การสร้างคีย์สโตร์และ Truststore โดยใช้ Edge UI

คุณกำลังดูเอกสารประกอบ Apigee Edge
ไปที่ เอกสารประกอบเกี่ยวกับ Apigee X. ข้อมูล

เอกสารนี้อธิบายวิธีสร้าง แก้ไข และลบคีย์สโตร์และ Truststore สำหรับ Edge สำหรับ Cloud และ Edge สำหรับ Private Cloud เวอร์ชัน 4.18.01 ขึ้นไป

เกี่ยวกับคีย์สโตร์/ทรัสต์และโฮสต์เสมือนสำหรับ Edge Cloud

กระบวนการสร้างคีย์สโตร์/ทรัสต์สโตร์สำหรับ Edge Cloud กำหนดให้คุณต้องทำตาม กฎเกี่ยวกับการใช้โฮสต์เสมือน ตัวอย่างเช่น สำหรับโฮสต์เสมือนในระบบคลาวด์ ให้ทำดังนี้

  • โฮสต์เสมือนต้องใช้ TLS
  • โฮสต์เสมือนจะใช้ได้เฉพาะพอร์ต 443 เท่านั้น
  • คุณต้องใช้ใบรับรอง TLS ที่ลงชื่อ ไม่อนุญาตให้ใช้ใบรับรองที่ไม่มีการลงชื่อกับโฮสต์เสมือนในระบบคลาวด์
  • ชื่อโดเมนที่ระบุโดยใบรับรอง TLS ต้องตรงกับชื่อแทนของโฮสต์ของโฮสต์เสมือน

ดูข้อมูลเพิ่มเติม

การนำคีย์สโตร์และ Truststore ไปใช้ ขอบ

หากต้องการกำหนดค่าฟังก์ชันการทำงานที่ต้องอาศัยโครงสร้างพื้นฐานของคีย์สาธารณะ เช่น TLS คุณต้องทำดังนี้ สร้างคีย์สโตร์และ Truststore ที่มีคีย์และใบรับรองดิจิทัลที่จำเป็น

ใน Edge ทั้งคีย์สโตร์และ Truststore จะแสดงโดยเอนทิตี keystore ที่มีชื่อแทนอย่างน้อย 1 รายการ กล่าวคือ ไม่มีความแตกต่างในการติดตั้งใช้งาน ระหว่างคีย์สโตร์และ Truststore บน Edge

ความแตกต่างระหว่างคีย์สโตร์และ Truststore มาจากประเภทของรายการที่ มีและวิธีการนำไปใช้ในการแฮนด์เชค TLS ดังต่อไปนี้

  • keystore - เอนทิตี keystore ที่มีอย่างน้อย 1 รายการ aliases โดยที่ชื่อแทนแต่ละรายการจะมีคู่คีย์/ใบรับรอง
  • Truststore - เอนทิตี keystore ที่มีอย่างน้อย 1 รายการ aliases โดยที่ชื่อแทนแต่ละชื่อจะมีใบรับรองเท่านั้น

เมื่อกำหนดค่า TLS สำหรับโฮสต์เสมือนหรือปลายทางเป้าหมาย คีย์สโตร์และ Truststore จะให้ บทบาทต่างๆ ในกระบวนการแฮนด์เชค TLS เมื่อกำหนดค่าโฮสต์หรือเป้าหมายเสมือน ปลายทาง คุณจะระบุคีย์สโตร์และ Truststore แยกกันใน <SSLInfo> ตามที่แสดงด้านล่างสำหรับโฮสต์เสมือน

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>false</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
    </SSLInfo>
</VirtualHost>

ในตัวอย่างนี้ คุณระบุชื่อของคีย์สโตร์และชื่อแทนที่โฮสต์เสมือนใช้สำหรับ TLS Keystore คุณใช้การอ้างอิงเพื่อระบุชื่อคีย์สโตร์เพื่อให้คุณเปลี่ยนชื่อได้ ในภายหลังเมื่อใบรับรองหมดอายุ ชื่อแทนมีคู่คีย์/ใบรับรองที่ใช้ระบุโฮสต์เสมือน ไปยังไคลเอ็นต์ TLS ที่เข้าถึงโฮสต์เสมือน ในตัวอย่างนี้ไม่มี Truststore ต้องระบุ

หากจำเป็นต้องใช้ Truststore เช่น สำหรับการกำหนดค่า TLS แบบ 2 ทาง ให้ใช้พารามิเตอร์ แท็ก <TrustStore> เพื่อระบุ Truststore

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>true</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
        <TrustStore>ref://truststoreref</TrustStore>
    </SSLInfo>
</VirtualHost>

ในตัวอย่างนี้ แท็ก <TrustStore> อ้างอิงคีย์สโตร์เท่านั้น โดยจะ ไม่ระบุชื่อแทนที่เจาะจง ชื่อแทนแต่ละรายการในคีย์สโตร์จะมีใบรับรองหรือชุดใบรับรองที่ ใช้เป็นส่วนหนึ่งของกระบวนการแฮนด์เชค TLS

