Tworzenie magazynów kluczy i magazynu kluczy za pomocą interfejsu Edge

Oglądasz dokumentację Apigee Edge.
Wyświetl dokumentację Apigee X.

Ten dokument opisuje, jak tworzyć, modyfikować i usuwać magazyny kluczy oraz magazyny zaufania dla Edge w chmurze i dla Private Cloud w wersji 4.18.01 i nowszych.

Informacje o magazynach kluczy i magazynach wirtualnych oraz hostach wirtualnych dla Edge Cloud

Proces tworzenia magazynów kluczy na potrzeby Edge Cloud wymaga przestrzegania wszystkich reguł związanych z używaniem hostów wirtualnych. Na przykład w przypadku hostów wirtualnych w chmurze:

  • Hosty wirtualne muszą używać TLS.
  • Hosty wirtualne mogą używać tylko portu 443.
  • Musisz użyć podpisanego certyfikatu TLS. Niepodpisane certyfikaty nie są dozwolone w przypadku hostów wirtualnych w chmurze.
  • Nazwa domeny określona w certyfikacie TLS musi być zgodna z aliasem hosta wirtualnego.

Więcej informacji:

Wdrażanie magazynów kluczy i magazynów zaufania w Edge

Aby skonfigurować funkcje oparte na infrastrukturze kluczy publicznych, takich jak TLS, musisz utworzyć magazyny kluczy i magazyny zaufania zawierające niezbędne klucze i certyfikaty cyfrowe.

W brzegowe magazyny kluczy i magazyny zaufania są reprezentowane przez encję keystore, która zawiera co najmniej 1 alias. Oznacza to, że nie ma różnicy w implementacji między magazynem kluczy a magazynem zaufania w Edge.

Różnica między magazynami kluczy a magazynem zaufania zależy od rodzaju zawartych w nich wpisów i sposobu ich wykorzystania podczas uzgadniania połączenia TLS:

  • keystore – element keystore zawierający co najmniej 1 alias, w którym każdy alias zawiera parę certyfikatów i kluczy.
  • Truststore – element keystore zawierający co najmniej 1 alias, w którym każdy alias zawiera tylko certyfikat.

Podczas konfigurowania TLS dla hosta wirtualnego lub docelowego punktu końcowego magazyny kluczy i magazyny zaufania mogą odgrywać różne role w procesie uzgadniania połączenia TLS. Podczas konfigurowania hosta wirtualnego lub docelowego punktu końcowego musisz oddzielnie określić magazyny kluczy i magazyny zaufania w tagu <SSLInfo>, jak pokazano poniżej w przypadku hosta wirtualnego:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>false</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
    </SSLInfo>
</VirtualHost>

W tym przykładzie podasz nazwę magazynu kluczy i aliasu używanego przez hosta wirtualnego dla magazynu kluczy TLS. Za pomocą pliku referencyjnego możesz określić nazwę magazynu kluczy, aby móc go później zmienić po wygaśnięciu certyfikatu. Alias zawiera parę certyfikatów/klucza służącą do identyfikowania hosta wirtualnego w kliencie TLS uzyskującym dostęp do hosta wirtualnego. W tym przykładzie nie ma magazynu zaufania.

Jeśli jest wymagany magazyn zaufania, na przykład w przypadku dwukierunkowej konfiguracji TLS, użyj tagu <TrustStore>, aby określić magazyn zaufania:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>true</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
        <TrustStore>ref://truststoreref</TrustStore>
    </SSLInfo>
</VirtualHost>

W tym przykładzie tag <TrustStore> odwołuje się tylko do magazynu kluczy, ale nie określa konkretnego aliasu. Każdy alias w magazynie kluczy zawiera certyfikat (lub łańcuch certyfikatów), który jest używany w ramach procedury uzgadniania połączenia TLS.

Obsługiwane formaty certyfikatów

Format Obsługiwane interfejsy API i interfejsy Obsługiwane w kierunku północnym Zweryfikowano
PEM Tak Tak Tak
* PKCS12 Tak Tak Tak
Uwaga: Apigee wewnętrznie konwertuje
PKCS12 na PEM.
* DER Nie Nie Tak
* PKCS7 Nie Nie Nie

* Jeśli to możliwe, zalecamy korzystanie z PEM.

