คุณกำลังดูเอกสาร Apigee Edge
ไปที่เอกสารประกอบของ Apigee X ข้อมูล
เอกสารนี้จะอธิบายวิธีสร้าง แก้ไข และลบคีย์สโตร์และ Truststore สำหรับ Edge สำหรับ Cloud และ Edge สำหรับ Private Cloud เวอร์ชัน 4.18.01 ขึ้นไป
เกี่ยวกับคีย์สโตร์/ความน่าเชื่อถือและโฮสต์เสมือนสำหรับ Edge Cloud
ขั้นตอนการสร้างคีย์สโตร์/ความน่าเชื่อถือสำหรับ Edge Cloud กำหนดให้คุณต้องทำตามกฎทั้งหมดเกี่ยวกับการใช้โฮสต์เสมือน เช่น กรณีที่ใช้โฮสต์เสมือนในระบบคลาวด์
- โฮสต์เสมือนต้องใช้ TLS
- โฮสต์เสมือนใช้ได้เฉพาะพอร์ต 443
- คุณต้องใช้ใบรับรอง TLS ที่ลงชื่อแล้ว ใบรับรองที่ไม่ได้ลงนามไม่ได้รับอนุญาตให้ใช้กับโฮสต์เสมือนในระบบคลาวด์
- ชื่อโดเมนที่ระบุโดยใบรับรอง TLS ต้องตรงกับชื่อแทนโฮสต์ของโฮสต์เสมือน
ดูข้อมูลเพิ่มเติม
- เกี่ยวกับ TLS/SSL
- การใช้ TLS กับ Edge
- คำถามที่พบบ่อยเกี่ยวกับการกำหนดค่าโฮสต์เสมือน
- เกี่ยวกับโฮสต์เสมือน
การใช้คีย์สโตร์และ Truststore ใน Edge
หากต้องการกำหนดค่าฟังก์ชันการทำงานที่ใช้โครงสร้างพื้นฐานของคีย์สาธารณะ เช่น TLS คุณต้องสร้างคีย์สโตร์และ Truststore ที่มีคีย์และใบรับรองดิจิทัลที่จำเป็น
ใน Edge ทั้งคีย์สโตร์และ Truststore จะแสดงด้วยเอนทิตี keystore ที่มีชื่อแทนอย่างน้อย 1 รายการ กล่าวคือ ไม่มีความแตกต่างในการใช้งานระหว่างคีย์สโตร์และ Truststore ใน Edge
ความแตกต่างระหว่างคีย์สโตร์และ Truststore ได้มาจากประเภทของรายการที่มีอยู่ในคีย์สโตร์และวิธีใช้คีย์สโตร์ในการแฮนด์เชค TLS ดังนี้
- keystore - เอนทิตี keystore ที่มีชื่อแทนอย่างน้อย 1 อัน โดยที่ชื่อแทนแต่ละรายการมีคู่คีย์/ใบรับรอง
- Truststore - เอนทิตี keystore ที่มีชื่อแทนอย่างน้อย 1 รายการ ซึ่งชื่อแทนแต่ละรายการจะมีใบรับรองเท่านั้น
เมื่อกำหนดค่า TLS สำหรับโฮสต์เสมือนหรือปลายทางเป้าหมาย คีย์สโตร์และ Truststore จะมีบทบาทที่แตกต่างกันในกระบวนการแฮนด์เชค TLS เมื่อกำหนดค่าโฮสต์เสมือนหรือปลายทางเป้าหมาย คุณต้องระบุคีย์สโตร์และ Truststore แยกกันในแท็ก <SSLInfo>
ดังที่แสดงด้านล่างสำหรับโฮสต์เสมือน
<VirtualHost name="myTLSVHost"> <HostAliases> <HostAlias>apiTLS.myCompany.com</HostAlias> </HostAliases> <Interfaces/> <Port>9006</Port> <SSLInfo> <Enabled>true</Enabled> <ClientAuthEnabled>false</ClientAuthEnabled> <KeyStore>ref://keystoreref</KeyStore> <KeyAlias>myKeyAlias</KeyAlias> </SSLInfo> </VirtualHost>
ในตัวอย่างนี้ คุณระบุชื่อของคีย์สโตร์และชื่อแทนที่โฮสต์เสมือนใช้สำหรับคีย์สโตร์ TLS คุณใช้ข้อมูลอ้างอิงในการระบุชื่อคีย์สโตร์ เพื่อให้เปลี่ยนแปลงได้ในภายหลังเมื่อใบรับรองหมดอายุ ชื่อแทนมีคู่คีย์/ใบรับรองที่ใช้ระบุโฮสต์เสมือนกับไคลเอ็นต์ TLS ที่เข้าถึงโฮสต์เสมือน ในตัวอย่างนี้ ไม่จำเป็นต้องมี Truststore