รูปแบบใบรับรองที่รองรับ

รูปแบบ รองรับการอัปโหลด API และ UI สนับสนุนขอบเขตเหนือ ตรวจสอบแล้ว
PEM ใช่ ได้ ใช่
* PKCS12 ใช่ ใช่ ใช่
หมายเหตุ: Apigee จะแปลง
PKCS12 เป็น PEM เป็นการภายใน
* DER ไม่ได้ ไม่ได้ ใช่
* PKCS7 ไม่ได้ ไม่ได้ ไม่ได้

* หากเป็นไปได้ เราแนะนำให้ใช้ PEM

เกี่ยวกับการใช้งานอีเมลแทน

ใน Edge keystore จะมีชื่อแทนอย่างน้อย 1 รายการ โดยที่แต่ละรายการ ชื่อแทนประกอบด้วย:

  • ใบรับรอง TLS เป็นไฟล์ PEM หรือ PKCS12/PFX - ใบรับรองที่ลงนามโดยใบรับรองอย่างใดอย่างหนึ่ง Authority (CA) คือไฟล์ที่มีชุดใบรับรองที่มีการลงนามใบรับรองฉบับสุดท้าย โดย CA หรือใบรับรองที่ลงนามด้วยตนเอง
  • คีย์ส่วนตัวเป็นไฟล์ PEM หรือ PKCS12/PFX Edge รองรับขนาดคีย์สูงสุด 2,048 บิต ต คุณจะใช้รหัสผ่านหรือไม่ก็ได้

ใน Edge Truststore จะมีชื่อแทนอย่างน้อย 1 รายการโดยที่ แต่ละชื่อแทนจะมีข้อมูลต่อไปนี้

  • ใบรับรอง TLS เป็นไฟล์ PEM - ใบรับรองที่ลงชื่อโดยผู้ออกใบรับรอง (CA) ชุดใบรับรองที่ใบรับรองฉบับสุดท้ายได้รับการลงนามโดย CA หรือใบรับรองที่ลงนามด้วยตนเอง ใบรับรอง

Edge มี UI และ API ที่คุณใช้สร้างคีย์สโตร์ สร้างชื่อแทน อัปโหลดใบรับรอง/คีย์ คู่ และอัปเดตใบรับรอง UI และ API ที่คุณใช้สร้าง Truststore เหมือนกันกับคุณ ใช้เพื่อสร้างคีย์สโตร์ ความแตกต่างคือเมื่อคุณสร้าง Truststore คุณจะสร้างชื่อแทน ที่มีเฉพาะใบรับรอง

เกี่ยวกับรูปแบบของใบรับรองและคีย์ ไฟล์

คุณจะแสดงใบรับรองและคีย์ในรูปแบบไฟล์ PEM หรือเป็นไฟล์ PKCS12/PFX ก็ได้ ไฟล์ PEM ต้องเป็นไปตาม รูปแบบ X.509 หากไฟล์ PEM ไม่ได้กำหนดใบรับรองหรือคีย์ส่วนตัวไว้ คุณสามารถแปลงเป็น ไฟล์ PEM โดยใช้ยูทิลิตี เช่น openssl

แต่ไฟล์ .crt และไฟล์ .key จำนวนมากอยู่ในรูปแบบ PEM อยู่แล้ว หากไฟล์เหล่านี้เป็นข้อความ และอยู่ภายใน:

-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----

หรือ

-----BEGIN ENCRYPTED PRIVATE KEY-----
-----END ENCRYPTED PRIVATE KEY-----

จากนั้น ไฟล์จะเข้ากันได้กับรูปแบบ PEM โดยคุณสามารถใช้ไฟล์ดังกล่าวในคีย์สโตร์ หรือ Truststore โดยไม่แปลงเป็นไฟล์ PEM

เกี่ยวกับชุดใบรับรอง

หากใบรับรองเป็นส่วนหนึ่งของชุด คุณสามารถจัดการกับใบรับรองนั้นแตกต่างออกไปขึ้นอยู่กับว่าใช้ใบรับรองนั้นใน keystore หรือใน Truststore

  • Keystore - หากใบรับรองเป็นส่วนหนึ่งของเชน คุณต้องสร้างไฟล์เดียวที่มีใบรับรองทั้งหมด การรับรองในเชน ใบรับรองต้องเรียงตามลำดับ และใบรับรองสุดท้ายต้องเป็นรูท ใบรับรองหรือใบรับรองกลางที่ลงชื่อโดยใบรับรองรูท
  • Truststore - หากใบรับรองเป็นส่วนหนึ่งของเชน คุณต้องสร้างไฟล์เดียว ที่มีใบรับรองทั้งหมดและอัปโหลดไฟล์นั้นไปยังชื่อแทน หรืออัปโหลดใบรับรองทั้งหมดในเชน แยกต่างหากไปยัง Truststore โดยใช้ชื่อแทนที่แตกต่างกันสำหรับใบรับรองแต่ละรายการ หากคุณอัปโหลดวิดีโอเหล่านั้นเป็น ใบรับรองเดียว ใบรับรองนั้นจะต้องเรียงตามลำดับ และใบรับรองสุดท้ายต้องเป็นใบรับรองหลักหรือ ใบรับรองกลางที่ลงชื่อโดยใบรับรองรูท
  • หากสร้างไฟล์เดียวที่มีใบรับรองหลายรายการ คุณต้องแทรกบรรทัดว่าง ระหว่างใบรับรองแต่ละรายการ