Informacje o implementowaniu aliasu

Keystore na platformie Edge zawiera co najmniej 1 alias, z którego każdy zawiera:

  • Certyfikat TLS jako plik PEM lub PKCS12/PFX – certyfikat podpisany przez urząd certyfikacji (CA), plik zawierający łańcuch certyfikatów, w którym ostatni certyfikat jest podpisany przez urząd certyfikacji lub samodzielnie podpisany certyfikat.
  • Klucz prywatny jako plik PEM lub PKCS12/PFX. Edge obsługuje klucze o rozmiarze do 2048 bitów. Hasło jest opcjonalne.

Eksploracja zaufania na serwerach brzegowych zawiera co najmniej 1 alias, gdzie każdy z nich zawiera:

  • Certyfikat TLS jako plik PEM – certyfikat podpisany przez urząd certyfikacji (CA), łańcuch certyfikatów, w którym ostatni certyfikat jest podpisany przez urząd certyfikacji lub samodzielnie podpisany certyfikat.

Edge zapewnia interfejs użytkownika i interfejs API, których używasz do tworzenia magazynów kluczy, tworzenia aliasów, przesyłania par certyfikatów i kluczy oraz aktualizowania certyfikatów. Interfejs i interfejs API, których używasz do utworzenia magazynu zaufania, są takie same jak te, których używasz do utworzenia magazynu kluczy. Różnica polega na tym, że podczas tworzenia magazynu zaufania musisz utworzyć aliasy zawierające tylko certyfikat.

Informacje o formacie pliku certyfikatu i kluczy

Certyfikaty i klucze możesz przedstawiać jako pliki PEM lub PKCS12/PFX. Pliki PEM są zgodne z formatem X.509. Jeśli Twój certyfikat lub klucz prywatny nie jest określony przez plik PEM, możesz przekonwertować go na plik PEM, używając narzędzi takich jak openssl.

Wiele plików .crt i .key jest już w formacie PEM. Jeśli są to pliki tekstowe:

-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----

lub

-----BEGIN ENCRYPTED PRIVATE KEY-----
-----END ENCRYPTED PRIVATE KEY-----

Pliki te są zgodne z formatem PEM i możesz ich używać w magazynie kluczy lub w magazynie zaufanych bez konwertowania ich na plik PEM.

Informacje o łańcuchach certyfikatów

Jeśli certyfikat jest częścią łańcucha, musisz go obsługiwać w zależności od tego, czy certyfikat jest używany w magazynie kluczy, czy w magazynie zaufania:

  • magazyn kluczy – jeśli certyfikat jest częścią łańcucha, musisz utworzyć pojedynczy plik zawierający wszystkie certyfikaty w łańcuchu. Certyfikaty muszą działać prawidłowo, a ostatni musi być certyfikatem głównym lub pośrednim podpisanym certyfikatem głównym.
  • Truststore – jeśli certyfikat jest częścią łańcucha, musisz utworzyć jeden plik zawierający wszystkie certyfikaty i przesłać ten plik do aliasu lub przesłać wszystkie certyfikaty w łańcuchu oddzielnie do magazynu zaufania, używając innego aliasu dla każdego certyfikatu. Jeśli przesyłasz je jako pojedynczy certyfikat, certyfikaty muszą być w porządku, a ostatni certyfikat musi być certyfikatem głównym lub pośrednim podpisanym certyfikatem głównym.
  • Jeśli tworzysz pojedynczy plik zawierający wiele certyfikatów, między każdym z nich musisz wstawić pusty wiersz.

Możesz na przykład połączyć wszystkie certyfikaty w jednym pliku PEM. Certyfikaty muszą mieć odpowiednią kolejność, a ostatni certyfikat musi być certyfikatem głównym lub pośrednim podpisanym certyfikatem głównym:

-----BEGIN CERTIFICATE----- 
(Your Primary TLS certificate) 
-----END CERTIFICATE----- 

-----BEGIN CERTIFICATE----- 
(Intermediate certificate) 
-----END CERTIFICATE-----
 
-----BEGIN CERTIFICATE----- 
(Root certificate or intermediate certificate signed by a root certificate) 
-----END CERTIFICATE-----

Jeśli Twoje certyfikaty są przedstawiane jako pliki PKCS12/PFX, możesz użyć polecenia openssl, aby utworzyć plik PKCS12/PFX z łańcucha certyfikatów, jak pokazano poniżej:

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

Współpracując z łańcuchami certyfikatów w magazynu certyfikatów, nie zawsze musisz przesyłać wszystkie certyfikaty w łańcuchu. Na przykład prześlesz certyfikat klienta client_cert_1 oraz certyfikat wydawcy certyfikatu klienta (ca_cert).

