Tworzenie magazynów kluczy i magazynu zaufania za pomocą interfejsu użytkownika Edge

Wyświetlasz dokumentację Apigee Edge.
Otwórz dokumentację Apigee X. informacje.

Ten dokument opisuje, jak tworzyć, modyfikować i usuwać magazyny kluczy oraz magazyny zaufania dla Edge dla Cloud oraz Edge dla Private Cloud w wersji 4.18.01 i nowszych.

Informacje o magazynach kluczy/magazynach zaufania i hostach wirtualnych dla Edge Cloud

Proces tworzenia magazynów kluczy i magazynów zaufania dla Edge Cloud wymaga przestrzegania wszystkich reguł dotyczących korzystania z hostów wirtualnych. Na przykład w przypadku hostów wirtualnych w chmurze:

  • Hosty wirtualne muszą używać TLS.
  • Hosty wirtualne mogą używać tylko portu 443.
  • Musisz użyć podpisanego certyfikatu TLS. Niepodpisanych certyfikatów nie można używać z hostami wirtualnymi w chmurze.
  • Nazwa domeny określona w certyfikacie TLS musi być zgodna z aliasem hosta wirtualnego.

Więcej informacji:

Wdrażanie magazynów kluczy i magazynów zaufania w Edge

Aby skonfigurować funkcje, które wymagają infrastruktury kluczy publicznych, np. TLS, musisz utworzyć magazyny kluczy i magazyny zaufania zawierające niezbędne klucze i certyfikaty cyfrowe.

W Edge zarówno magazyny kluczy, jak i magazyny zaufania są reprezentowane przez encję keystore, która zawiera co najmniej 1 alias. Oznacza to, że nie ma różnicy w implementacji między magazynem kluczy a magazynem zaufania na Edge.

Różnica między magazynami kluczy a magazynem zaufania zależy od rodzajów zawartych w nich wpisów i sposobu ich użycia podczas uzgadniania połączenia TLS:

  • Keystore – encja keystore zawierająca co najmniej jeden alias, w którym każdy alias zawiera parę certyfikat/klucz.
  • truststore – encja keystore zawierająca co najmniej 1 alias, przy czym każdy alias zawiera tylko certyfikat.

W przypadku konfigurowania protokołu TLS dla wirtualnego hosta lub docelowego punktu końcowego, magazyny kluczy i magazyny zaufania mają różne role w procesie uzgadniania połączenia TLS. Podczas konfigurowania wirtualnego hosta lub docelowego punktu końcowego musisz osobno określić magazyny kluczy i magazyny zaufania w tagu <SSLInfo>, jak pokazano poniżej w przypadku hosta wirtualnego:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>false</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
    </SSLInfo>
</VirtualHost>

W tym przykładzie podajesz nazwę magazynu kluczy i alias używane przez hosta wirtualnego na potrzeby jego magazynu kluczy TLS. Nazwę magazynu kluczy możesz użyć za pomocą odwołania, aby można było ją później zmienić po wygaśnięciu certyfikatu. Alias zawiera parę certyfikat/klucz używany do identyfikowania hosta wirtualnego dla klienta TLS uzyskującego dostęp do hosta wirtualnego. W tym przykładzie magazyn zaufania nie jest wymagany.

Jeśli magazyn zaufania jest wymagany, na przykład na potrzeby dwukierunkowej konfiguracji TLS, użyj tagu <TrustStore>, aby go określić:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>true</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
        <TrustStore>ref://truststoreref</TrustStore>
    </SSLInfo>
</VirtualHost>

W tym przykładzie tag <TrustStore> odwołuje się tylko do magazynu kluczy i nie określa konkretnego aliasu. Każdy alias w magazynie kluczy zawiera certyfikat lub łańcuch certyfikatów, który jest używany w ramach procesu uzgadniania połączenia TLS.

Obsługiwane formaty certyfikatów

Format Obsługa przesyłania za pomocą interfejsu API i interfejsu Obsługa w kierunku północnym Zweryfikowano
PEM Tak Tak Tak
* PKCS12 Tak Tak Tak
Uwaga: Apigee wewnętrznie konwertuje
PKCS12 na PEM.
* DER Nie Nie Tak
* PKCS7 Nie Nie Nie

* W miarę możliwości zalecamy używanie narzędzia PEM.

