Создание хранилищ ключей и хранилищ доверенных сертификатов с помощью пользовательского интерфейса Edge

Вы просматриваете документацию Apigee Edge .
Перейдите к документации Apigee X. информация

В этом документе описывается, как создавать, изменять и удалять хранилища ключей и доверенные хранилища для Edge для облака и Edge для частного облака версий 4.18.01 и более поздних.

О хранилищах ключей/доверенных сертификатов и виртуальных хостах для Edge Cloud

Процесс создания хранилищ ключей/хранилищ доверенных сертификатов для Edge Cloud требует соблюдения всех правил использования виртуальных хостов. Например, с виртуальными хостами в облаке:

• Виртуальные хосты должны использовать TLS.
• Виртуальные хосты могут использовать только порт 443.
• Вы должны использовать подписанный сертификат TLS. Неподписанные сертификаты нельзя использовать с виртуальными хостами в облаке.
• Доменное имя, указанное в сертификате TLS, должно соответствовать псевдониму виртуального хоста.

Узнать больше:

• О TLS/SSL
• Использование TLS с Edge
• Часто задаваемые вопросы по настройке виртуальных хостов
• О виртуальных хостах

Реализация хранилищ ключей и хранилищ доверенных сертификатов в Edge

Чтобы настроить функциональные возможности, основанные на инфраструктуре открытых ключей, например TLS, необходимо создать хранилища ключей и хранилища доверенных сертификатов, содержащие необходимые ключи и цифровые сертификаты.

В Edge хранилища ключей и хранилища доверенных сертификатов представлены объектом хранилища ключей , который содержит один или несколько псевдонимов . То есть нет разницы в реализации между хранилищем ключей и хранилищем доверенных сертификатов в Edge.

Разница между хранилищами ключей и хранилищем доверенных сертификатов определяется типами содержащихся в них записей и тем, как они используются при подтверждении связи TLS:

• хранилище ключей — объект хранилища ключей , содержащий один или несколько псевдонимов , где каждый псевдоним содержит пару сертификат/ключ.
• хранилище доверенных сертификатов — объект хранилища ключей , содержащий один или несколько псевдонимов , где каждый псевдоним содержит только сертификат.

При настройке TLS для виртуального хоста или целевой конечной точки хранилища ключей и хранилища доверенных сертификатов предоставляют разные роли в процессе установления связи TLS. При настройке виртуального хоста или целевой конечной точки вы указываете хранилища ключей и доверенные хранилища отдельно в теге <SSLInfo> , как показано ниже для виртуального хоста:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>false</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
    </SSLInfo>
</VirtualHost>

В этом примере вы указываете имя хранилища ключей и псевдоним, используемый виртуальным хостом для своего хранилища ключей TLS. Вы используете ссылку для указания имени хранилища ключей, чтобы его можно было изменить позже, когда истечет срок действия сертификата. Псевдоним содержит пару сертификат/ключ, используемую для идентификации виртуального хоста для клиента TLS, обращающегося к виртуальному хосту. В этом примере хранилище доверенных сертификатов не требуется.

Если требуется хранилище доверенных сертификатов, например для конфигурации двустороннего TLS, используйте тег <TrustStore> , чтобы указать хранилище доверенных сертификатов:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>true</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
        <TrustStore>ref://truststoreref</TrustStore>
    </SSLInfo>
</VirtualHost>

В этом примере тег <TrustStore> ссылается только на хранилище ключей и не указывает конкретный псевдоним. Каждый псевдоним в хранилище ключей содержит сертификат или цепочку сертификатов, которые используются как часть процесса установления связи TLS.

Поддерживаемые форматы сертификатов

Формат	Поддерживается загрузка API и пользовательского интерфейса.	Северное направление поддерживается	проверено
ПЕМ	Да	Да	Да
* ПККС12	Да	Да	Да Примечание. Apigee выполняет внутреннее преобразование. PKCS12 — PEM.
* ДЭР	Нет	Нет	Да
* ПККС7	Нет	Нет	Нет

* Мы рекомендуем использовать PEM, если это возможно.

Использование хранилищ ключей PKCS12 с Edge для частного облака 4.53.00 или более поздней версии

Если вы используете Edge for Private Cloud 4.53.00 или новее, вам следует использовать только хранилище ключей PKCS12 для загрузки ключей и связанных сертификатов в Apigee. Для получения помощи по преобразованию существующих ключей и сертификатов в формат PKCS12/PFX см. Преобразование сертификатов в поддерживаемый формат .

О реализации псевдонима

В Edge хранилище ключей содержит один или несколько псевдонимов , где каждый псевдоним содержит:

• Сертификат TLS в виде файла PEM или PKCS12/PFX — либо сертификат, подписанный центром сертификации (ЦС), либо файл, содержащий цепочку сертификатов, где последний сертификат подписан ЦС, либо самозаверяющий сертификат.
• Закрытый ключ в виде файла PEM или PKCS12/PFX. Edge поддерживает размеры ключей до 2048 бит. Парольная фраза не является обязательной.

В Edge хранилище доверенных сертификатов содержит один или несколько псевдонимов , где каждый псевдоним содержит:

• Сертификат TLS в виде файла PEM — либо сертификат, подписанный центром сертификации (ЦС), либо цепочка сертификатов, в которой последний сертификат подписан ЦС, либо самозаверяющий сертификат.

Edge предоставляет пользовательский интерфейс и API, которые вы используете для создания хранилищ ключей, создания псевдонимов, загрузки пар сертификат/ключ и обновления сертификатов. Пользовательский интерфейс и API, которые вы используете для создания хранилища доверенных сертификатов, такие же, как и для создания хранилища ключей. Разница в том, что при создании хранилища доверенных сертификатов вы создаете псевдонимы, содержащие только сертификат.

О формате файлов сертификатов и ключей

Сертификаты и ключи можно представлять в виде файлов PEM или файлов PKCS12/PFX. Файлы PEM соответствуют формату X.509. Если ваш сертификат или закрытый ключ не определен в файле PEM, вы можете преобразовать его в файл PEM с помощью таких утилит, как openssl .

Однако многие файлы .crt и .key уже имеют формат PEM. Если эти файлы являются текстовыми файлами и заключены в:

-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----

или:

-----BEGIN ENCRYPTED PRIVATE KEY-----
-----END ENCRYPTED PRIVATE KEY-----

Тогда файлы будут совместимы с форматом PEM, и вы сможете использовать их в хранилище ключей или доверенном хранилище без преобразования в файл PEM.