Podczas uwierzytelniania dwukierunkowego TLS uwierzytelnianie klienta kończy się powodzeniem, gdy serwer wysyła do klienta client_cert_1 w ramach procesu uzgadniania połączenia TLS.

Możesz też mieć drugi certyfikat, client_cert_2, podpisany tym samym certyfikatem: ca_cert. Nie przesyłasz jednak pliku client_cert_2 do magazynu zaufania. Magazyn zaufania nadal zawiera tylko client_cert_1 i ca_cert.

Gdy serwer przekazuje client_cert_2 w ramach uzgadniania połączenia TLS, żądanie zostaje zrealizowane. Wynika to z faktu, że Edge zezwala na pomyślną weryfikację TLS, gdy client_cert_2 nie istnieje w magazynie zaufania, ale został podpisany certyfikatem wystawionym w magazynie. Jeśli usuniesz certyfikat CA ca_cert z magazynu zaufania, weryfikacja TLS się nie powiedzie.

Przeglądanie strony Magazyny kluczy TLS

Otwórz stronę Magazyny kluczy TLS w sposób opisany poniżej.

Edge

Aby uzyskać dostęp do magazynów kluczy TLS przy użyciu interfejsu Edge:

  1. Zaloguj się na stronie https://apigee.com/edge jako administrator organizacji.
  2. Wybierz swoją organizację.
  3. Wybierz Administracja > Środowisko > Magazyny kluczy TLS.

Classic Edge (prywatna w chmurze)

Aby uzyskać dostęp do magazynów kluczy TLS przy użyciu interfejsu klasycznej wersji Edge:

  1. Zaloguj się w aplikacji http://ms-ip:9000 jako administrator organizacji, gdzie ms-ip to adres IP lub nazwa DNS węzła zarządzania serwerem.
  2. Wybierz swoją organizację.
  3. Wybierz Administracja > Konfiguracja środowiska > Magazyny kluczy TLS.

Zostanie wyświetlona strona Magazyny kluczy TLS:

Jak zaznaczyliśmy na poprzedniej ilustracji, na stronie magazynu kluczy TLS możesz:

Wyświetlanie aliasu

Aby wyświetlić alias:

  1. Otwórz stronę Magazyny kluczy TLS.
  2. Wybierz środowisko (zwykle jest to prod lub test).
  3. Kliknij wiersz powiązany z aliasem, który chcesz wyświetlić.

    Wyświetlą się szczegóły certyfikatu klucza i klucza.

    Zobaczysz wszystkie informacje o aliasie, w tym datę jego wygaśnięcia.

  4. Zarządzaj certyfikatem za pomocą przycisków u góry strony, aby:
    • Pobierz certyfikat jako plik PEM.
    • Wygeneruj żądanie podpisania certyfikatu. Jeśli masz certyfikat, który wygasł i chcesz go odnowić, możesz pobrać żądanie podpisania certyfikatu. Następnie musisz wysłać żądanie podpisania certyfikatu do urzędu certyfikacji, aby uzyskać nowy certyfikat.
    • Zaktualizuj certyfikat. Uwaga: jeśli aktualizujesz certyfikat, który jest obecnie używany przez hosta wirtualnego lub docelowego serwera/punktu docelowego, musisz skontaktować się z zespołem pomocy Apigee Edge, aby zrestartować routery i firmy obsługujące wiadomości. Aby zaktualizować certyfikat:
      1. utworzyć nowy magazyn kluczy lub magazyn zaufania,
      2. Dodaj nowy certyfikat do nowego magazynu kluczy lub magazynu zaufania.
      3. Zaktualizuj odwołanie na hoście wirtualnym albo do punktu końcowego serwera/docelowego serwera kluczy lub do magazynu kluczy. Więcej informacji znajdziesz w artykule o aktualizowaniu certyfikatu TLS dla chmury.
      4. Usuń alias. Uwaga: jeśli usuniesz alias, który jest obecnie używany przez hosta wirtualnego lub docelowego punktu końcowego, nie będzie on działał.

