres IP i identyfikator URI.

Każda wartość może zawierać maksymalnie 255 znaków. Nazwy możesz rozdzielać przecinkami lub naciskać klawisz Enter po wpisaniu każdej nazwy.

 Nie dotyczy Nie

Testowanie repozytorium kluczy lub repozytorium zaufania

Możesz przetestować repozytorium zaufania i repozytorium kluczy w interfejsie Edge, aby sprawdzić, czy są prawidłowo skonfigurowane. Test UI weryfikuje żądanie TLS z Edge do usługi backendu. Usługę backendową można skonfigurować tak, aby obsługiwała szyfrowanie TLS w jednym lub obu kierunkach.

Aby przetestować szyfrowanie jednostronne TLS:

  1. Otwórz stronę Keystore TLS.
  2. Wybierz środowisko (zwykle prod lub test).
  3. Umieść kursor nad magazynem kluczy TLS, który chcesz przetestować, aby wyświetlić menu działań, i kliknij Testuj. Wyświetli się okno z nazwą repozytorium zaufania:
  4. Wpisz nazwę hosta usługi backendu.
  5. Wpisz numer portu TLS (zwykle 443).
  6. Opcjonalnie określ protokoły lub szyfry.
  7. Kliknij Test.

Aby przetestować dwukierunkowy TLS:

  1. W przypadku wybranego repozytorium zaufania kliknij przycisk Test.
  2. W oknie jako Typ testu SSL wybierz Dwustronny. Pojawi się okno:
  3. Podaj nazwę magazynu kluczy używanego w dwustronnym TLS.
  4. W magazynie kluczy zawierającym certyfikat i klucz podaj nazwę aliasu.
  5. Wpisz nazwę hosta usługi backendu.
  6. Wpisz numer portu TLS (zwykle 443).
  7. Opcjonalnie określ protokoły lub szyfry.
  8. Kliknij Test.

Dodawanie certyfikatu do magazynu zaufania na potrzeby dwukierunkowego TLS

Gdy używasz dwukierunkowego TLS do połączeń przychodzących, czyli żądania interfejsu API do Edge, zaufane repozytorium zawiera certyfikat lub łańcuch CA dla każdego klienta, który może wysyłać żądania do Edge.

Podczas początkowej konfiguracji repozytorium zaufania możesz dodać wszystkie certyfikaty znanych klientów. Z czasem możesz jednak dodać do zaufanych magazynów certyfikatów dodatkowe certyfikaty, gdy dodajesz nowych klientów.

Aby dodać nowe certyfikaty do magazynu zaufania używanego do dwukierunkowego TLS:

  1. Upewnij się, że w hostie wirtualnym używasz odwołania do repozytorium zaufania.
  2. Prześlij nowy certyfikat do repozytorium zaufanych certyfikatów, jak opisano powyżej w sekcji Tworzenie aliasu na podstawie certyfikatu (tylko repozytorium zaufanych certyfikatów).

  3. Zaktualizuj odwołanie do repozytorium zaufania, aby ustawić tę samą wartość. Ta aktualizacja powoduje ponowne załadowanie repozytorium zaufania i nowego certyfikatu przez Edge.

    Więcej informacji znajdziesz w artykule Modyfikowanie odwołania.

Usuwanie katalogu kluczy/katalogu zaufania lub aliasu

Podczas usuwania schowu kluczy/schowu zaufania lub aliasu należy zachować ostrożność. Jeśli usuniesz repozytorium kluczy, repozytorium zaufania lub alias używany przez hosta wirtualnego, punkt końcowy docelowy lub serwer docelowy, wszystkie wywołania interfejsu API przez hosta wirtualnego lub punkt końcowy docelowy/serwer docelowy nie będą działać.

Zwykle proces usuwania skrótu, repozytorium kluczy lub repozytorium zaufania wygląda tak:

  1. Utwórz nowy klucz lub zaufaną pamięć kluczy albo alias, jak opisano powyżej.
  2. W przypadku połączeń przychodzących, czyli żądania interfejsu API w Edge, zaktualizuj konfigurację hosta wirtualnego, aby odwoływał się do nowego magazynu kluczy i aliasu klucza.
  3. W przypadku połączeń wychodzących, czyli z Apigee do serwera zaplecza:
    1. Zaktualizuj konfigurację punktu docelowego dla wszystkich serwerów proxy interfejsu API, które odwołują się do starego magazynu kluczy i starego aliasu klucza, aby odwoływały się do nowego magazynu kluczy i nowego aliasu klucza. Jeśli element docelowy TargetEndpoint odwołuje się do serwera docelowego TargetServer, zaktualizuj jego definicję, aby odwoływał się do nowego katalogu kluczy i aliasu klucza.
    2. Jeśli odwołania do repozytorium kluczy i repozytorium zaufania pochodzą bezpośrednio z definicji punktu końcowego docelowego, musisz ponownie wdrożyć serwer proxy. Jeśli element TargetEndpoint odwołuje się do definicji TargetServer, a definicja TargetServer odwołuje się do repozytorium kluczy i repozytorium zaufania, nie trzeba ponownie wdrażać serwera proxy.
  4. Sprawdź, czy serwery proxy interfejsu API działają prawidłowo.
  5. Usuń klucz, zaufany magazyn kluczy lub alias.

Usuwanie magazynu kluczy

Aby usunąć repozytorium kluczy lub repozytorium zaufania, najedź kursorem na repozytorium na liście, aby wyświetlić menu czynności, i kliknij . Jeśli usuniesz magazyn kluczy lub magazyn zaufania używany przez hosta wirtualnego lub docelowy punkt końcowy/docelowy serwer, wszystkie wywołania interfejsu API przez hosta wirtualnego lub docelowy punkt końcowy/docelowy serwer nie będą się udawać.

Uwaga: nie usuwaj klucza, dopóki nie przekonwertujesz hostów wirtualnych i docelowych punktów końcowych lub serwerów docelowych na klucze korzystające z nowego klucza.

Usuwanie aliasu

Aby usunąć alias, najedź na niego kursorem, aby wyświetlić menu czynności, i kliknij . Jeśli usuniesz alias używany przez hosta wirtualnego lub docelowy punkt końcowy/docelowy serwer, wszystkie wywołania interfejsu API przez hosta wirtualnego lub docelowy punkt końcowy/docelowy serwer nie będą działać.

Uwaga: nie usuwaj aliasu, dopóki nie przekonwertujesz wirtualnych hostów i docelowych punktów końcowych lub serwerów docelowych na korzystanie z nowego repozytorium kluczy i aliasu.