О цепочках сертификатов

Если сертификат является частью цепочки, вы обрабатываете его по-разному в зависимости от того, используется ли сертификат в хранилище ключей или в хранилище доверенных сертификатов:

• Хранилище ключей . Если сертификат является частью цепочки, необходимо создать один файл, содержащий все сертификаты в цепочке. Сертификаты должны быть в порядке, и последний сертификат должен быть корневым сертификатом или промежуточным сертификатом, подписанным корневым сертификатом.
• Хранилище доверенных сертификатов . Если сертификат является частью цепочки, вам необходимо либо создать один файл, содержащий все сертификаты, и загрузить этот файл в псевдоним, либо загрузить все сертификаты в цепочке отдельно в хранилище доверенных сертификатов, используя разные псевдонимы для каждого сертификата. Если вы загружаете их как один сертификат, сертификаты должны быть в порядке, а последний сертификат должен быть корневым сертификатом или промежуточным сертификатом, подписанным корневым сертификатом.
• Если вы создаете один файл, содержащий несколько сертификатов, вам необходимо вставить пустую строку между каждым сертификатом.

Например, вы можете объединить все сертификаты в один PEM-файл. Сертификаты должны быть в порядке, и последний сертификат должен быть корневым сертификатом или промежуточным сертификатом, подписанным корневым сертификатом:

-----BEGIN CERTIFICATE----- 
(Your Primary TLS certificate) 
-----END CERTIFICATE----- 

-----BEGIN CERTIFICATE----- 
(Intermediate certificate) 
-----END CERTIFICATE-----
 
-----BEGIN CERTIFICATE----- 
(Root certificate or intermediate certificate signed by a root certificate) 
-----END CERTIFICATE-----

Если ваши сертификаты представлены в виде файлов PKCS12/PFX, вы можете использовать команду openssl для создания файла PKCS12/PFX из цепочки сертификатов, как показано ниже:

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

При работе с цепочками сертификатов в хранилище доверенных сертификатов не всегда требуется загружать все сертификаты в цепочке. Например, вы загружаете сертификат клиента client_cert_1 и сертификат издателя сертификата клиента ca_cert .

Во время двусторонней аутентификации TLS аутентификация клиента завершается успешно, когда сервер отправляет client_cert_1 клиенту в рамках процесса установления связи TLS.

Альтернативно, у вас есть второй сертификат client_cert_2 , подписанный тем же сертификатом ca_cert . Однако вы не загружаете client_cert_2 в хранилище доверенных сертификатов. Хранилище доверенных сертификатов по-прежнему содержит только client_cert_1 и ca_cert .

Когда сервер передает client_cert_2 в рамках подтверждения TLS, запрос выполняется успешно. Это связано с тем, что Edge позволяет пройти проверку TLS успешно, если client_cert_2 не существует в хранилище доверенных сертификатов, но был подписан сертификатом, существующим в хранилище доверенных сертификатов. Если вы удалите сертификат CA ca_cert из хранилища доверенных сертификатов, проверка TLS завершится неудачей.

Соображения FIPS

Если вы используете Edge for Private Cloud 4.53.00 или более поздней версии в операционной системе с поддержкой FIPS, вам следует использовать только хранилище ключей PKCS12 для загрузки ключей и связанных сертификатов в Apigee.

Изучите страницу «Хранилища ключей TLS»

Откройте страницу «Хранилища ключей TLS», как описано ниже.

Откроется страница «Хранилища ключей TLS»:

Как показано на предыдущем рисунке, страница «Хранилища ключей TLS» позволяет:

• Выберите среду
• Создайте хранилище ключей и псевдоним
• Тестирование и удаление хранилищ ключей
• Просмотр и удаление псевдонимов

Посмотреть псевдоним

Чтобы просмотреть псевдоним:

1. Откройте страницу хранилищ ключей TLS .
2. Выберите среду (обычно prod или test ).
3. Щелкните строку, связанную с псевдонимом, который вы хотите просмотреть.

   Отобразятся сведения о сертификате псевдонима и ключе.
   
   Вы можете увидеть всю информацию о псевдониме, включая дату истечения срока действия.

4. Управляйте сертификатом с помощью кнопок вверху страницы, чтобы:
   • Загрузите сертификат в виде файла PEM.
   • Создайте CSR. Если у вас есть сертификат с истекшим сроком действия и вы хотите продлить его, вы можете загрузить запрос на подпись сертификата (CSR). Затем вы отправляете CSR в свой центр сертификации для получения нового сертификата.
   • Обновите сертификат. Внимание ! Если вы обновляете сертификат, который в настоящее время используется виртуальным хостом или целевым сервером/целевой конечной точкой, вам необходимо обратиться в службу поддержки Apigee Edge , чтобы перезапустить маршрутизаторы и процессоры сообщений. Рекомендуемый способ обновления сертификата:
     1. Создайте новое хранилище ключей или хранилище доверенных сертификатов.
     2. Добавьте новый сертификат в новое хранилище ключей или хранилище доверенных сертификатов.
     3. Обновите ссылку на виртуальном хосте или целевом сервере/целевой конечной точке на хранилище ключей или хранилище доверенных сертификатов. Дополнительные сведения см. в разделе Обновление сертификата TLS для облака .
     4. Удалите псевдоним. Примечание . Если вы удалите псевдоним, и он в настоящее время используется виртуальным хостом или целевой конечной точкой, виртуальный хост или целевая конечная точка выйдет из строя.

Создайте хранилище ключей/доверенное хранилище и псевдоним.

Вы можете создать хранилище ключей для использования в качестве хранилища ключей TLS или хранилища доверенных сертификатов TLS. Хранилище ключей зависит от среды вашей организации, например тестовой или рабочей среды. Поэтому, если вы хотите протестировать хранилище ключей в тестовой среде перед его развертыванием в производственной среде, вам необходимо создать его в обеих средах.

Чтобы создать хранилище ключей в среде, вам нужно только указать имя хранилища ключей. После создания именованного хранилища ключей в среде вы можете создать псевдонимы и загрузить пару сертификат/ключ (хранилище ключей) или загрузить только сертификат (хранилище доверенных сертификатов) в псевдоним.