เช่น คุณจะรวมใบรับรองทั้งหมดไว้ในไฟล์ PEM ไฟล์เดียวได้ ใบรับรองจะต้องอยู่ใน และใบรับรองล่าสุดต้องเป็นใบรับรองรูทหรือใบรับรองกลางที่ลงชื่อโดยรูท ใบรับรอง:

-----BEGIN CERTIFICATE----- 
(Your Primary TLS certificate) 
-----END CERTIFICATE----- 

-----BEGIN CERTIFICATE----- 
(Intermediate certificate) 
-----END CERTIFICATE-----
 
-----BEGIN CERTIFICATE----- 
(Root certificate or intermediate certificate signed by a root certificate) 
-----END CERTIFICATE-----

หากใบรับรองแสดงเป็นไฟล์ PKCS12/PFX คุณสามารถใช้ openssl เพื่อสร้างไฟล์ PKCS12/PFX จากชุดใบรับรองตามที่แสดงด้านล่าง

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

เมื่อทำงานกับชุดใบรับรองใน Truststore คุณไม่จำเป็นต้องอัปโหลด การรับรองในเชน ตัวอย่างเช่น คุณอัปโหลดใบรับรองไคลเอ็นต์ client_cert_1 และ ใบรับรองของผู้ออกใบรับรองไคลเอ็นต์ ca_cert

ในระหว่างการตรวจสอบสิทธิ์ TLS แบบ 2 ทาง การตรวจสอบสิทธิ์ไคลเอ็นต์จะสำเร็จเมื่อเซิร์ฟเวอร์ส่ง client_cert_1 ไปยังไคลเอ็นต์โดยเป็นส่วนหนึ่งของกระบวนการแฮนด์เชค TLS

หรือคุณมีใบรับรองฉบับที่ 2 ซึ่งก็คือ client_cert_2 ซึ่งลงชื่อโดยใช้ใบรับรองเดียวกันนั้น ca_cert อย่างไรก็ตาม ห้ามอัปโหลด client_cert_2 ไปยัง Truststore Truststore ยังคงมีเพียง client_cert_1 และ ca_cert เท่านั้น

เมื่อเซิร์ฟเวอร์ผ่าน client_cert_2 โดยเป็นส่วนหนึ่งของการแฮนด์เชค TLS คำขอ ประสบความสำเร็จ เนื่องจาก Edge อนุญาตให้การยืนยัน TLS ดำเนินการเมื่อ client_cert_2 ไม่มีอยู่ใน Truststore แต่ลงนามโดยใบรับรองที่มีอยู่ใน Truststore ถ้า คุณนำใบรับรอง CA ca_cert ออกจาก Truststore แล้วยืนยัน TLS ล้มเหลว

สำรวจหน้าคีย์สโตร์ TLS

เข้าถึงหน้าคีย์สโตร์ TLS ตามที่อธิบายไว้ด้านล่าง

Edge

วิธีเข้าถึงหน้าคีย์สโตร์ TLS โดยใช้ Edge UI

  1. ลงชื่อเข้าใช้ https://apigee.com/edge ในฐานะผู้ดูแลระบบขององค์กร
  2. เลือกองค์กรของคุณ
  3. เลือกผู้ดูแลระบบ > สภาพแวดล้อม > TLS Keystore

คลาสสิก Edge (Private Cloud)

วิธีเข้าถึงหน้าคีย์สโตร์ TLS โดยใช้ UI ขอบคลาสสิก

  1. ลงชื่อเข้าใช้ http://ms-ip:9000 ในฐานะผู้ดูแลระบบขององค์กร โดยที่ ms-ip คือ ที่อยู่ IP หรือชื่อ DNS ของโหนดเซิร์ฟเวอร์การจัดการ
  2. เลือกองค์กรของคุณ
  3. เลือกผู้ดูแลระบบ > การกำหนดค่าสภาพแวดล้อม > TLS Keystore

หน้าคีย์สโตร์ TLS จะปรากฏขึ้น:
วันที่

ตามที่ไฮไลต์ในรูปก่อนหน้า หน้าคีย์สโตร์ TLS ช่วยให้คุณสามารถทำสิ่งต่อไปนี้

ดูชื่อแทน

หากต้องการดูอีเมลแทน ให้ทำดังนี้

  1. เข้าถึงหน้าคีย์สโตร์ TLS
  2. เลือกสภาพแวดล้อม (โดยทั่วไปคือ prod หรือ test)
  3. คลิกแถวที่เชื่อมโยงกับชื่อแทนที่ต้องการดู