หากต้องใช้ Truststore เช่น สำหรับการกำหนดค่า TLS แบบ 2 ทาง ให้ใช้แท็ก <TrustStore>
เพื่อระบุ Truststore
<VirtualHost name="myTLSVHost"> <HostAliases> <HostAlias>apiTLS.myCompany.com</HostAlias> </HostAliases> <Interfaces/> <Port>9006</Port> <SSLInfo> <Enabled>true</Enabled> <ClientAuthEnabled>true</ClientAuthEnabled> <KeyStore>ref://keystoreref</KeyStore> <KeyAlias>myKeyAlias</KeyAlias> <TrustStore>ref://truststoreref</TrustStore> </SSLInfo> </VirtualHost>
ในตัวอย่างนี้ แท็ก <TrustStore>
อ้างอิงคีย์สโตร์เท่านั้น โดยไม่ได้ระบุชื่อแทนที่เจาะจง ชื่อแทนแต่ละรายการในคีย์สโตร์จะมีใบรับรองหรือเชนใบรับรอง ซึ่งใช้เป็นส่วนหนึ่งของกระบวนการเริ่มต้นใช้งาน TLS
รูปแบบใบรับรองที่รองรับ
รูปแบบ | รองรับการอัปโหลด API และ UI | รองรับไปทางเหนือ | ตรวจสอบแล้ว |
---|---|---|---|
PEM | ใช่ | ใช่ | ใช่ |
* รหัส PKCS12 | ใช่ | ใช่ | มี หมายเหตุ: Apigee จะแปลงเป็นการภายใน PKCS12 เป็น PEM |
* DER | ไม่ได้ | ไม่ได้ | ใช่ |
* PKCS7 | ไม่ได้ | ไม่ได้ | ไม่ได้ |
* หากเป็นไปได้ เราขอแนะนำให้ใช้ PEM
เกี่ยวกับการใช้ชื่อแทน
ใน Edge คีย์สโตร์จะมีชื่อแทนอย่างน้อย 1 รายการ ซึ่งชื่อแทนแต่ละรายการจะมีข้อมูลต่อไปนี้
- ใบรับรอง TLS เป็นไฟล์ PEM หรือ PKCS12/PFX ซึ่งอาจเป็นใบรับรองที่ลงชื่อโดยผู้ออกใบรับรอง (CA) ไฟล์ที่มีชุดใบรับรองที่ CA หลักลงชื่อไว้ หรือใบรับรองแบบ Self-signed
- คีย์ส่วนตัวเป็นไฟล์ PEM หรือ PKCS12/PFX Edge รองรับขนาดคีย์สูงสุด 2,048 บิต คุณจะใส่รหัสผ่านหรือไม่ก็ได้
ใน Edge truststore จะมีชื่อแทนอย่างน้อย 1 รายการ ซึ่งชื่อแทนแต่ละรายการจะมีข้อมูลต่อไปนี้
- ใบรับรอง TLS เป็นไฟล์ PEM โดยอาจเป็นใบรับรองที่ลงชื่อโดยผู้ออกใบรับรอง (CA), เชนใบรับรองที่ใบรับรองฉบับล่าสุดลงชื่อโดย CA หรือใบรับรองแบบ Self-signed
Edge จะมี UI และ API ที่คุณใช้เพื่อสร้างคีย์สโตร์ สร้างชื่อแทน อัปโหลดคู่ใบรับรอง/คีย์ และอัปเดตใบรับรอง UI และ API ที่คุณใช้สร้าง Truststore จะเหมือนกับที่คุณใช้ในการสร้างคีย์สโตร์ ความแตกต่างคือเมื่อสร้าง Truststore จะเป็นการสร้างชื่อแทนที่มีเฉพาะใบรับรองเท่านั้น
เกี่ยวกับรูปแบบของไฟล์ใบรับรองและไฟล์คีย์
คุณแสดงใบรับรองและคีย์เป็นไฟล์ PEM หรือเป็นไฟล์ PKCS12/PFX ก็ได้ ไฟล์ PEM ต้องเป็นไปตามรูปแบบ X.509 หากไฟล์ PEM ไม่ได้กำหนดใบรับรองหรือคีย์ส่วนตัว คุณจะแปลงเป็นไฟล์ PEM ได้โดยใช้ยูทิลิตี เช่น openssl