Чтобы создать хранилище ключей:

1. Откройте страницу хранилищ ключей TLS .
2. Выберите среду (обычно prod или test ).
3. Нажмите + Хранилище ключей .
4. Укажите имя хранилища ключей. Имя может содержать только буквенно-цифровые символы.
5. Нажмите «Добавить хранилище ключей» . Новое хранилище ключей появится в списке.
6. Чтобы добавить псевдоним, используйте одну из следующих процедур. См. также Поддерживаемые форматы файлов сертификатов .
   • Создание псевдонима из сертификата (только хранилище доверенных сертификатов)
   • Создание псевдонима из файла JAR (только хранилище ключей)
   • Создайте псевдоним из сертификата и ключа (только хранилище ключей)
   • Создайте псевдоним из файла PKCS12/PFX (только хранилище ключей)
   • Создание псевдонима из самозаверяющего сертификата (только хранилище ключей)

Создание псевдонима из сертификата (только хранилище доверенных сертификатов)

Чтобы создать псевдоним из сертификата:

1. Откройте страницу хранилищ ключей TLS .
2. Наведите курсор на хранилище ключей, чтобы отобразить меню действий, и нажмите + .
3. Укажите псевдоним .
4. В разделе «Сведения о сертификате» выберите «Только сертификат» в раскрывающемся списке «Тип».
5. Нажмите «Выбрать файл» рядом с «Файл сертификата» , перейдите к файлу PEM, содержащему сертификат, и нажмите «Открыть» .
6. По умолчанию API проверяет, не истек ли срок действия сертификата. При необходимости выберите «Разрешить просроченный сертификат», чтобы пропустить проверку.
7. Выберите «Сохранить» , чтобы загрузить сертификат и создать псевдоним.

Создание псевдонима из файла JAR (только хранилище ключей)

Чтобы создать псевдоним из файла JAR:

1. Откройте страницу хранилищ ключей TLS .
2. Наведите курсор на хранилище ключей, чтобы отобразить меню действий, и нажмите + .
3. Укажите псевдоним .
4. В разделе «Сведения о сертификате» выберите «Файл JAR» в раскрывающемся списке «Тип».
5. Нажмите «Выбрать файл» рядом с «Файл JAR» , перейдите к файлу JAR, содержащему сертификат и ключ, и нажмите «Открыть» .
6. Если ключ имеет пароль, укажите Пароль . если ключ не имеет пароля, оставьте это поле пустым.
7. По умолчанию API проверяет, не истек ли срок действия сертификата. При необходимости выберите «Разрешить просроченный сертификат», чтобы пропустить проверку.
8. Выберите «Сохранить» , чтобы загрузить ключ и сертификат и создать псевдоним.

Создание псевдонима из сертификата и ключа (только хранилище ключей)

Чтобы создать псевдоним из сертификата и ключа:

1. Откройте страницу хранилищ ключей TLS .
2. Наведите курсор на хранилище ключей, чтобы отобразить меню действий, и нажмите + .
3. Укажите псевдоним .
4. В разделе «Сведения о сертификате» выберите «Сертификат и ключ» в раскрывающемся списке «Тип».
5. Нажмите «Выбрать файл» рядом с «Файл сертификата» , перейдите к файлу PEM, содержащему сертификат, и нажмите «Открыть» .
6. Если у ключа есть пароль, укажите Пароль ключа . если ключ не имеет пароля, оставьте это поле пустым.
7. Нажмите «Выбрать файл» рядом с «Файл ключа» , перейдите к файлу PEM, содержащему ключ, и нажмите «Открыть» .
8. По умолчанию API проверяет, не истек ли срок действия сертификата. При необходимости выберите «Разрешить просроченный сертификат», чтобы пропустить проверку.
9. Выберите «Сохранить» , чтобы загрузить ключ и сертификат и создать псевдоним.

Создание псевдонима из файла PKCS12/PFX (только хранилище ключей)

Чтобы создать псевдоним из файла PKCS12, содержащего сертификат и ключ:

1. Откройте страницу хранилищ ключей TLS .
2. Наведите курсор на хранилище ключей, чтобы отобразить меню действий, и нажмите + .
3. Укажите псевдоним .
4. В разделе «Сведения о сертификате» выберите PKCS12/PFX в раскрывающемся списке «Тип».
5. Нажмите «Выбрать файл» рядом с PKCS12/PFX , перейдите к файлу, содержащему ключ и сертификат, и нажмите «Открыть» .
6. Если у ключа есть пароль, укажите Пароль для файла PKCS12/PFX. если ключ не имеет пароля, оставьте это поле пустым.
7. По умолчанию API проверяет, не истек ли срок действия сертификата. При необходимости выберите «Разрешить просроченный сертификат», чтобы пропустить проверку.
8. Выберите «Сохранить» , чтобы загрузить файл и создать псевдоним.

Создание псевдонима из самозаверяющего сертификата (только хранилище ключей)

Чтобы создать псевдоним, использующий самозаверяющий сертификат, вы заполняете форму с необходимой информацией, необходимой для создания сертификата. Затем Edge создает пару сертификата и закрытого ключа и загружает их в псевдоним.

Чтобы создать псевдоним из самозаверяющего сертификата:

1. Откройте страницу хранилищ ключей TLS .
2. Наведите курсор на хранилище ключей, чтобы отобразить меню действий, и нажмите + .
3. Укажите псевдоним .
4. В разделе «Сведения о сертификате» выберите «Самоподписанный сертификат» в раскрывающемся списке «Тип».
5. Заполните форму, используя таблицу ниже.
6. Выберите «Сохранить» , чтобы создать пару сертификата и закрытого ключа и загрузить их в псевдоним.

В сгенерированном сертификате вы увидите следующие дополнительные поля:

• Эмитент
  Организация, подписавшая и выдавшая сертификат. Для самозаверяющего сертификата это CN, указанный вами при создании сертификата.
• Срок действия
  Срок действия сертификата представлен двумя датами: датой начала срока действия сертификата и датой окончания срока действия сертификата. Оба могут быть закодированы как значения UTCTime или GeneralizedTime.

В следующей таблице описаны поля формы:

Поле формы	Описание	По умолчанию	Необходимый
Псевдоним	Имя псевдонима. Максимальная длина — 128 символов.	Н/Д	Да
Размер ключа	Размер ключа в битах. Значение по умолчанию и максимальное значение — 2048 бит.	2048	Нет
Алгоритм подписи	Алгоритм подписи для генерации закрытого ключа. Допустимые значения: «SHA512withRSA», «SHA384withRSA» и «SHA256withRSA» (по умолчанию).	SHA256сRSA	Нет
Срок действия сертификата в днях	Срок действия сертификата, дней. Принимает положительное ненулевое значение.	365	Нет
Общее имя	Общее имя (CN) организации идентифицирует полное доменное имя(я), связанное с сертификатом. Обычно он состоит из хоста и доменного имени. Например, api.enterprise.apigee.com, www.apigee.com и т. д. Максимальная длина — 64 символа. В зависимости от типа сертификата CN может представлять собой одно или несколько имен хостов, принадлежащих одному и тому же домену (например, example.com, www.example.com), имя с подстановочным знаком (например, *.example.com) или список доменов. Не указывайте протокол (http:// или https://), номер порта или путь к ресурсу. Сертификат действителен только в том случае, если имя хоста запроса соответствует хотя бы одному из общих имен сертификата.	Н/Д	Да
Электронная почта	Адрес электронной почты. Максимальная длина — 255 символов.	Н/Д	Нет
Название организационного подразделения	Название команды организации. Максимальная длина — 64 символа.	Н/Д	Нет
Название организации	Название организации. Максимальная длина — 64 символа.	Н/Д	Нет
Местность	Название города/поселка. Максимальная длина — 128 символов.	Н/Д	Нет
Штат/Провинция	Название штата/провинции. Максимальная длина — 128 символов.	Н/Д	Нет
Страна	Двухбуквенный код страны. Например, IN для Индии, US для Соединенных Штатов Америки.	Н/Д	Нет
Альтернативные имена	Список альтернативных имен хостов. Позволяет привязывать дополнительные удостоверения к субъекту сертификата. Определенные параметры включают адрес электронной почты Интернета, DNS-имя, IP-адрес и универсальный идентификатор ресурса (URI). Максимум 255 символов для каждого значения. Вы можете разделять имена запятой или нажимать клавишу Enter после каждого имени.	Н/Д	Нет