Tworzenie magazynu kluczy/magazynu kluczy i aliasu

Możesz utworzyć magazyn kluczy używany jako magazyn kluczy TLS lub magazyn zaufania TLS. Magazyn kluczy zależy od środowiska w organizacji, na przykład środowiska testowego lub produkcyjnego. Jeśli więc chcesz przetestować magazyn kluczy w środowisku testowym przed wdrożeniem go w środowisku produkcyjnym, musisz utworzyć go w obu środowiskach.

Aby utworzyć magazyn kluczy w środowisku, musisz określić tylko jego nazwę. Gdy utworzysz nazwany magazyn kluczy w środowisku, możesz utworzyć aliasy i przesłać do niego parę certyfikatów/kluczy (magazyn kluczy) lub przesłać tylko certyfikat (zaufany magazyn).

Aby utworzyć magazyn kluczy:

  1. Otwórz stronę Magazyny kluczy TLS.
  2. Wybierz środowisko (zwykle jest to prod lub test).
  3. Kliknij + Magazyn kluczy.
  4. Podaj nazwę magazynu kluczy. Nazwa może zawierać tylko znaki alfanumeryczne.
  5. Kliknij Dodaj magazyn kluczy. Nowy magazyn kluczy pojawi się na liście.
  6. Aby dodać alias, wykonaj jedną z tych czynności. Zobacz też obsługiwane formaty plików certyfikatów.

Tworzenie aliasu z certyfikatu (tylko magazyn zaufania)

Aby utworzyć alias z certyfikatu:

  1. Otwórz stronę Magazyny kluczy TLS.
  2. Najedź kursorem na magazyn kluczy, aby wyświetlić menu czynności, i kliknij +.
  3. Określ Alias Name.
  4. W sekcji Szczegóły certyfikatu w menu Typ wybierz Tylko certyfikat.
  5. Kliknij Wybierz plik obok Plik certyfikatu, przejdź do pliku PEM zawierającego certyfikat i kliknij Otwórz.
  6. Domyślnie interfejs API sprawdza, czy certyfikat nie stracił ważności. Opcjonalnie wybierz Zezwalaj na wygaśnięcie certyfikatu, aby pominąć weryfikację.
  7. Kliknij Zapisz, aby przesłać certyfikat i utworzyć alias.

Tworzenie aliasu z pliku JAR (tylko magazyn kluczy)

Aby utworzyć alias z pliku JAR:

  1. Otwórz stronę Magazyny kluczy TLS.
  2. Najedź kursorem na magazyn kluczy, aby wyświetlić menu czynności, i kliknij +.
  3. Określ Alias Name.
  4. W sekcji Certificate Details (Szczegóły certyfikatu) w menu Type (Typ) wybierz File JAR.
  5. Kliknij Wybierz plik obok Plik JAR, przejdź do pliku JAR zawierającego certyfikat i klucz oraz kliknij Otwórz.
  6. Jeśli klucz ma hasło, wpisz Password (Hasło). Jeśli klucz nie ma hasła, pozostaw to pole puste.
  7. Domyślnie interfejs API sprawdza, czy certyfikat nie stracił ważności. Opcjonalnie wybierz Zezwalaj na wygaśnięcie certyfikatu, aby pominąć weryfikację.
  8. Kliknij Save (Zapisz), aby przesłać klucz i certyfikat, a następnie utworzyć alias.