Informacje o implementowaniu aliasu

W Edge magazyn kluczy zawiera co najmniej 1 alias, który zawiera:

  • Certyfikat TLS jako plik PEM lub PKCS12/PFX – certyfikat podpisany przez urząd certyfikacji (CA), plik zawierający łańcuch certyfikatów, w którym ostatni certyfikat jest podpisany przez urząd certyfikacji, albo certyfikat podpisany samodzielnie.
  • Klucz prywatny jako plik PEM lub PKCS12/PFX. Edge obsługuje klucze o rozmiarze do 2048 bitów. Hasło jest opcjonalne.

W Edge truststore zawiera co najmniej 1 alias, gdzie każdy alias zawiera:

  • Certyfikat TLS jako plik PEM: certyfikat podpisany przez urząd certyfikacji (CA), łańcuch certyfikatów, w którym ostatni certyfikat jest podpisany przez urząd certyfikacji, lub certyfikat podpisany samodzielnie.

Edge udostępnia interfejs użytkownika i interfejs API, które pozwalają tworzyć magazyny kluczy, tworzyć aliasy, przesyłać pary certyfikatów i kluczy oraz aktualizować certyfikaty. Interfejs użytkownika i interfejs API, których używasz do utworzenia magazynu kluczy, są takie same jak do tworzenia magazynu kluczy. Różnica polega na tym, że podczas tworzenia magazynu zaufania tworzy się aliasy zawierające tylko certyfikat.

Format plików certyfikatu i kluczy

Certyfikaty i klucze możesz przedstawiać jako pliki PEM lub PKCS12/PFX. Pliki PEM są zgodne z formatem X.509. Jeśli Twój certyfikat lub klucz prywatny nie jest zdefiniowany w pliku PEM, możesz go przekonwertować na plik PEM, korzystając z takich narzędzi jak openssl.

Jednak wiele plików .crt i .key jest już w formacie PEM. Jeśli te pliki są plikami tekstowymi i zostały ujęte w:

-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----

lub

-----BEGIN ENCRYPTED PRIVATE KEY-----
-----END ENCRYPTED PRIVATE KEY-----

Dzięki temu pliki są zgodne z formatem PEM i możesz ich używać w magazynie kluczy lub zaufania bez konieczności konwertowania ich na plik PEM.

Informacje o łańcuchach certyfikatów

Jeśli certyfikat jest częścią łańcucha, możesz go obsługiwać w różny sposób w zależności od tego, czy jest on używany w magazynie kluczy czy w magazynie zaufania:

  • Magazyn kluczy – jeśli certyfikat jest częścią łańcucha, musisz utworzyć jeden plik ze wszystkimi certyfikatami w łańcuchu. Certyfikaty muszą być uporządkowane, a ostatni certyfikat musi być certyfikatem głównym lub pośrednim podpisanym certyfikatem głównym.
  • Truststore – jeśli certyfikat jest częścią łańcucha, musisz utworzyć jeden plik zawierający wszystkie certyfikaty i przesłać ten plik do aliasu lub przesłać wszystkie certyfikaty w łańcuchu oddzielnie do magazynu zaufania, używając dla każdego certyfikatu innego aliasu. Jeśli prześlesz je w postaci pojedynczego certyfikatu, muszą one być podane w odpowiedniej kolejności, a ostatni musi być certyfikatem głównym lub pośrednim podpisanym certyfikatem głównym.
  • Jeśli tworzysz jeden plik zawierający wiele certyfikatów, między każdym z nich musisz wstawić pusty wiersz.

Możesz na przykład połączyć wszystkie certyfikaty w jeden plik PEM. Certyfikaty muszą być określone w określonej kolejności, a ostatni certyfikat musi być certyfikatem głównym lub pośrednim podpisanym certyfikatem głównym:

-----BEGIN CERTIFICATE----- 
(Your Primary TLS certificate) 
-----END CERTIFICATE----- 

-----BEGIN CERTIFICATE----- 
(Intermediate certificate) 
-----END CERTIFICATE-----
 
-----BEGIN CERTIFICATE----- 
(Root certificate or intermediate certificate signed by a root certificate) 
-----END CERTIFICATE-----

Jeśli certyfikaty są reprezentowane jako pliki PKCS12/PFX, możesz użyć polecenia openssl do utworzenia pliku PKCS12/PFX na podstawie łańcucha certyfikatów w następujący sposób:

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

Podczas pracy z łańcuchami certyfikatów w magazynie zaufania nie zawsze musisz przesyłać wszystkie certyfikaty w łańcuchu. Na przykład możesz przesłać certyfikat klienta (client_cert_1) i certyfikat wydawcy certyfikatu klienta (ca_cert).