Проверка хранилища ключей или хранилища доверенных сертификатов

Вы можете протестировать хранилище доверенных сертификатов и хранилище ключей в пользовательском интерфейсе Edge, чтобы убедиться, что они настроены правильно. Пользовательский интерфейс тестирования проверяет запрос TLS от Edge к серверной службе. Серверную службу можно настроить для поддержки одностороннего или двустороннего TLS.

Чтобы протестировать односторонний TLS:

1. Откройте страницу хранилищ ключей TLS .
2. Выберите среду (обычно prod или test ).
3. Наведите курсор на хранилище ключей TLS, которое вы хотите протестировать, чтобы отобразить меню действий, и нажмите «Тест» . Появится следующее диалоговое окно с именем хранилища доверенных сертификатов:
   
4. Введите имя хоста серверной службы.
5. Введите номер порта TLS (обычно 443).
6. При необходимости укажите любые протоколы или шифры.
7. Выберите Тест .

Чтобы протестировать двусторонний TLS:

1. Для нужного хранилища доверенных сертификатов нажмите кнопку «Тест» .
2. В диалоговом окне выберите «Двусторонний» для типа теста SSL . Появится следующее диалоговое окно:
   
3. Укажите имя хранилища ключей, используемого в двустороннем TLS.
4. Укажите псевдоним в хранилище ключей, содержащем сертификат и ключ.
5. Введите имя хоста серверной службы.
6. Введите номер порта TLS (обычно 443).
7. При необходимости укажите любые протоколы или шифры.
8. Выберите Тест .

Добавьте сертификат в хранилище доверенных сертификатов для двустороннего TLS.

При использовании двустороннего TLS для входящих соединений , то есть запроса API в Edge, хранилище доверенных сертификатов содержит цепочку сертификатов или ЦС для каждого клиента, которому разрешено отправлять запросы к Edge.

При первоначальной настройке хранилища доверенных сертификатов вы можете добавить все сертификаты для известных клиентов. Однако со временем вам может потребоваться добавить дополнительные сертификаты в хранилище доверенных сертификатов по мере добавления новых клиентов.

Чтобы добавить новые сертификаты в хранилище доверенных сертификатов, используемое для двустороннего TLS:

1. Убедитесь, что вы используете ссылку на хранилище доверенных сертификатов на виртуальном хосте.
2. Загрузите новый сертификат в хранилище доверенных сертификатов, как описано выше в разделе Создание псевдонима из сертификата (только хранилище доверенных сертификатов) .

3. Обновите ссылку на хранилище доверенных сертификатов, чтобы установить для нее то же значение. Это обновление заставляет Edge перезагрузить хранилище доверенных сертификатов и новый сертификат.

   Дополнительную информацию см. в разделе Изменение ссылки .

Удаление хранилища ключей/доверенного хранилища или псевдонима

Вы должны соблюдать осторожность при удалении хранилища ключей/доверенного хранилища или псевдонима. Если вы удалите хранилище ключей, хранилище доверенных сертификатов или псевдоним, который используется виртуальным хостом, целевой конечной точкой или целевым сервером, все вызовы API через виртуальный хост или целевую конечную точку/целевой сервер завершатся ошибкой.

Обычно для удаления хранилища ключей/доверенного хранилища или псевдонима используется следующий процесс:

1. Создайте новое хранилище ключей/доверенное хранилище или псевдоним, как описано выше.
2. Для входящих подключений , то есть запроса API в Edge, обновите конфигурацию виртуального хоста, чтобы она ссылалась на новое хранилище ключей и псевдоним ключа.
3. Для исходящих подключений , то есть от Apigee к внутреннему серверу:
   1. Обновите конфигурацию TargetEndpoint для всех прокси-серверов API, которые ссылались на старое хранилище ключей и псевдоним ключа, чтобы они ссылались на новое хранилище ключей и псевдоним ключа. Если ваша TargetEndpoint ссылается на TargetServer, обновите определение TargetServer, чтобы оно ссылалось на новое хранилище ключей и псевдоним ключа.
   2. Если на хранилище ключей и хранилище доверенных сертификатов имеются ссылки непосредственно из определения TargetEndpoint, необходимо повторно развернуть прокси-сервер. Если TargetEndpoint ссылается на определение TargetServer, а определение TargetServer ссылается на хранилище ключей и хранилище доверенных сертификатов, то повторное развертывание прокси-сервера не требуется.
4. Убедитесь, что ваши прокси API работают правильно.
5. Удалите хранилище ключей/доверенное хранилище или псевдоним.

Удаление хранилища ключей

Вы можете удалить хранилище ключей или доверенное хранилище, наведя курсор на хранилище ключей или доверенное хранилище в списке, чтобы отобразить меню действий, и щелкнув . Если вы удалите хранилище ключей или хранилище доверенных сертификатов, которое используется виртуальным хостом или целевым конечным/целевым сервером, все вызовы API через виртуальный хост или целевую конечную точку/целевой сервер завершатся ошибкой.

Внимание ! Не следует удалять хранилище ключей до тех пор, пока вы не преобразуете свои виртуальные хосты и целевые конечные точки/целевые серверы для использования нового хранилища ключей.

Удаление псевдонима

Вы можете удалить псевдоним, наведя курсор на псевдоним в списке, чтобы отобразить меню действий, и щелкнув . Если вы удалите псевдоним, который используется виртуальным хостом или целевым конечным/целевым сервером, все вызовы API через виртуальный хост или целевую конечную точку/целевой сервер завершатся ошибкой.

Внимание ! Не следует удалять псевдоним до тех пор, пока вы не преобразуете свои виртуальные хосты и целевые конечные точки/целевые серверы для использования нового хранилища ключей и псевдонима.