Tworzenie aliasu z certyfikatu i klucza (tylko magazyn kluczy)

Aby utworzyć alias z certyfikatu i klucza:

  1. Otwórz stronę Magazyny kluczy TLS.
  2. Najedź kursorem na magazyn kluczy, aby wyświetlić menu czynności, i kliknij +.
  3. Określ Alias Name.
  4. W sekcji Certificate Certificate (Szczegóły certyfikatu) z menu Type (Typ) wybierz Certyfikat i klucz.
  5. Kliknij Wybierz plik obok Plik certyfikatu, przejdź do pliku PEM zawierającego certyfikat i kliknij Otwórz.
  6. Jeśli klucz ma hasło, podaj hasło klucza. Jeśli klucz nie ma hasła, pozostaw to pole puste.
  7. Kliknij Wybierz plik obok opcji Plik klucza, przejdź do pliku PEM zawierającego klucz i kliknij Otwórz.
  8. Domyślnie interfejs API sprawdza, czy certyfikat nie stracił ważności. Opcjonalnie wybierz Zezwalaj na wygaśnięcie certyfikatu, aby pominąć weryfikację.
  9. Kliknij Save (Zapisz), aby przesłać klucz i certyfikat, a następnie utworzyć alias.

Tworzenie aliasu z pliku PKCS12/PFX (tylko magazyn kluczy)

Aby utworzyć alias z pliku PKCS12 zawierającego certyfikat i klucz:

  1. Otwórz stronę Magazyny kluczy TLS.
  2. Najedź kursorem na magazyn kluczy, aby wyświetlić menu czynności, i kliknij +.
  3. Określ Alias Name.
  4. W sekcji Certificate Certificate (Szczegóły certyfikatu) z menu Type (Typ) wybierz PKCS12/PFX.
  5. Kliknij Wybierz plik obok PKCS12/PFX, przejdź do pliku zawierającego klucz i certyfikat i kliknij Otwórz.
  6. Jeśli klucz ma hasło, podaj hasło do pliku PKCS12/PFX. Jeśli klucz nie ma hasła, pozostaw to pole puste.
  7. Domyślnie interfejs API sprawdza, czy certyfikat nie stracił ważności. Opcjonalnie wybierz Zezwalaj na wygaśnięcie certyfikatu, aby pominąć weryfikację.
  8. Kliknij Zapisz, aby przesłać plik i utworzyć alias.

Tworzenie aliasu z samodzielnie podpisanego certyfikatu (tylko magazyn kluczy)

Aby utworzyć alias, który korzysta z podpisanego samodzielnie certyfikatu, musisz wypełnić formularz z informacjami wymaganymi do utworzenia certyfikatu. Następnie Edge tworzy parę kluczy i certyfikatu oraz przesyła je do aliasu.

Aby utworzyć alias z samodzielnie podpisanego certyfikatu:

  1. Otwórz stronę Magazyny kluczy TLS.
  2. Najedź kursorem na magazyn kluczy, aby wyświetlić menu czynności, i kliknij +.
  3. Określ Alias Name.
  4. W sekcji Szczegóły certyfikatu w menu Typ wybierz Certyfikat podpisany przez siebie.
  5. Wypełnij formularz, korzystając z poniższej tabeli.
  6. Kliknij Zapisz, aby utworzyć parę certyfikatów i klucza prywatnego oraz przesłać je do aliasu.

W wygenerowanym certyfikacie zobaczysz te dodatkowe pola:

  • Wystawca
    Podmiot, który podpisał i wydał certyfikat. W przypadku samodzielnie podpisanego certyfikatu jest to numer CN określony podczas tworzenia certyfikatu.
  • Ważność certyfikatu
    Okres ważności certyfikatu podany jako 2 dni: data rozpoczęcia okresu ważności certyfikatu i data zakończenia okresu ważności certyfikatu. Oba mogą być kodowane jako wartości UTCTime lub GeneralizedTime.

Tabela poniżej opisuje pola formularza:

Pole formularza Opis Domyślna Wymagany
Nazwa aliasu Nazwa aliasu. Maksymalna długość to 128 znaków. Nie dotyczy Tak
Rozmiar klucza Rozmiar klucza w bitach. Wartość domyślna i maksymalna to 2048 bitów. 2048 Nie
Algorytm podpisu Algorytm podpisu, który generuje klucz prywatny. Prawidłowe wartości to „SHA512withRSA”, „SHA384withRSA” i „SHA256withRSA” (domyślnie). SHA256 z RSA Nie
Ważność certyfikatu w dniach Okres ważności certyfikatu (w dniach). Akceptuje dodatnią wartość inną niż zero. 365 Nie
Wspólna nazwa Nazwa pospolita (CN) organizacji określa w pełni kwalifikowane nazwy domen powiązane z certyfikatem. Zwykle składa się z nazwy hosta i nazwy domeny. Na przykład api.enterprise.apigee.com, www.apigee.com itp. Maksymalna długość to 64 znaki.