แต่ไฟล์ .crt และไฟล์ .key จำนวนมากจะอยู่ในรูปแบบ PEM อยู่แล้ว หากไฟล์เหล่านี้เป็นไฟล์ข้อความและอยู่ในพื้นที่ต่อไปนี้
-----BEGIN CERTIFICATE----- -----END CERTIFICATE-----
หรือ
-----BEGIN ENCRYPTED PRIVATE KEY----- -----END ENCRYPTED PRIVATE KEY-----
ซึ่งจะทำให้ไฟล์เข้ากันได้กับรูปแบบ PEM และสามารถใช้ในคีย์สโตร์หรือ Truststore ได้โดยไม่ต้องแปลงเป็นไฟล์ PEM
เกี่ยวกับเชนใบรับรอง
หากใบรับรองเป็นส่วนหนึ่งของเชน คุณจะสามารถจัดการใบรับรองนั้นต่างออกไป ขึ้นอยู่กับว่ามีการใช้ใบรับรองในคีย์สโตร์หรือใน Truststore ดังนี้
- คีย์สโตร์ - หากใบรับรองเป็นส่วนหนึ่งของเชน คุณต้องสร้างไฟล์เดียวที่มีใบรับรองทั้งหมดในเชน ใบรับรองต้องเรียงตามลำดับอย่างถูกต้อง และใบรับรองตัวสุดท้ายต้องเป็นใบรับรองรูทหรือใบรับรองกลางที่ลงชื่อโดยใบรับรองรูท
- Truststore - หากใบรับรองเป็นส่วนหนึ่งของเชน คุณต้องสร้างไฟล์เดียวที่มีใบรับรองทั้งหมดและอัปโหลดไฟล์นั้นไปยังชื่อแทน หรืออัปโหลดใบรับรองทั้งหมดในเชนแยกต่างหากไปยัง Truststore โดยใช้ชื่อแทนอื่นสำหรับใบรับรองแต่ละรายการ หากคุณอัปโหลดเป็นใบรับรองเดียว ใบรับรองดังกล่าวต้องเรียงตามลำดับ และใบรับรองสุดท้ายต้องเป็นใบรับรองรูทหรือใบรับรองกลางที่ลงชื่อโดยใบรับรองรูท
- หากสร้างไฟล์เดียวที่มีหลายใบรับรอง คุณต้องแทรกบรรทัดว่างระหว่างใบรับรองแต่ละรายการ
เช่น คุณรวมใบรับรองทั้งหมดเป็นไฟล์ PEM ไฟล์เดียวได้ ใบรับรองต้องเรียงตามลำดับ และใบรับรองตัวสุดท้ายต้องเป็นใบรับรองรูทหรือใบรับรองกลางที่ลงนามโดยใบรับรองรูท
-----BEGIN CERTIFICATE----- (Your Primary TLS certificate) -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- (Intermediate certificate) -----END CERTIFICATE----- -----BEGIN CERTIFICATE----- (Root certificate or intermediate certificate signed by a root certificate) -----END CERTIFICATE-----
หากใบรับรองของคุณแสดงเป็นไฟล์ PKCS12/PFX คุณจะใช้คำสั่ง openssl
เพื่อสร้างไฟล์ PKCS12/PFX จากเชนใบรับรองได้ดังที่แสดงด้านล่าง
openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt
เมื่อใช้เชนใบรับรองใน Truststore คุณไม่จำเป็นต้องอัปโหลดใบรับรองทั้งหมดในเชนดังกล่าวเสมอไป ตัวอย่างเช่น คุณอัปโหลดใบรับรองไคลเอ็นต์ client_cert_1
และ ca_cert
ของผู้ออกใบรับรองไคลเอ็นต์
ในระหว่างการตรวจสอบสิทธิ์ TLS แบบ 2 ทาง การตรวจสอบสิทธิ์ไคลเอ็นต์จะประสบความสำเร็จเมื่อเซิร์ฟเวอร์ส่ง client_cert_1
ไปยังไคลเอ็นต์ซึ่งเป็นส่วนหนึ่งของกระบวนการแฮนด์เชค TLS
หรือคุณอาจมีใบรับรองที่ 2 คือ client_cert_2
ซึ่งลงนามโดยใบรับรองเดียวกัน ซึ่งก็คือ ca_cert
แต่คุณไม่ควรอัปโหลด client_cert_2