,

Вы просматриваете документацию Apigee Edge .
Перейдите к документации Apigee X. информация

В этом документе описывается, как создавать, изменять и удалять хранилища ключей и доверенные хранилища для Edge для облака и Edge для частного облака версий 4.18.01 и более поздних.

О хранилищах ключей/доверенных сертификатов и виртуальных хостах для Edge Cloud

Процесс создания хранилищ ключей/хранилищ доверенных сертификатов для Edge Cloud требует соблюдения всех правил использования виртуальных хостов. Например, с виртуальными хостами в облаке:

• Виртуальные хосты должны использовать TLS.
• Виртуальные хосты могут использовать только порт 443.
• Вы должны использовать подписанный сертификат TLS. Неподписанные сертификаты нельзя использовать с виртуальными хостами в облаке.
• Доменное имя, указанное в сертификате TLS, должно соответствовать псевдониму виртуального хоста.

Узнать больше:

• О TLS/SSL
• Использование TLS с Edge
• Часто задаваемые вопросы по настройке виртуальных хостов
• О виртуальных хостах

Реализация хранилищ ключей и хранилищ доверенных сертификатов в Edge

Чтобы настроить функциональные возможности, основанные на инфраструктуре открытых ключей, например TLS, необходимо создать хранилища ключей и хранилища доверенных сертификатов, содержащие необходимые ключи и цифровые сертификаты.

В Edge хранилища ключей и хранилища доверенных сертификатов представлены объектом хранилища ключей , который содержит один или несколько псевдонимов . То есть нет разницы в реализации между хранилищем ключей и хранилищем доверенных сертификатов в Edge.

Разница между хранилищами ключей и хранилищем доверенных сертификатов определяется типами содержащихся в них записей и тем, как они используются при подтверждении связи TLS:

• хранилище ключей — объект хранилища ключей , содержащий один или несколько псевдонимов , где каждый псевдоним содержит пару сертификат/ключ.
• хранилище доверенных сертификатов — объект хранилища ключей , содержащий один или несколько псевдонимов , где каждый псевдоним содержит только сертификат.

При настройке TLS для виртуального хоста или целевой конечной точки хранилища ключей и хранилища доверенных сертификатов предоставляют разные роли в процессе установления связи TLS. При настройке виртуального хоста или целевой конечной точки вы указываете хранилища ключей и доверенные хранилища отдельно в теге <SSLInfo> , как показано ниже для виртуального хоста:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>false</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
    </SSLInfo>
</VirtualHost>

В этом примере вы указываете имя хранилища ключей и псевдоним, используемый виртуальным хостом для своего хранилища ключей TLS. Вы используете ссылку для указания имени хранилища ключей, чтобы его можно было изменить позже, когда истечет срок действия сертификата. Псевдоним содержит пару сертификат/ключ, используемую для идентификации виртуального хоста для клиента TLS, обращающегося к виртуальному хосту. В этом примере хранилище доверенных сертификатов не требуется.

Если требуется хранилище доверенных сертификатов, например для конфигурации двустороннего TLS, используйте тег <TrustStore> , чтобы указать хранилище доверенных сертификатов:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>true</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
        <TrustStore>ref://truststoreref</TrustStore>
    </SSLInfo>
</VirtualHost>

В этом примере тег <TrustStore> ссылается только на хранилище ключей и не указывает конкретный псевдоним. Каждый псевдоним в хранилище ключей содержит сертификат или цепочку сертификатов, которые используются как часть процесса установления связи TLS.

Поддерживаемые форматы сертификатов

Формат	Поддерживается загрузка API и пользовательского интерфейса.	Северное направление поддерживается	проверено
ПЕМ	Да	Да	Да
* ПККС12	Да	Да	Да Примечание. Apigee выполняет внутреннее преобразование. PKCS12 — PEM.
* ДЭР	Нет	Нет	Да
* ПККС7	Нет	Нет	Нет

* Мы рекомендуем использовать PEM, если это возможно.

Использование хранилищ ключей PKCS12 с Edge для частного облака 4.53.00 или более поздней версии

Если вы используете Edge for Private Cloud 4.53.00 или новее, вам следует использовать только хранилище ключей PKCS12 для загрузки ключей и связанных сертификатов в Apigee. Для получения помощи по преобразованию существующих ключей и сертификатов в формат PKCS12/PFX см. Преобразование сертификатов в поддерживаемый формат .

О реализации псевдонима

В Edge хранилище ключей содержит один или несколько псевдонимов , где каждый псевдоним содержит:

• Сертификат TLS в виде файла PEM или PKCS12/PFX — либо сертификат, подписанный центром сертификации (ЦС), либо файл, содержащий цепочку сертификатов, где последний сертификат подписан ЦС, либо самозаверяющий сертификат.
• Закрытый ключ в виде файла PEM или PKCS12/PFX. Edge поддерживает размеры ключей до 2048 бит. Парольная фраза не является обязательной.

В Edge хранилище доверенных сертификатов содержит один или несколько псевдонимов , где каждый псевдоним содержит:

• Сертификат TLS в виде файла PEM — либо сертификат, подписанный центром сертификации (ЦС), либо цепочка сертификатов, в которой последний сертификат подписан ЦС, либо самозаверяющий сертификат.

Edge предоставляет пользовательский интерфейс и API, которые вы используете для создания хранилищ ключей, создания псевдонимов, загрузки пар сертификат/ключ и обновления сертификатов. Пользовательский интерфейс и API, которые вы используете для создания хранилища доверенных сертификатов, такие же, как и для создания хранилища ключей. Разница в том, что при создании хранилища доверенных сертификатов вы создаете псевдонимы, содержащие только сертификат.

О формате файлов сертификатов и ключей

Сертификаты и ключи можно представлять в виде файлов PEM или файлов PKCS12/PFX. Файлы PEM соответствуют формату X.509. Если ваш сертификат или закрытый ключ не определен в файле PEM, вы можете преобразовать его в файл PEM с помощью таких утилит, как openssl .

Однако многие файлы .crt и .key уже имеют формат PEM. Если эти файлы являются текстовыми файлами и заключены в:

-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----

или:

-----BEGIN ENCRYPTED PRIVATE KEY-----
-----END ENCRYPTED PRIVATE KEY-----

Тогда файлы будут совместимы с форматом PEM, и вы сможете использовать их в хранилище ключей или доверенном хранилище без преобразования в файл PEM.