    รายละเอียดสำหรับใบรับรองและคีย์ของชื่อแทนจะปรากฏขึ้น

    คุณสามารถดูข้อมูลทั้งหมดเกี่ยวกับชื่อแทน รวมถึงวันที่หมดอายุด้วย

  4. จัดการใบรับรองโดยใช้ปุ่มที่ด้านบนของหน้าเพื่อดำเนินการต่อไปนี้
    • ดาวน์โหลดใบรับรองเป็นไฟล์ PEM
    • สร้าง CSR หากมีใบรับรองที่หมดอายุแล้วและต้องการต่ออายุ คุณสามารถดาวน์โหลด คำขอลงชื่อในใบรับรอง (CSR) จากนั้นคุณส่ง CSR ไปยัง CA เพื่อขอรับ ใบรับรอง
    • อัปเดตใบรับรอง ข้อควรระวัง: หากคุณอัปเดตใบรับรองที่ ใช้โดยโฮสต์เสมือนหรือเซิร์ฟเวอร์/ปลายทางเป้าหมาย/เซิร์ฟเวอร์เป้าหมายอยู่ในขณะนี้ คุณต้อง โปรดติดต่อทีมสนับสนุนของ Apigee Edge เพื่อรีสตาร์ทเราเตอร์และ Message Processor วิธีที่แนะนําในการอัปเดต ใบรับรองใดใบรับรองหนึ่ง
      1. สร้างคีย์สโตร์หรือ Truststore ใหม่
      2. เพิ่มใบรับรองใหม่ในคีย์สโตร์หรือ Truststore ใหม่
      3. อัปเดตการอ้างอิงในโฮสต์เสมือน หรือ เซิร์ฟเวอร์เป้าหมาย/ปลายทางเป้าหมายไปยัง Keystore หรือ Truststore โปรดดู อัปเดตใบรับรอง TLS สำหรับระบบคลาวด์เพิ่มเติม
      4. ลบชื่อแทน หมายเหตุ: ถ้าคุณลบชื่อแทน ใช้โดยโฮสต์เสมือนหรือปลายทางเป้าหมายอยู่ในขณะนี้ จากนั้นโฮสต์เสมือนหรือ ปลายทางจะล้มเหลว

สร้างคีย์สโตร์/Truststore และชื่อแทน

คุณสร้างคีย์สโตร์เพื่อใช้เป็นคีย์สโตร์ TLS หรือ TLS Truststore ได้ คีย์สโตร์ จะเฉพาะเจาะจงสำหรับสภาพแวดล้อมในองค์กรของคุณ เช่น สภาพแวดล้อมการทดสอบหรือสภาพแวดล้อมการใช้งาน ดังนั้นหากต้องการทดสอบคีย์สโตร์ในสภาพแวดล้อมการทดสอบก่อนทำให้ใช้งานได้ สภาพแวดล้อมการใช้งานจริง คุณต้องสร้างในทั้ง 2 สภาพแวดล้อม

หากต้องการสร้างคีย์สโตร์ในสภาพแวดล้อม คุณเพียงระบุชื่อคีย์สโตร์เท่านั้น หลังจากที่คุณ สร้างคีย์สโตร์ที่มีชื่อในสภาพแวดล้อม จากนั้นคุณจะสร้างชื่อแทนและอัปโหลดคู่คีย์/ใบรับรองได้ (keystore) หรืออัปโหลดเฉพาะใบรับรอง (Truststore) ไปยังชื่อแทน

วิธีสร้างคีย์สโตร์

  1. เข้าถึงหน้าคีย์สโตร์ TLS
  2. เลือกสภาพแวดล้อม (โดยทั่วไปคือ prod หรือ test)
  3. คลิก + คีย์สโตร์
  4. ระบุชื่อคีย์สโตร์ ชื่อต้องประกอบด้วยอักขระที่เป็นตัวอักษรและตัวเลขคละกันเท่านั้น
  5. คลิกเพิ่มคีย์สโตร์ คีย์สโตร์ใหม่จะปรากฏในรายการ
  6. ใช้หนึ่งในกระบวนการต่อไปนี้เพื่อเพิ่มชื่อแทน ดูเพิ่มเติม รูปแบบไฟล์ใบรับรองที่รองรับ

การสร้างชื่อแทนจากใบรับรอง (Truststore เท่านั้น)