W przypadku dwukierunkowego uwierzytelniania TLS uwierzytelnianie klienta kończy się powodzeniem, gdy serwer wysyła do klienta client_cert_1 w ramach procesu uzgadniania połączenia TLS.

Możesz też mieć drugi certyfikat (client_cert_2) podpisany tym samym certyfikatem: ca_cert. Nie przesyłasz jednak client_cert_2 do magazynu zaufania. Magazyn zaufania nadal zawiera tylko client_cert_1 i ca_cert.

Gdy serwer przekaże client_cert_2 w ramach uzgadniania połączenia TLS, żądanie zostanie zrealizowane. Wynika to z faktu, że Edge umożliwia weryfikację TLS, gdy domena client_cert_2 nie istnieje w magazynie zaufania, ale została podpisana za pomocą certyfikatu istniejącego w tym magazynie. Jeśli usuniesz certyfikat CA ca_cert z magazynu zaufania, weryfikacja TLS zakończy się niepowodzeniem.

Poznawanie strony Magazyny kluczy TLS

Otwórz stronę Magazyny kluczy TLS w sposób opisany poniżej.

Edge

Aby uzyskać dostęp do strony magazynów kluczy TLS przy użyciu interfejsu użytkownika Edge:

  1. Zaloguj się na stronie https://apigee.com/edge jako administrator organizacji.
  2. Wybierz swoją organizację.
  3. Wybierz Administracja > Środowisko > Magazyny kluczy TLS.

Klasyczna wersja Edge (Private Cloud)

Aby uzyskać dostęp do strony magazynów kluczy TLS przy użyciu klasycznego interfejsu użytkownika Edge:

  1. Zaloguj się w usłudze http://ms-ip:9000 jako administrator organizacji, gdzie ms-ip to adres IP lub nazwa DNS węzła serwera zarządzania.
  2. Wybierz swoją organizację.
  3. Wybierz Administracja > Konfiguracja środowiska > Magazyny kluczy TLS.

Zostanie wyświetlona strona Magazyny kluczy TLS:

Jak już wspomnieliśmy na poprzednim ilustracji, strona Magazyny kluczy TLS umożliwia:

Wyświetlanie aliasu

Aby wyświetlić alias:

  1. Otwórz stronę Magazyny kluczy TLS.
  2. Wybierz środowisko (zwykle prod lub test).
  3. Kliknij wiersz powiązany z aliasem, który chcesz wyświetlić.

    Zostaną wyświetlone szczegóły aliasu certyfikatu i klucza.

    Możesz wyświetlić wszystkie informacje o aliasie, w tym datę ważności.

  4. Zarządzaj certyfikatem za pomocą przycisków u góry strony, aby:
    • Pobierz certyfikat jako plik PEM.
    • Wygeneruj żądanie podpisania certyfikatu. Jeśli masz wygasły certyfikat i chcesz go odnowić, możesz pobrać żądanie podpisania certyfikatu. Następnie należy wysłać przedstawiciela obsługi klienta do urzędu certyfikacji, aby uzyskać nowy certyfikat.
    • Zaktualizuj certyfikat. Uwaga: jeśli zaktualizujesz certyfikat, który jest obecnie używany przez hosta wirtualnego lub serwer docelowy bądź docelowy punkt końcowy, musisz skontaktować się z zespołem pomocy Apigee Edge, aby ponownie uruchomić routery i procesory wiadomości. Zalecany sposób aktualizowania certyfikatu to:
      1. Utwórz nowy magazyn kluczy lub magazyn zaufania.
      2. Dodaj nowy certyfikat do nowego magazynu kluczy lub zaufanego magazynu.
      3. Zaktualizuj dokumentację w hoście wirtualnym albo serwerze docelowym/docelowym punkcie końcowym do magazynu kluczy lub zaufanego magazynu. Więcej informacji znajdziesz w artykule Aktualizowanie certyfikatu TLS dla chmury.
      4. Usuń alias. Uwaga: jeśli usuniesz alias, który jest obecnie używany przez wirtualny host lub punkt końcowy docelowego, host wirtualny lub punkt końcowy przestanie działać.