О цепочках сертификатов

Если сертификат является частью цепочки, вы обрабатываете его по-разному в зависимости от того, используется ли сертификат в хранилище ключей или в хранилище доверенных сертификатов:

• Хранилище ключей . Если сертификат является частью цепочки, необходимо создать один файл, содержащий все сертификаты в цепочке. Сертификаты должны быть в порядке, и последний сертификат должен быть корневым сертификатом или промежуточным сертификатом, подписанным корневым сертификатом.
• Хранилище доверенных сертификатов . Если сертификат является частью цепочки, вам необходимо либо создать один файл, содержащий все сертификаты, и загрузить этот файл в псевдоним, либо загрузить все сертификаты в цепочке отдельно в хранилище доверенных сертификатов, используя разные псевдонимы для каждого сертификата. Если вы загружаете их как один сертификат, сертификаты должны быть в порядке, а последний сертификат должен быть корневым сертификатом или промежуточным сертификатом, подписанным корневым сертификатом.
• Если вы создаете один файл, содержащий несколько сертификатов, вам необходимо вставить пустую строку между каждым сертификатом.

Например, вы можете объединить все сертификаты в один PEM-файл. Сертификаты должны быть в порядке, и последний сертификат должен быть корневым сертификатом или промежуточным сертификатом, подписанным корневым сертификатом:

-----BEGIN CERTIFICATE----- 
(Your Primary TLS certificate) 
-----END CERTIFICATE----- 

-----BEGIN CERTIFICATE----- 
(Intermediate certificate) 
-----END CERTIFICATE-----
 
-----BEGIN CERTIFICATE----- 
(Root certificate or intermediate certificate signed by a root certificate) 
-----END CERTIFICATE-----

Если ваши сертификаты представлены в виде файлов PKCS12/PFX, вы можете использовать команду openssl для создания файла PKCS12/PFX из цепочки сертификатов, как показано ниже:

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

При работе с цепочками сертификатов в хранилище доверенных сертификатов не всегда требуется загружать все сертификаты в цепочке. Например, вы загружаете сертификат клиента client_cert_1 и сертификат издателя сертификата клиента ca_cert .

Во время двусторонней аутентификации TLS аутентификация клиента завершается успешно, когда сервер отправляет client_cert_1 клиенту в рамках процесса установления связи TLS.

Альтернативно, у вас есть второй сертификат client_cert_2 , подписанный тем же сертификатом ca_cert . Однако вы не загружаете client_cert_2 в хранилище доверенных сертификатов. Хранилище доверенных сертификатов по-прежнему содержит только client_cert_1 и ca_cert .

Когда сервер передает client_cert_2 в рамках подтверждения TLS, запрос выполняется успешно. Это связано с тем, что Edge позволяет пройти проверку TLS успешно, если client_cert_2 не существует в хранилище доверенных сертификатов, но был подписан сертификатом, существующим в хранилище доверенных сертификатов. Если вы удалите сертификат CA ca_cert из хранилища доверенных сертификатов, проверка TLS завершится неудачей.

Соображения FIPS

Если вы используете Edge for Private Cloud 4.53.00 или более поздней версии в операционной системе с поддержкой FIPS, вам следует использовать только хранилище ключей PKCS12 для загрузки ключей и связанных сертификатов в Apigee.

Изучите страницу «Хранилища ключей TLS»

Откройте страницу «Хранилища ключей TLS», как описано ниже.

Откроется страница «Хранилища ключей TLS»:

Как показано на предыдущем рисунке, страница «Хранилища ключей TLS» позволяет:

• Выберите среду
• Создайте хранилище ключей и псевдоним
• Тестирование и удаление хранилищ ключей
• Просмотр и удаление псевдонимов

Посмотреть псевдоним

Чтобы просмотреть псевдоним:

1. Откройте страницу хранилищ ключей TLS .
2. Выберите среду (обычно prod или test ).
3. Щелкните строку, связанную с псевдонимом, который вы хотите просмотреть.

   Отобразятся сведения о сертификате псевдонима и ключе.
   
   Вы можете увидеть всю информацию о псевдониме, включая дату истечения срока действия.

4. Управляйте сертификатом с помощью кнопок вверху страницы, чтобы:
   • Загрузите сертификат в виде файла PEM.
   • Создайте CSR. Если у вас есть сертификат с истекшим сроком действия и вы хотите продлить его, вы можете загрузить запрос на подпись сертификата (CSR). Затем вы отправляете CSR в свой центр сертификации для получения нового сертификата.
   • Обновите сертификат. Внимание ! Если вы обновляете сертификат, который в настоящее время используется виртуальным хостом или целевым сервером/целевой конечной точкой, вам необходимо обратиться в службу поддержки Apigee Edge , чтобы перезапустить маршрутизаторы и процессоры сообщений. Рекомендуемый способ обновления сертификата:
     1. Создайте новое хранилище ключей или хранилище доверенных сертификатов.
     2. Добавьте новый сертификат в новое хранилище ключей или хранилище доверенных сертификатов.
     3. Обновите ссылку на виртуальном хосте или целевом сервере/целевой конечной точке на хранилище ключей или хранилище доверенных сертификатов. Дополнительные сведения см. в разделе Обновление сертификата TLS для облака .
     4. Удалите псевдоним. Примечание . Если вы удалите псевдоним, и он в настоящее время используется виртуальным хостом или целевой конечной точкой, виртуальный хост или целевая конечная точка выйдет из строя.

Создайте хранилище ключей/доверенное хранилище и псевдоним.

Вы можете создать хранилище ключей для использования в качестве хранилища ключей TLS или хранилища доверенных сертификатов TLS. Хранилище ключей зависит от среды вашей организации, например тестовой или рабочей среды. Поэтому, если вы хотите протестировать хранилище ключей в тестовой среде перед его развертыванием в производственной среде, вам необходимо создать его в обеих средах.

Чтобы создать хранилище ключей в среде, вам нужно только указать имя хранилища ключей. После создания именованного хранилища ключей в среде вы можете создать псевдонимы и загрузить пару сертификат/ключ (хранилище ключей) или загрузить только сертификат (хранилище доверенных сертификатов) в псевдоним.