หากต้องการสร้างชื่อแทนจากใบรับรอง ให้ทำดังนี้

  1. เข้าถึงหน้าคีย์สโตร์ TLS
  2. วางเคอร์เซอร์เหนือคีย์สโตร์เพื่อแสดงเมนูการทำงาน แล้วคลิก +
  3. ระบุชื่อแทน
  4. ภายใต้รายละเอียดใบรับรอง ให้เลือกเฉพาะใบรับรองเท่านั้นในรายการแบบเลื่อนลงประเภท
  5. คลิกเลือกไฟล์ข้างไฟล์ใบรับรอง แล้วไปที่ ไฟล์ PEM ที่มีใบรับรอง แล้วคลิกเปิด
  6. โดยค่าเริ่มต้น API จะตรวจสอบว่าใบรับรองยังไม่หมดอายุ เลือก (ไม่บังคับ) อนุญาตให้ใบรับรองที่หมดอายุข้ามการตรวจสอบ
  7. เลือกบันทึกเพื่ออัปโหลดใบรับรองและสร้างชื่อแทน

การสร้างชื่อแทนจากไฟล์ JAR (คีย์สโตร์เท่านั้น)

วิธีสร้างชื่อแทนจากไฟล์ JAR

  1. เข้าถึงหน้าคีย์สโตร์ TLS
  2. วางเคอร์เซอร์เหนือคีย์สโตร์เพื่อแสดงเมนูการทำงาน แล้วคลิก +
  3. ระบุชื่อแทน
  4. ภายใต้รายละเอียดใบรับรอง ให้เลือกไฟล์ JAR ในรายการแบบเลื่อนลงประเภท
  5. คลิกเลือกไฟล์ถัดจากไฟล์ JAR ไปที่ไฟล์ JAR ที่มีใบรับรองและคีย์ แล้วคลิกเปิด
  6. หากคีย์มีรหัสผ่าน ให้ระบุรหัสผ่าน หากคีย์ไม่มี รหัสผ่าน เว้นช่องนี้ว่างไว้
  7. โดยค่าเริ่มต้น API จะตรวจสอบว่าใบรับรองยังไม่หมดอายุ เลือก (ไม่บังคับ) อนุญาตให้ใบรับรองที่หมดอายุข้ามการตรวจสอบ
  8. เลือกบันทึกเพื่ออัปโหลดคีย์และใบรับรอง แล้วสร้างชื่อแทน

การสร้างชื่อแทนจากใบรับรองและ คีย์ (คีย์สโตร์เท่านั้น)

หากต้องการสร้างชื่อแทนจากใบรับรองและคีย์ ให้ทำดังนี้

  1. เข้าถึงหน้าคีย์สโตร์ TLS
  2. วางเคอร์เซอร์เหนือคีย์สโตร์เพื่อแสดงเมนูการทำงาน แล้วคลิก +
  3. ระบุชื่อแทน
  4. ภายใต้รายละเอียดใบรับรอง ให้เลือกใบรับรองและคีย์ในรายการแบบเลื่อนลงประเภท
  5. คลิกเลือกไฟล์ข้างไฟล์ใบรับรอง ไปที่ไฟล์ PEM ที่มีใบรับรอง แล้วคลิกเปิด
  6. หากคีย์มีรหัสผ่าน ให้ระบุรหัสผ่านของคีย์ หากคีย์ไม่มี รหัสผ่าน เว้นช่องนี้ว่างไว้
  7. คลิกเลือกไฟล์ข้างไฟล์คีย์ แล้วไปยังไฟล์ PEM ที่มีคีย์ดังกล่าว แล้วคลิกเปิด
  8. โดยค่าเริ่มต้น API จะตรวจสอบว่าใบรับรองยังไม่หมดอายุ เลือก (ไม่บังคับ) อนุญาตให้ใบรับรองที่หมดอายุข้ามการตรวจสอบ
  9. เลือกบันทึกเพื่ออัปโหลดคีย์และใบรับรอง แล้วสร้างชื่อแทน

การสร้างชื่อแทนจาก ไฟล์ PKCS12/PFX (คีย์สโตร์เท่านั้น)

วิธีสร้างชื่อแทนจากไฟล์ PKCS12 ที่มีใบรับรองและคีย์มีดังนี้

  1. เข้าถึงหน้าคีย์สโตร์ TLS
  2. วางเคอร์เซอร์เหนือคีย์สโตร์เพื่อแสดงเมนูการทำงาน แล้วคลิก +
  3. ระบุชื่อแทน
  4. ในส่วนรายละเอียดใบรับรอง ให้เลือก PKCS12/PFX ในรายการแบบเลื่อนลง "ประเภท"
  5. คลิกเลือกไฟล์ถัดจาก PKCS12/PFX แล้วไปที่ ที่มีคีย์และใบรับรอง แล้วคลิกเปิด
  6. หากคีย์มีรหัสผ่าน ให้ระบุรหัสผ่านสำหรับไฟล์ PKCS12/PFX หากคีย์ไม่มีรหัสผ่าน ให้ปล่อยช่องนี้ว่างไว้
  7. โดยค่าเริ่มต้น API จะตรวจสอบว่าใบรับรองยังไม่หมดอายุ เลือก (ไม่บังคับ) อนุญาตให้ใบรับรองที่หมดอายุข้ามการตรวจสอบ
  8. เลือกบันทึกเพื่ออัปโหลดไฟล์และสร้างชื่อแทน