Tworzenie magazynu kluczy/magazynu zaufania oraz aliasu

Możesz utworzyć magazyn kluczy do użytku jako magazyn kluczy TLS lub magazyn zaufania TLS. Magazyn kluczy jest przypisany do środowiska w organizacji, na przykład środowiska testowego lub produkcyjnego. Jeśli więc chcesz przetestować magazyn kluczy w środowisku testowym przed wdrożeniem w środowisku produkcyjnym, musisz utworzyć go w obu środowiskach.

Aby utworzyć magazyn kluczy w środowisku, musisz tylko podać jego nazwę. Gdy utworzysz w środowisku nazwany magazyn kluczy, możesz utworzyć aliasy i przesłać do aliasu parę certyfikatów i kluczy (magazyn kluczy) albo przesłać do niego tylko certyfikat (truststore).

Aby utworzyć magazyn kluczy:

  1. Otwórz stronę Magazyny kluczy TLS.
  2. Wybierz środowisko (zwykle prod lub test).
  3. Kliknij + Magazyn kluczy.
  4. Podaj nazwę magazynu kluczy. Nazwa może zawierać tylko znaki alfanumeryczne.
  5. Kliknij Dodaj magazyn kluczy. Nowy magazyn kluczy pojawi się na liście.
  6. Aby dodać alias, wykonaj jedną z poniższych procedur. Zobacz też Obsługiwane formaty plików certyfikatów.

Tworzenie aliasu na podstawie certyfikatu (tylko dla magazynu zaufania)

Aby utworzyć alias na podstawie certyfikatu:

  1. Otwórz stronę Magazyny kluczy TLS.
  2. Najedź kursorem na magazyn kluczy, aby wyświetlić menu czynności, i kliknij +.
  3. Podaj Nazwę aliasu.
  4. W sekcji Szczegóły certyfikatu z menu Typ wybierz Tylko certyfikat.
  5. Kliknij Wybierz plik obok Plik certyfikatu, przejdź do pliku PEM z certyfikatem i kliknij Otwórz.
  6. Domyślnie interfejs API sprawdza, czy certyfikat nie wygasł. Opcjonalnie wybierz Zezwalaj na wygasły certyfikat, aby pominąć weryfikację.
  7. Wybierz Zapisz, aby przesłać certyfikat i utworzyć alias.

Tworzenie aliasu na podstawie pliku JAR (tylko magazyn kluczy)

Aby utworzyć alias na podstawie pliku JAR:

  1. Otwórz stronę Magazyny kluczy TLS.
  2. Najedź kursorem na magazyn kluczy, aby wyświetlić menu czynności, i kliknij +.
  3. Podaj Nazwę aliasu.
  4. W sekcji Szczegóły certyfikatu z menu Typ wybierz Plik JAR.
  5. Obok opcji Plik JAR kliknij Wybierz plik, przejdź do pliku JAR zawierającego certyfikat i klucz, a następnie kliknij Otwórz.
  6. Jeśli klucz zawiera hasło, podaj Hasło. Jeśli klucz nie ma hasła, pozostaw to pole puste.
  7. Domyślnie interfejs API sprawdza, czy certyfikat nie wygasł. Opcjonalnie wybierz Zezwalaj na wygasły certyfikat, aby pominąć weryfikację.
  8. Wybierz Zapisz, aby przesłać klucz i certyfikat oraz utworzyć alias.