Чтобы создать хранилище ключей:

1. Откройте страницу хранилищ ключей TLS .
2. Выберите среду (обычно prod или test ).
3. Нажмите + Хранилище ключей .
4. Укажите имя хранилища ключей. Имя может содержать только буквенно-цифровые символы.
5. Нажмите «Добавить хранилище ключей» . Новое хранилище ключей появится в списке.
6. Чтобы добавить псевдоним, используйте одну из следующих процедур. См. также Поддерживаемые форматы файлов сертификатов .
   • Создание псевдонима из сертификата (только хранилище доверенных сертификатов)
   • Создание псевдонима из файла JAR (только хранилище ключей)
   • Создайте псевдоним из сертификата и ключа (только хранилище ключей)
   • Создайте псевдоним из файла PKCS12/PFX (только хранилище ключей)
   • Создание псевдонима из самозаверяющего сертификата (только хранилище ключей)

Создание псевдонима из сертификата (только хранилище доверенных сертификатов)

Чтобы создать псевдоним из сертификата:

1. Откройте страницу хранилищ ключей TLS .
2. Наведите курсор на хранилище ключей, чтобы отобразить меню действий, и нажмите + .
3. Укажите псевдоним .
4. В разделе «Сведения о сертификате» выберите «Только сертификат» в раскрывающемся списке «Тип».
5. Нажмите «Выбрать файл» рядом с «Файл сертификата» , перейдите к файлу PEM, содержащему сертификат, и нажмите «Открыть» .
6. По умолчанию API проверяет, не истек ли срок действия сертификата. При необходимости выберите «Разрешить просроченный сертификат», чтобы пропустить проверку.
7. Выберите «Сохранить» , чтобы загрузить сертификат и создать псевдоним.

Создание псевдонима из файла JAR (только хранилище ключей)

Чтобы создать псевдоним из файла JAR:

1. Откройте страницу хранилищ ключей TLS .
2. Наведите курсор на хранилище ключей, чтобы отобразить меню действий, и нажмите + .
3. Укажите псевдоним .
4. В разделе «Сведения о сертификате» выберите «Файл JAR» в раскрывающемся списке «Тип».
5. Нажмите «Выбрать файл» рядом с «Файл JAR» , перейдите к файлу JAR, содержащему сертификат и ключ, и нажмите «Открыть» .
6. Если ключ имеет пароль, укажите Пароль . если ключ не имеет пароля, оставьте это поле пустым.
7. По умолчанию API проверяет, не истек ли срок действия сертификата. При необходимости выберите «Разрешить просроченный сертификат», чтобы пропустить проверку.
8. Выберите «Сохранить» , чтобы загрузить ключ и сертификат и создать псевдоним.

Создание псевдонима из сертификата и ключа (только хранилище ключей)

Чтобы создать псевдоним из сертификата и ключа:

1. Откройте страницу хранилищ ключей TLS .
2. Наведите курсор на хранилище ключей, чтобы отобразить меню действий, и нажмите + .
3. Укажите псевдоним .
4. В разделе «Сведения о сертификате» выберите «Сертификат и ключ» в раскрывающемся списке «Тип».
5. Нажмите «Выбрать файл» рядом с «Файл сертификата» , перейдите к файлу PEM, содержащему сертификат, и нажмите «Открыть» .
6. Если у ключа есть пароль, укажите Пароль ключа . если ключ не имеет пароля, оставьте это поле пустым.
7. Нажмите «Выбрать файл» рядом с «Файл ключа» , перейдите к файлу PEM, содержащему ключ, и нажмите «Открыть» .
8. По умолчанию API проверяет, не истек ли срок действия сертификата. При необходимости выберите «Разрешить просроченный сертификат», чтобы пропустить проверку.
9. Выберите «Сохранить» , чтобы загрузить ключ и сертификат и создать псевдоним.

Создание псевдонима из файла PKCS12/PFX (только хранилище ключей)

Чтобы создать псевдоним из файла PKCS12, содержащего сертификат и ключ:

1. Откройте страницу хранилищ ключей TLS .
2. Наведите курсор на хранилище ключей, чтобы отобразить меню действий, и нажмите + .
3. Укажите псевдоним .
4. В разделе «Сведения о сертификате» выберите PKCS12/PFX в раскрывающемся списке «Тип».
5. Нажмите «Выбрать файл» рядом с PKCS12/PFX , перейдите к файлу, содержащему ключ и сертификат, и нажмите «Открыть» .
6. Если у ключа есть пароль, укажите Пароль для файла PKCS12/PFX. если ключ не имеет пароля, оставьте это поле пустым.
7. По умолчанию API проверяет, не истек ли срок действия сертификата. При необходимости выберите «Разрешить просроченный сертификат», чтобы пропустить проверку.
8. Выберите «Сохранить» , чтобы загрузить файл и создать псевдоним.

Создание псевдонима из самозаверяющего сертификата (только хранилище ключей)

Чтобы создать псевдоним, использующий самозаверяющий сертификат, вы заполняете форму с необходимой информацией, необходимой для создания сертификата. Затем Edge создает пару сертификата и закрытого ключа и загружает их в псевдоним.

Чтобы создать псевдоним из самозаверяющего сертификата:

1. Откройте страницу хранилищ ключей TLS .
2. Наведите курсор на хранилище ключей, чтобы отобразить меню действий, и нажмите + .
3. Укажите псевдоним .
4. В разделе «Сведения о сертификате» выберите «Самоподписанный сертификат» в раскрывающемся списке «Тип».
5. Заполните форму, используя таблицу ниже.
6. Выберите «Сохранить» , чтобы создать пару сертификата и закрытого ключа и загрузить их в псевдоним.

В сгенерированном сертификате вы увидите следующие дополнительные поля:

• Эмитент
  Организация, подписавшая и выдавшая сертификат. Для самозаверяющего сертификата это CN, указанный вами при создании сертификата.
• Срок действия
  Срок действия сертификата представлен двумя датами: датой начала срока действия сертификата и датой окончания срока действия сертификата. Оба могут быть закодированы как значения UTCTime или GeneralizedTime.

В следующей таблице описаны поля формы:

Поле формы	Описание	По умолчанию	Необходимый
Псевдоним	Имя псевдонима. Максимальная длина — 128 символов.	Н/Д	Да
Размер ключа	Размер ключа в битах. Значение по умолчанию и максимальное значение — 2048 бит.	2048	Нет
Алгоритм подписи	Алгоритм подписи для генерации закрытого ключа. Допустимые значения: «SHA512withRSA», «SHA384withRSA» и «SHA256withRSA» (по умолчанию).	SHA256сRSA	Нет
Срок действия сертификата в днях	Срок действия сертификата, дней. Принимает положительное ненулевое значение.	365	Нет
Общее имя	Общее имя (CN) организации идентифицирует полное доменное имя(я), связанное с сертификатом. Обычно он состоит из хоста и доменного имени. Например, api.enterprise.apigee.com, www.apigee.com и т. д. Максимальная длина — 64 символа. В зависимости от типа сертификата CN может представлять собой одно или несколько имен хостов, принадлежащих одному и тому же домену (например, example.com, www.example.com), имя с подстановочным знаком (например, *.example.com) или список доменов. Не указывайте протокол (http:// или https://), номер порта или путь к ресурсу. Сертификат действителен только в том случае, если имя хоста запроса соответствует хотя бы одному из общих имен сертификата.	Н/Д	Да
Электронная почта	Адрес электронной почты. Максимальная длина — 255 символов.	Н/Д	Нет
Название организационного подразделения	Название команды организации. Максимальная длина — 64 символа.	Н/Д	Нет
Название организации	Название организации. Максимальная длина — 64 символа.	Н/Д	Нет
Местность	Название города/поселка. Максимальная длина — 128 символов.	Н/Д	Нет
Штат/Провинция	Название штата/провинции. Максимальная длина — 128 символов.	Н/Д	Нет
Страна	Двухбуквенный код страны. Например, IN для Индии, US для Соединенных Штатов Америки.	Н/Д	Нет
Альтернативные имена	Список альтернативных имен хостов. Позволяет привязывать дополнительные удостоверения к субъекту сертификата. Определенные параметры включают адрес электронной почты Интернета, DNS-имя, IP-адрес и универсальный идентификатор ресурса (URI). Максимум 255 символов для каждого значения. Вы можете разделять имена запятой или нажимать клавишу Enter после каждого имени.	Н/Д	Нет