W zależności od typu certyfikatu CN może mieć jedną lub więcej nazw hostów należących do tej samej domeny (np. example.com, www.example.com), nazwę wieloznaczną (np. *.example.com) lub listę domen. Nie podawaj żadnych protokołów (http:// ani https://), numeru portu ani ścieżki zasobu.

Certyfikat jest ważny tylko wtedy, gdy nazwa hosta żądania jest zgodna z co najmniej 1 nazwą certyfikatu.

 Nie dotyczy Tak
Wyślij e-mailem Adres e-mail. Maksymalna długość to 255 znaków. Nie dotyczy Nie
Nazwa jednostki organizacyjnej Nazwa zespołu organizacji. Maksymalna długość to 64 znaki. Nie dotyczy Nie
Nazwa organizacji Nazwa organizacji. Maksymalna długość to 64 znaki. Nie dotyczy Nie
Miejscowość Nazwa miasta. Maksymalna długość to 128 znaków. Nie dotyczy Nie
Stan/region Nazwa stanu/prowincji. Maksymalna długość to 128 znaków. Nie dotyczy Nie
Kraj Dwuliterowy kod kraju. np. w Indiach, w Stanach Zjednoczonych w Stanach Zjednoczonych. Nie dotyczy Nie
Alternatywne nazwy Lista alternatywnych nazw hostów. Zezwala na powiązanie dodatkowych tożsamości z podmiotem certyfikatu. Zdefiniowane opcje obejmują elektroniczny adres pocztowy w internecie, nazwę DNS, adres IP oraz jednolity identyfikator zasobu (URI).

Maksymalnie 255 znaków na każdą wartość. Nazwy możesz oddzielić przecinkami lub nacisnąć klawisz Enter po każdej nazwie.

 Nie dotyczy Nie

Testowanie magazynu kluczy lub magazynu kluczy

Możesz przetestować magazyn zaufania i magazyn kluczy w interfejsie użytkownika Edge, aby sprawdzić, czy są poprawnie skonfigurowane. Testowanie interfejsu API weryfikuje żądanie TLS z Edge do usługi backendu. Usługę backendu można skonfigurować tak, aby obsługiwała jednokierunkową lub dwukierunkową obsługę TLS.

Aby przetestować jednokierunkową obsługę TLS:

  1. Otwórz stronę Magazyny kluczy TLS.
  2. Wybierz środowisko (zwykle jest to prod lub test).
  3. Najedź kursorem na magazyn kluczy TLS, który chcesz przetestować, aby wyświetlić menu czynności, i kliknij Przetestuj. Pojawi się następujące okno dialogowe z nazwą magazynu magazynu:
  4. Wpisz nazwę hosta usługi backendu.
  5. Wpisz numer portu TLS (zwykle 443).
  6. Opcjonalnie podaj protokoły lub mechanizmy szyfrowania.
  7. Kliknij Przetestuj.

Aby przetestować dwukierunkowe TLS:

  1. Kliknij przycisk Test obok wybranego magazynu zaufania.
  2. W oknie Typ testu SSL wybierz Dwukierunkowe dla okna dialogowego. Pojawi się to okno dialogowe:
  3. Podaj nazwę magazynu kluczy używanego w kierunku dwukierunkowego TLS.
  4. Podaj nazwę aliasu w magazynie kluczy zawierającej certyfikat i klucz.
  5. Wpisz nazwę hosta usługi backendu.
  6. Wpisz numer portu TLS (zwykle 443).
  7. Opcjonalnie podaj protokoły lub mechanizmy szyfrowania.
  8. Kliknij Przetestuj.

Dodawanie certyfikatu do magazynu zaufania dwukierunkowego TLS

Gdy używasz dwukierunkowego protokołu TLS w przypadku połączeń przychodzących, co oznacza żądanie API do Edge, magazyn zaufania zawiera certyfikat lub łańcuch certyfikatów dla każdego klienta, który może wysyłać żądania do Edge.

Podczas początkowej konfiguracji zaufania możesz dodać wszystkie certyfikaty dla znanych klientów. Z czasem możesz jednak dodawać kolejne certyfikaty do zaufanego magazynu.