Tworzenie aliasu na podstawie certyfikatu i klucza (tylko w magazynie kluczy)

Aby utworzyć alias na podstawie certyfikatu i klucza:

  1. Otwórz stronę Magazyny kluczy TLS.
  2. Najedź kursorem na magazyn kluczy, aby wyświetlić menu czynności, i kliknij +.
  3. Podaj Nazwę aliasu.
  4. W sekcji Szczegóły certyfikatu z menu Typ wybierz Certyfikat i klucz.
  5. Obok opcji Plik certyfikatu kliknij Wybierz plik, przejdź do pliku PEM z certyfikatem i kliknij Otwórz.
  6. Jeśli klucz ma hasło, podaj Hasło klucza. Jeśli klucz nie ma hasła, pozostaw to pole puste.
  7. Obok opcji Plik klucza kliknij Wybierz plik, przejdź do pliku PEM zawierającego klucz i kliknij Otwórz.
  8. Domyślnie interfejs API sprawdza, czy certyfikat nie wygasł. Opcjonalnie wybierz Zezwalaj na wygasły certyfikat, aby pominąć weryfikację.
  9. Wybierz Zapisz, aby przesłać klucz i certyfikat oraz utworzyć alias.

Tworzenie aliasu z pliku PKCS12/PFX (tylko magazyn kluczy)

Aby utworzyć alias na podstawie pliku PKCS12 zawierającego certyfikat i klucz:

  1. Otwórz stronę Magazyny kluczy TLS.
  2. Najedź kursorem na magazyn kluczy, aby wyświetlić menu czynności, i kliknij +.
  3. Podaj Nazwę aliasu.
  4. W sekcji Szczegóły certyfikatu z menu Typ wybierz PKCS12/PFX.
  5. Obok PKCS12/PFX kliknij Wybierz plik, przejdź do pliku zawierającego klucz i certyfikat, a następnie kliknij Otwórz.
  6. Jeśli klucz zawiera hasło, podaj Hasło pliku PKCS12/PFX. Jeśli klucz nie ma hasła, pozostaw to pole puste.
  7. Domyślnie interfejs API sprawdza, czy certyfikat nie wygasł. Opcjonalnie wybierz Zezwalaj na wygasły certyfikat, aby pominąć weryfikację.
  8. Kliknij Zapisz, aby przesłać plik i utworzyć alias.

Tworzenie aliasu z certyfikatu podpisanego samodzielnie (tylko dla magazynu kluczy)

Aby utworzyć alias korzystający z certyfikatu podpisanego samodzielnie, wypełnij formularz, podając informacje niezbędne do utworzenia certyfikatu. Edge utworzy następnie certyfikat i parę kluczy prywatnych, a następnie prześle je do aliasu.

Aby utworzyć alias na podstawie samodzielnie podpisanego certyfikatu:

  1. Otwórz stronę Magazyny kluczy TLS.
  2. Najedź kursorem na magazyn kluczy, aby wyświetlić menu czynności, i kliknij +.
  3. Podaj Nazwę aliasu.
  4. W sekcji Szczegóły certyfikatu z menu Typ wybierz Samodzielnie podpisany certyfikat.
  5. Wypełnij formularz, korzystając z poniższej tabeli.
  6. Wybierz Zapisz, aby utworzyć parę certyfikatu i klucza prywatnego oraz przesłać je do aliasu.

W wygenerowanym certyfikacie widoczne będą te dodatkowe pola:

  • Wystawca
    Podmiot, który podpisał i wydał certyfikat. W przypadku certyfikatu podpisanego samodzielnie jest to numer CN podany podczas tworzenia certyfikatu.
  • Ważność
    Okres ważności certyfikatu przedstawiony jako 2 daty: data rozpoczęcia okresu ważności certyfikatu i data zakończenia okresu jego ważności. Oba typy można zakodować jako wartości UTCTime lub GeneralizedTime.

Pola formularza są opisane w poniższej tabeli:

Pole formularza Opis Domyślnie Wymagane
Nazwa aliasu Nazwa aliasu. Maksymalna długość to 128 znaków. Nie dotyczy Tak
Rozmiar klucza Rozmiar klucza w bitach. Wartość domyślna i maksymalna to 2048 bitów. 2048 Nie
Algorytm podpisu Algorytm podpisu używany do generowania klucza prywatnego. Prawidłowe wartości to „SHA512withRSA”, „SHA384withRSA” i „SHA256withRSA” (domyślnie). SHA256zRSA Nie
Ważność certyfikatu w dniach Okres ważności certyfikatu w dniach. Akceptuje dodatnie wartości różne od zera. 365 Nie
Wspólna nazwa Nazwa pospolita (Common Name – CN) organizacji identyfikuje w pełni kwalifikowane nazwy domen powiązane z certyfikatem. Zwykle składa się z nazwy hosta i nazwy domeny. Przykład: api.enterprise.apigee.com, www.apigee.com itp. Maksymalna długość to 64 znaki.