Проверка хранилища ключей или хранилища доверенных сертификатов

Вы можете протестировать хранилище доверенных сертификатов и хранилище ключей в пользовательском интерфейсе Edge, чтобы убедиться, что они настроены правильно. Пользовательский интерфейс тестирования проверяет запрос TLS от Edge к серверной службе. Серверную службу можно настроить для поддержки одностороннего или двустороннего TLS.

Чтобы протестировать односторонний TLS:

1. Откройте страницу хранилищ ключей TLS .
2. Выберите среду (обычно prod или test ).
3. Наведите курсор на хранилище ключей TLS, которое вы хотите протестировать, чтобы отобразить меню действий, и нажмите «Тест» . Появится следующее диалоговое окно с именем хранилища доверенных сертификатов:
   
4. Введите имя хоста серверной службы.
5. Введите номер порта TLS (обычно 443).
6. При необходимости укажите любые протоколы или шифры.
7. Выберите Тест .

Чтобы протестировать двусторонний TLS:

1. Для нужного хранилища доверенных сертификатов нажмите кнопку «Тест» .
2. В диалоговом окне выберите «Двусторонний» для типа теста SSL . Появится следующее диалоговое окно:
   
3. Укажите имя хранилища ключей, используемого в двустороннем TLS.
4. Укажите псевдоним в хранилище ключей, содержащем сертификат и ключ.
5. Введите имя хоста серверной службы.
6. Введите номер порта TLS (обычно 443).
7. При необходимости укажите любые протоколы или шифры.
8. Выберите Тест .

Добавьте сертификат в хранилище доверенных сертификатов для двустороннего TLS.

При использовании двустороннего TLS для входящих соединений , то есть запроса API в Edge, хранилище доверенных сертификатов содержит цепочку сертификатов или ЦС для каждого клиента, которому разрешено отправлять запросы к Edge.

При первоначальной настройке хранилища доверенных сертификатов вы можете добавить все сертификаты для известных клиентов. Однако со временем вам может потребоваться добавить дополнительные сертификаты в хранилище доверенных сертификатов по мере добавления новых клиентов.

Чтобы добавить новые сертификаты в хранилище доверенных сертификатов, используемое для двустороннего TLS:

1. Убедитесь, что вы используете ссылку на хранилище доверенных сертификатов на виртуальном хосте.
2. Загрузите новый сертификат в хранилище доверенных сертификатов, как описано выше в разделе Создание псевдонима из сертификата (только хранилище доверенных сертификатов) .

3. Обновите ссылку на хранилище доверенных сертификатов, чтобы установить для нее то же значение. Это обновление заставляет Edge перезагрузить хранилище доверенных сертификатов и новый сертификат.

   Дополнительную информацию см. в разделе Изменение ссылки .

Удаление хранилища ключей/доверенного хранилища или псевдонима

Вы должны соблюдать осторожность при удалении хранилища ключей/доверенного хранилища или псевдонима. Если вы удалите хранилище ключей, хранилище доверенных сертификатов или псевдоним, который используется виртуальным хостом, целевой конечной точкой или целевым сервером, все вызовы API через виртуальный хост или целевую конечную точку/целевой сервер завершатся ошибкой.

Обычно для удаления хранилища ключей/доверенного хранилища или псевдонима используется следующий процесс:

1. Создайте новое хранилище ключей/доверенное хранилище или псевдоним, как описано выше.
2. Для входящих подключений , то есть запроса API в Edge, обновите конфигурацию виртуального хоста, чтобы она ссылалась на новое хранилище ключей и псевдоним ключа.
3. Для исходящих подключений , то есть от Apigee к внутреннему серверу:
   1. Обновите конфигурацию TargetEndpoint для всех прокси-серверов API, которые ссылались на старое хранилище ключей и псевдоним ключа, чтобы они ссылались на новое хранилище ключей и псевдоним ключа. Если ваша TargetEndpoint ссылается на TargetServer, обновите определение TargetServer, чтобы оно ссылалось на новое хранилище ключей и псевдоним ключа.
   2. Если на хранилище ключей и хранилище доверенных сертификатов имеются ссылки непосредственно из определения TargetEndpoint, необходимо повторно развернуть прокси-сервер. Если TargetEndpoint ссылается на определение TargetServer, а определение TargetServer ссылается на хранилище ключей и хранилище доверенных сертификатов, то повторное развертывание прокси-сервера не требуется.
4. Убедитесь, что ваши прокси API работают правильно.
5. Удалите хранилище ключей/доверенное хранилище или псевдоним.

Удаление хранилища ключей

Вы можете удалить хранилище ключей или доверенное хранилище, наведя курсор на хранилище ключей или доверенное хранилище в списке, чтобы отобразить меню действий, и щелкнув . Если вы удалите хранилище ключей или хранилище доверенных сертификатов, которое используется виртуальным хостом или целевым конечным/целевым сервером, все вызовы API через виртуальный хост или целевую конечную точку/целевой сервер завершатся ошибкой.

Внимание ! Не следует удалять хранилище ключей до тех пор, пока вы не преобразуете свои виртуальные хосты и целевые конечные точки/целевые серверы для использования нового хранилища ключей.

Удаление псевдонима

Вы можете удалить псевдоним, наведя курсор на псевдоним в списке, чтобы отобразить меню действий, и щелкнув . Если вы удалите псевдоним, который используется виртуальным хостом или целевым конечным/целевым сервером, все вызовы API через виртуальный хост или целевую конечную точку/целевой сервер завершатся ошибкой.

Внимание ! Не следует удалять псевдоним до тех пор, пока вы не преобразуете свои виртуальные хосты и целевые конечные точки/целевые серверы для использования нового хранилища ключей и псевдонима.