Aby dodać nowe certyfikaty do magazynu zaufania używanego do dwukierunkowego TLS:

  1. Sprawdź, czy używasz odwołania do magazynu zaufania na hoście wirtualnym.
  2. Prześlij nowy certyfikat do zaufanego magazynu zgodnie z opisem w sekcji Tworzenie aliasu z certyfikatu (tylko w magazynie zaufania).

  3. Zaktualizuj odwołanie do magazynu zaufania, aby ustawić je na tę samą wartość. Ta aktualizacja powoduje, że Edge ponownie wczytuje magazyn zaufania i nowy certyfikat.

    Więcej informacji znajdziesz w sekcji Modyfikowanie pliku referencyjnego.

Usuwanie magazynu lub magazynu kluczy bądź aliasu

Zachowaj ostrożność podczas usuwania magazynu lub magazynu kluczy bądź aliasu. Jeśli usuniesz magazyn kluczy, magazyn zaufania lub alias, który jest używany przez hosta wirtualnego, docelowego punktu końcowego lub serwer docelowy, wszystkie wywołania interfejsu API kierowane przez hosta wirtualnego lub docelowy punkt końcowy bądź serwer docelowy będą kończyć się niepowodzeniem.

Zwykle usuwany magazyn kluczy lub magazyn kluczy jest:

  1. Utwórz nowy magazyn kluczy/magazyn zaufania lub alias w sposób opisany powyżej.
  2. W przypadku połączeń przychodzących, czyli żądań interfejsu API do Edge, zaktualizuj konfigurację hosta wirtualnego, tak aby odwoływał się do nowego magazynu kluczy i aliasu klucza.
  3. W przypadku połączeń wychodzących oznacza to, że z Apigee do serwera backendu:
    1. Zaktualizuj konfigurację TargetEndpoint wszystkich serwerów proxy interfejsu API, które odwołują się do starego magazynu kluczy i aliasu klucza, aby odwoływały się do nowego magazynu kluczy i aliasu klucza. Jeśli Twój punkt końcowy Point odwołuje się do elementu TargetServer, zaktualizuj jego definicję, aby odwoływał się do nowego magazynu kluczy i aliasu.
    2. Jeśli magazyn kluczy i magazyn zaufania są wywoływane bezpośrednio z definicji celu końcowego, musisz ponownie wdrożyć serwer proxy. Jeśli cel docelowy odwołuje się do definicji TargetServer, a definicja TargetServer odwołuje się do magazynu kluczy i magazynu zaufania, nie jest konieczne ponowne wdrażanie serwera proxy.
  4. Sprawdź, czy serwery proxy interfejsu API działają prawidłowo.
  5. Usuń magazyn kluczy/magazyn kluczy lub alias.

Usuwanie magazynu kluczy

Możesz usunąć magazyn kluczy lub magazyn zaufania, umieszczając na liście kursor lub magazyn kluczy w celu wyświetlenia menu czynności i klikając . Jeśli usuniesz magazyn kluczy lub magazyn zaufania, który jest używany przez hosta wirtualnego lub docelowy punkt końcowy lub serwer docelowy, wszystkie wywołania interfejsu API kierowane przez hosta wirtualnego lub docelowy punkt końcowy bądź serwer docelowy będą kończyć się niepowodzeniem.

Uwaga: nie usuwaj magazynu kluczy, dopóki nie przekonwertowasz wirtualnych hostów i docelowych punktów końcowych/serwerów docelowych na nowy magazyn kluczy.

Usuwanie aliasu

Możesz usunąć alias, umieszczając kursor na aliasie na liście, aby wyświetlić menu czynności, a następnie kliknąć . Jeśli usuniesz alias używany przez hosta wirtualnego lub docelowy punkt końcowy bądź serwer docelowy, wszystkie wywołania interfejsu API przez hosta wirtualnego lub docelowy punkt końcowy bądź serwer docelowy będą kończyć się niepowodzeniem.

Uwaga: nie usuwaj aliasu, dopóki nie przekonwertowasz wirtualnych hostów i docelowych punktów końcowych/serwerów docelowych w celu użycia nowego magazynu kluczy i aliasu.