W zależności od typu certyfikatu nazwą hosta może być co najmniej jedna nazwa hosta należąca do tej samej domeny (np. example.com, www.example.com), nazwa symbolu wieloznacznego (np. *.example.com) lub lista domen. Nie podawaj żadnego protokołu (http:// lub https://), numeru portu ani ścieżki zasobu.

Certyfikat jest ważny tylko wtedy, gdy nazwa hosta żądania jest zgodna z co najmniej jedną ze wspólnych nazw certyfikatów.

 Nie dotyczy Tak
Wyślij e-mailem Adres e-mail. Maksymalna długość to 255 znaków. Nie dotyczy Nie
Nazwa jednostki organizacyjnej Nazwa zespołu organizacji. Maksymalna długość to 64 znaki. Nie dotyczy Nie
Nazwa organizacji Nazwa organizacji. Maksymalna długość to 64 znaki. Nie dotyczy Nie
Miejscowość Nazwa miasta. Maksymalna długość to 128 znaków. Nie dotyczy Nie
Region Nazwa stanu/prowincji. Maksymalna długość to 128 znaków. Nie dotyczy Nie
Kraj Dwuliterowy kod kraju. Na przykład „IN” dla Indii, „US” dla Stanów Zjednoczonych. Nie dotyczy Nie
Nazwy alternatywne Lista alternatywnych nazw hostów. Umożliwia powiązanie dodatkowych tożsamości z podmiotem certyfikatu. Zdefiniowane opcje obejmują internetowy adres poczty elektronicznej, nazwę DNS, adres IP i identyfikator URI.

Maksymalnie 255 znaków dla każdej wartości. Nazwy możesz rozdzielić przecinkami lub naciskając klawisz Enter po każdej z nich.

 Nie dotyczy Nie

Testowanie magazynu kluczy lub magazynu kluczy

Możesz przetestować magazyn zaufania i magazyn kluczy w interfejsie użytkownika Edge, aby sprawdzić, czy są prawidłowo skonfigurowane. Test Ui weryfikuje żądanie TLS z Edge do usługi backendu. Usługę backendu można skonfigurować pod kątem obsługi jedno- lub dwukierunkowego protokołu TLS.

Aby przetestować jednokierunkowe szyfrowanie TLS:

  1. Otwórz stronę Magazyny kluczy TLS.
  2. Wybierz środowisko (zwykle prod lub test).
  3. Najedź kursorem na magazyn kluczy TLS, który chcesz przetestować, aby wyświetlić menu czynności, i kliknij Przetestuj. Pojawi się okno z nazwą magazynu zaufania:
  4. Wpisz nazwę hosta usługi backendu.
  5. Wpisz numer portu TLS (zwykle jest to 443).
  6. Opcjonalnie podaj protokoły lub mechanizmy szyfrowania.
  7. Kliknij Przetestuj.

Aby przetestować dwukierunkowe protokół TLS:

  1. Przy odpowiednim magazynie zaufania kliknij przycisk Przetestuj.
  2. W oknie dialogowym wybierz Two Way (Dwukierunkowa) w polu SSL Test Type (Typ testu SSL). Pojawi się następujące okno dialogowe:
  3. Podaj nazwę magazynu kluczy używanego w dwukierunkowym protokole TLS.
  4. Podaj nazwę aliasu w magazynie kluczy zawierającym certyfikat i klucz.
  5. Wpisz nazwę hosta usługi backendu.
  6. Wpisz numer portu TLS (zwykle jest to 443).
  7. Opcjonalnie podaj protokoły lub mechanizmy szyfrowania.
  8. Kliknij Przetestuj.

Dodawanie certyfikatu do magazynu zaufania dla dwukierunkowego protokołu TLS

W przypadku używania dwukierunkowego protokołu TLS do połączeń przychodzących, czyli żądania do interfejsu API do Edge, magazyn zaufania zawiera certyfikat lub łańcuch urzędów certyfikacji dla każdego klienta, który może wysyłać żądania do Edge.

Podczas początkowego konfigurowania magazynu zaufania możesz dodać wszystkie certyfikaty znanych klientów. Z czasem jednak możesz chcieć dodawać do niego kolejne certyfikaty, dodając nowych klientów.