การสร้างชื่อแทนจาก ใบรับรองที่ลงนามด้วยตนเอง (คีย์สโตร์เท่านั้น)

หากต้องการสร้างชื่อแทนที่ใช้ใบรับรองที่ลงนามด้วยตนเอง คุณจะต้องกรอกแบบฟอร์มพร้อม ข้อมูลที่จำเป็นต่อการสร้างใบรับรอง จากนั้น Edge จะสร้างใบรับรองและคู่คีย์ส่วนตัวและ อัปโหลดไปยังอีเมลแทน

หากต้องการสร้างชื่อแทนจากใบรับรองที่ลงชื่อด้วยตนเอง ให้ทำดังนี้

  1. เข้าถึงหน้าคีย์สโตร์ TLS
  2. วางเคอร์เซอร์เหนือคีย์สโตร์เพื่อแสดงเมนูการทำงาน แล้วคลิก +
  3. ระบุชื่อแทน
  4. ในส่วนรายละเอียดใบรับรอง ให้เลือก Self-Signed Certificate ในรายการแบบเลื่อนลง Type
  5. กรอกแบบฟอร์มโดยใช้ตารางด้านล่าง
  6. เลือกบันทึกเพื่อสร้างคู่ใบรับรองและคีย์ส่วนตัว แล้วอัปโหลดคู่กันไปยัง ชื่อแทน

ในใบรับรองที่สร้างขึ้น คุณจะเห็นฟิลด์เพิ่มเติมต่อไปนี้

  • ผู้ออก
    บุคคลที่ลงนามและออกใบรับรอง สำหรับใบรับรองที่ลงชื่อด้วยตนเอง นี่คือ CN ที่คุณระบุเมื่อสร้างใบรับรอง
  • ระยะเวลาที่ใช้ได้
    ระยะเวลาที่ใช้ได้ของใบรับรองจะแสดงเป็น 2 วันที่ คือ วันที่ในใบรับรอง ระยะเวลาที่ใช้ได้จะเริ่มต้นและวันที่ที่ระยะเวลาที่ใช้งานใบรับรองสิ้นสุดลง สามารถเป็นทั้ง 2 อย่างได้ โดยเข้ารหัสเป็นค่า UTCTime หรือ GeneralizedTime

ตารางต่อไปนี้จะอธิบายช่องข้อมูลในแบบฟอร์ม

ฟิลด์ในแบบฟอร์ม คำอธิบาย ค่าเริ่มต้น ต้องระบุ
ชื่อแทน ชื่อแทน ความยาวสูงสุด 128 อักขระ ไม่มี ใช่
ขนาดคีย์ ขนาดของคีย์ในหน่วยบิต ค่าเริ่มต้นและค่าสูงสุดคือ 2,048 บิต 2048 ไม่ได้
อัลกอริทึมลายเซ็น อัลกอริทึมลายเซ็นสำหรับสร้างคีย์ส่วนตัว ค่าที่ถูกต้องคือ "SHA512withRSA", "SHA384withRSA" และ "SHA256withRSA" (ค่าเริ่มต้น) SHA256พร้อมRSA ไม่ได้
อายุการใช้งานใบรับรองในหน่วยวัน ระยะเวลาที่ใช้งานได้ของใบรับรองในหน่วยวัน ยอมรับค่าที่ไม่ใช่ 0 ที่เป็นบวก 365 ไม่ได้
ชื่อสามัญ ชื่อทั่วไป (CN) ขององค์กรจะระบุชื่อโดเมนที่สมบูรณ์ในตัวเอง ที่เกี่ยวข้องกับใบรับรองนั้น โดยทั่วไปจะประกอบด้วยโฮสต์และชื่อโดเมน เช่น api.enterprise.apigee.com, www.apigee.com เป็นต้น ความยาวสูงสุดคือ 64 อักขระ

ขึ้นอยู่กับประเภทใบรับรอง CN อาจเป็นชื่อโฮสต์ในโดเมนเดียวกันก็ได้ (เช่น example.com, www.example.com) ชื่อไวลด์การ์ด (เช่น *.example.com) หรือรายชื่อโดเมน ห้าม ระบุโปรโตคอล (http:// หรือ https://), หมายเลขพอร์ต หรือเส้นทางทรัพยากร