Aby dodać nowe certyfikaty do magazynu zaufania używanego na potrzeby dwukierunkowego protokołu TLS:

  1. Sprawdź, czy używasz odwołania do magazynu zaufania na hoście wirtualnym.
  2. Prześlij nowy certyfikat do magazynu zaufanych zgodnie z instrukcjami w sekcji Tworzenie aliasu z certyfikatu (tylko w magazynie zaufania).

  3. Zaktualizuj odniesienie do magazynu zaufania, aby ustawić dla niego tę samą wartość. Ta aktualizacja powoduje, że Edge ponownie wczytuje magazyn zaufania i nowy certyfikat.

    Więcej informacji znajdziesz w artykule Modyfikowanie pliku referencyjnego.

Usuwanie magazynu kluczy, magazynu kluczy lub aliasu

Gdy usuwasz magazyn kluczy, magazyn zaufania lub alias, musisz zachować ostrożność. Jeśli usuniesz magazyn kluczy, magazyn zaufania lub alias używany przez hosta wirtualnego, docelowy punkt końcowy lub serwer docelowy, wszystkie wywołania interfejsu API wysyłane przez hosta wirtualnego, docelowy punkt końcowy/serwer docelowy zakończą się niepowodzeniem.

Zwykle proces usuwania magazynu kluczy, magazynu zaufania lub aliasu to:

  1. Utwórz nowy magazyn kluczy/magazyn zaufania albo alias w sposób opisany powyżej.
  2. W przypadku połączeń przychodzących, czyli żądania do interfejsu API do Edge, zaktualizuj konfigurację hosta wirtualnego, aby odwoływała się do nowego magazynu kluczy i aliasu kluczy.
  3. W przypadku połączeń wychodzących, czyli z Apigee do serwera backendu:
    1. Zaktualizuj konfigurację TargetEndpoint wszystkich serwerów proxy interfejsu API, które odwoływały się do starego magazynu kluczy i aliasu kluczy, aby odwoływały się do nowego magazynu kluczy i aliasu kluczy. Jeśli docelowy punkt końcowy odwołuje się do serwera docelowego, zaktualizuj definicję serwera docelowego, aby odwoływała się do nowego magazynu kluczy i aliasu klucza.
    2. Jeśli do magazynu kluczy i zaufanych magazynów odwołuje się bezpośrednio z definicji punktu końcowego docelowego, musisz ponownie wdrożyć serwer proxy. Jeśli docelowy punkt końcowy odwołuje się do definicji serwera docelowego, a definicja serwera docelowego odnosi się do magazynu kluczy i magazynu zaufanych, nie jest konieczne ponowne wdrożenie serwera proxy.
  4. Sprawdź, czy serwery proxy interfejsu API działają prawidłowo.
  5. Usuń magazyn kluczy, magazyn zaufania lub alias.

Usuwanie magazynu kluczy

Aby usunąć magazyn kluczy lub magazyn zaufania, umieść kursor na magazynie kluczy lub trustore na liście, aby wyświetlić menu czynności i kliknij . Jeśli usuniesz magazyn kluczy lub magazyn zaufania używany przez hosta wirtualny lub docelowy punkt końcowy/serwer docelowy, wszystkie wywołania interfejsu API wysyłane przez hosta wirtualnego, docelowy punkt końcowy/serwer docelowy zakończą się niepowodzeniem.

Uwaga: nie usuwaj magazynu kluczy, dopóki nie przekonwertowasz hostów wirtualnych i docelowych punktów końcowych/serwerów docelowych na nowy magazyn kluczy.

Usuwanie aliasu

Jeśli chcesz usunąć alias, umieść kursor nad tym aliasem na liście, aby wyświetlić menu czynności, a następnie kliknij . Jeśli usuniesz alias używany przez hosta wirtualnego lub docelowy punkt końcowy/serwer docelowy, wszystkie wywołania interfejsu API wysyłane przez hosta wirtualnego lub docelowy punkt końcowy/serwer docelowy zakończą się niepowodzeniem.

Uwaga: nie usuwaj aliasu, dopóki nie przekonwertowasz hostów wirtualnych i docelowych punktów końcowych/serwerów docelowych na nowy magazyn kluczy i alias.