ใบรับรองจะใช้ได้ต่อเมื่อชื่อโฮสต์ของคำขอตรงกับ ชื่อทั่วไปของใบรับรอง

 ไม่มี ใช่
อีเมล อีเมล ความยาวสูงสุด 255 อักขระ ไม่มี ไม่ได้
ชื่อหน่วยขององค์กร ชื่อทีมขององค์กร ความยาวสูงสุด 64 อักขระ ไม่มี ไม่ได้
ชื่อองค์กร ชื่อองค์กร ความยาวสูงสุด 64 อักขระ ไม่มี ไม่ได้
ย่าน ชื่อเมือง ความยาวสูงสุด 128 อักขระ ไม่มี ไม่ได้
รัฐ/จังหวัด ชื่อรัฐ/จังหวัด ความยาวสูงสุด 128 อักขระ ไม่มี ไม่ได้
ประเทศ รหัสประเทศแบบ 2 ตัวอักษร เช่น IN สําหรับอินเดีย สหรัฐอเมริกาสําหรับสหรัฐอเมริกา ไม่มี ไม่ได้
ชื่อที่ใช้แทนได้ รายชื่อชื่อโฮสต์สำรอง อนุญาตให้เชื่อมโยงข้อมูลประจำตัวเพิ่มเติมกับวัตถุ ของใบรับรอง ตัวเลือกที่กำหนดไว้ ได้แก่ ที่อยู่อีเมลอิเล็กทรอนิกส์ทางอินเทอร์เน็ต, DNS ชื่อ, ที่อยู่ IP และ Uniform Resource Identifier (URI)

แต่ละค่ามีอักขระได้สูงสุด 255 ตัว คุณสามารถแยกชื่อด้วยเครื่องหมายคอมมาหรือกด แป้น Enter หลังชื่อแต่ละชื่อ

 ไม่มี ไม่ได้

ทดสอบคีย์สโตร์หรือ Truststore

คุณทดสอบ Truststore และคีย์สโตร์ใน Edge UI ได้ เพื่อยืนยันว่ามีการกำหนดค่า อย่างเหมาะสม Test Ui จะตรวจสอบคำขอ TLS จาก Edge ไปยังบริการแบ็กเอนด์ บริการแบ็กเอนด์ สามารถกำหนดค่าให้รองรับ TLS แบบทางเดียวหรือ 2 ทาง

วิธีทดสอบ TLS แบบทางเดียว

  1. เข้าถึงหน้าคีย์สโตร์ TLS
  2. เลือกสภาพแวดล้อม (โดยทั่วไปคือ prod หรือ test)
  3. วางเคอร์เซอร์เหนือคีย์สโตร์ TLS ที่ต้องการทดสอบเพื่อแสดงเมนูการทำงาน แล้วคลิกทดสอบ กล่องโต้ตอบต่อไปนี้ กล่องแสดงชื่อของ Truststore:
    วันที่
  4. ป้อนชื่อโฮสต์ของบริการแบ็กเอนด์
  5. ป้อนหมายเลขพอร์ต TLS (ปกติคือ 443)
  6. (ไม่บังคับ) ระบุโปรโตคอลหรือการเข้ารหัส
  7. เลือกทดสอบ

วิธีทดสอบ TLS แบบ 2 ทาง

  1. สำหรับ Truststore ที่ต้องการ ให้เลือกปุ่มทดสอบ
  2. ในกล่องโต้ตอบ ให้เลือกสองทางสำหรับประเภทการทดสอบ SSL กล่องโต้ตอบต่อไปนี้จะปรากฏขึ้น
    วันที่
  3. ระบุชื่อคีย์สโตร์ที่ใช้ใน TLS แบบ 2 ทาง
  4. ระบุชื่อแทนในคีย์สโตร์ที่มีใบรับรองและคีย์
  5. ป้อนชื่อโฮสต์ของบริการแบ็กเอนด์
  6. ป้อนหมายเลขพอร์ต TLS (ปกติคือ 443)
  7. (ไม่บังคับ) ระบุโปรโตคอลหรือการเข้ารหัส
  8. เลือกทดสอบ

เพิ่มใบรับรองไปยัง Truststore สำหรับ TLS แบบ 2 ทาง

เมื่อใช้ TLS แบบ 2 ทางสำหรับการเชื่อมต่อขาเข้า ซึ่งหมายถึงคำขอ API ไปยัง Edge Truststore มีใบรับรองหรือเชน CA สําหรับไคลเอ็นต์แต่ละรายที่อนุญาตให้ส่งคําขอไปยัง Edge

เมื่อเริ่มกำหนดค่า Truststore แล้ว คุณสามารถเพิ่มใบรับรองทั้งหมดสําหรับไคลเอ็นต์ที่รู้จักได้ แต่เมื่อเวลาผ่านไป คุณอาจต้องการเพิ่มใบรับรองอื่นๆ ไปยัง Truststore ในขณะที่เพิ่มลูกค้าใหม่

วิธีเพิ่มใบรับรองใหม่ไปยัง Truststore ที่ใช้สำหรับ TLS แบบ 2 ทาง

  1. โปรดตรวจสอบว่าคุณกำลังใช้การอ้างอิงไปยัง Truststore ในโฮสต์เสมือน
  2. อัปโหลดใบรับรองใหม่ไปยัง Truststore ตามที่อธิบายไว้ข้างต้นใน การสร้างชื่อแทนจากใบรับรอง (Truststore เท่านั้น)

  3. อัปเดตการอ้างอิง Truststore ให้ตั้งเป็นค่าเดียวกัน การอัปเดตนี้ทำให้ Edge โหลด Truststore และใบรับรองใหม่ซ้ำ

    ดูการแก้ไขข้อมูลอ้างอิงสำหรับข้อมูลเพิ่มเติม

ลบคีย์สโตร์/ทรัสต์สโตร์หรือชื่อแทน

คุณต้องใช้ความระมัดระวังเมื่อลบคีย์สโตร์/ทรัสต์สโตร์หรือชื่อแทน หากลบคีย์สโตร์ Truststore หรือชื่อแทนที่ใช้โดยโฮสต์เสมือน ปลายทางเป้าหมาย หรือเซิร์ฟเวอร์เป้าหมาย การเรียก API ผ่านโฮสต์เสมือนหรือเซิร์ฟเวอร์ปลายทาง/เซิร์ฟเวอร์เป้าหมายจะล้มเหลว

โดยทั่วไปกระบวนการที่คุณใช้เพื่อลบคีย์สโตร์/ทรัสต์สโตร์หรือชื่อแทนคือ:

  1. สร้างคีย์ Store/Truststore หรือชื่อแทนใหม่ตามที่อธิบายไว้ข้างต้น
  2. สำหรับการเชื่อมต่อขาเข้า ซึ่งหมายถึงคำขอ API ไปยัง Edge ให้อัปเดต การกำหนดค่าโฮสต์เสมือนเพื่ออ้างอิงคีย์สโตร์และชื่อแทนคีย์ใหม่
  3. สำหรับการเชื่อมต่อขาออก ซึ่งหมายถึงจาก Apigee ไปยังเซิร์ฟเวอร์แบ็กเอนด์
    1. อัปเดตการกำหนดค่า TargetEndpoint สำหรับพร็อกซี API ที่อ้างอิงพร็อกซีเก่า คีย์สโตร์และชื่อแทนคีย์เพื่ออ้างอิงคีย์สโตร์และชื่อแทนคีย์ใหม่ หาก TargetEndpoint อ้างอิง TargetServer อัปเดตคำจำกัดความของ TargetServer เพื่ออ้างอิงคีย์สโตร์ใหม่ และชื่อแทนคีย์
    2. หากมีการอ้างอิงคีย์สโตร์และ Truststore โดยตรงจาก TargetEndpoint คุณต้องทำให้พร็อกซีใช้งานได้อีกครั้ง หาก TargetEndpoint อ้างอิง คำจำกัดความของ TargetServer และคำจำกัดความของ TargetServer จะอ้างอิงคีย์สโตร์และ Truststore แล้วไม่จำเป็นต้องมีการทำให้พร็อกซีใช้งานได้ใหม่
  4. ยืนยันว่าพร็อกซี API ทำงานได้อย่างถูกต้อง
  5. ลบคีย์สโตร์/ทรัสต์สโตร์หรือชื่อแทน

ลบคีย์สโตร์

คุณลบคีย์สโตร์หรือ Truststore ได้โดยวางเคอร์เซอร์ไว้เหนือคีย์สโตร์หรือทรัสต์ในรายการเพื่อแสดงการดำเนินการ แล้วคลิก หากคุณลบคีย์สโตร์หรือ Truststore ที่กำลังมีการ ใช้โดยโฮสต์เสมือนหรือเซิร์ฟเวอร์ปลายทาง/เป้าหมายเป้าหมาย การเรียก API ทั้งหมดผ่านโฮสต์เสมือน หรือปลายทาง/เซิร์ฟเวอร์เป้าหมายจะล้มเหลว

ข้อควรระวัง: คุณไม่ควรลบคีย์สโตร์จนกว่าคุณจะแปลงคีย์สโตร์ โฮสต์เสมือนและปลายทางเป้าหมาย/เซิร์ฟเวอร์เป้าหมายเพื่อใช้คีย์สโตร์ใหม่

ลบชื่อแทน

คุณสามารถลบชื่อแทน B ได้โดยวางเคอร์เซอร์เหนือชื่อแทนในรายการเพื่อแสดงการดำเนินการ แล้วคลิก ถ้าคุณลบชื่อแทนที่มีการใช้โดยโฮสต์เสมือน หรือ ปลายทาง/เซิร์ฟเวอร์เป้าหมายเป้าหมาย การเรียก API ทั้งหมดผ่านโฮสต์เสมือนหรือปลายทาง/เป้าหมายเป้าหมาย เซิร์ฟเวอร์จะล้มเหลว

ข้อควรระวัง: คุณไม่ควรลบชื่อแทนจนกว่าจะแปลงชื่อแทนเป็น โฮสต์และปลายทางเป้าหมาย/เซิร์ฟเวอร์เป้าหมายเพื่อใช้คีย์สโตร์และชื่อแทนใหม่