ไปยัง Truststore
Truststore ยังคงมีเพียง client_cert_1
และ ca_cert
เมื่อเซิร์ฟเวอร์ส่ง client_cert_2
เป็นส่วนหนึ่งของแฮนด์เชค TLS คำขอก็จะประสบความสำเร็จ เนื่องจาก Edge อนุญาตให้ยืนยัน TLS สำเร็จเมื่อไม่มี client_cert_2
ใน Truststore แต่ลงนามโดยใบรับรองที่มีอยู่ใน Truststore หากนำใบรับรอง CA ca_cert
ออกจาก Truststore แล้ว การยืนยัน TLS จะไม่สำเร็จ
สํารวจหน้าคีย์สโตร์ TLS
เข้าถึงหน้าคีย์สโตร์ TLS ตามที่อธิบายไว้ด้านล่างEdge
วิธีเข้าถึงหน้าคีย์สโตร์ TLS โดยใช้ Edge UI
- ลงชื่อเข้าใช้ https://apigee.com/edge ในฐานะผู้ดูแลระบบองค์กร
- เลือกองค์กรของคุณ
- เลือกผู้ดูแลระบบ > สภาพแวดล้อม > คีย์สโตร์ TLS
Classic Edge (Private Cloud)
วิธีเข้าถึงหน้าคีย์สโตร์ TLS โดยใช้ UI ของ Classic Edge
- ลงชื่อเข้าใช้
http://ms-ip:9000
ในฐานะผู้ดูแลระบบองค์กร โดยที่ ms-ip คือที่อยู่ IP หรือชื่อ DNS ของโหนดเซิร์ฟเวอร์การจัดการ - เลือกองค์กรของคุณ
- เลือกผู้ดูแลระบบ > การกำหนดค่าสภาพแวดล้อม > คีย์สโตร์ TLS
หน้าคีย์สโตร์ TLS จะแสดงขึ้นมา
ตามที่ไฮไลต์ไว้ในรูปก่อนหน้านี้ หน้าคีย์สโตร์ TLS จะช่วยให้คุณทำสิ่งต่อไปนี้ได้
- เลือกสภาพแวดล้อม
- สร้างคีย์สโตร์และชื่อแทน
- ทดสอบและลบคีย์สโตร์
- ดูและลบชื่อแทน
ดูชื่อแทน
ในการดูชื่อแทน:
- เข้าถึงหน้าคีย์สโตร์ TLS
- เลือกสภาพแวดล้อม (โดยทั่วไปคือ
prod
หรือtest
) - คลิกแถวที่เชื่อมโยงกับชื่อแทนที่ต้องการดู
รายละเอียดของใบรับรองและคีย์ชื่อแทนจะปรากฏขึ้น
คุณสามารถดูข้อมูลทั้งหมดเกี่ยวกับชื่อแทน รวมถึงวันที่หมดอายุได้ - จัดการใบรับรองโดยใช้ปุ่มที่ด้านบนของหน้าเพื่อดำเนินการต่อไปนี้
- ดาวน์โหลดใบรับรองเป็นไฟล์ PEM
- สร้าง CSR หากคุณมีใบรับรองที่หมดอายุและต้องการต่ออายุ คุณสามารถดาวน์โหลดคำขอลงชื่อใบรับรอง (CSR) ได้ จากนั้นคุณจะส่ง CSR ไปยัง CA ของคุณเพื่อขอรับใบรับรองใหม่
- อัปเดตใบรับรอง ข้อควรระวัง: หากอัปเดตใบรับรองที่โฮสต์เสมือนหรือปลายทางเซิร์ฟเวอร์/ปลายทางเป้าหมายใช้อยู่ในขณะนี้ คุณต้องติดต่อทีมสนับสนุนของ Apigee Edge เพื่อรีสตาร์ทเราเตอร์และผู้ประมวลผลข้อความ วิธีที่แนะนำในการอัปเดตใบรับรองคือ
- สร้างคีย์สโตร์หรือ Truststore ใหม่
- เพิ่มใบรับรองใหม่ไปยังคีย์สโตร์หรือ Truststore ใหม่
- อัปเดตการอ้างอิงในโฮสต์เสมือนหรือปลายทางเซิร์ฟเวอร์/เป้าหมายเป้าหมายเป็นคีย์สโตร์หรือ Truststore โปรดดูข้อมูลเพิ่มเติมที่ อัปเดตใบรับรอง TLS สำหรับระบบคลาวด์
- ลบชื่อแทน หมายเหตุ: หากคุณลบชื่อแทนและตอนนี้โฮสต์เสมือนหรือปลายทางเป้าหมายกำลังใช้อยู่ โฮสต์เสมือนหรือปลายทางเป้าหมายจะล้มเหลว
สร้างคีย์สโตร์/ความน่าเชื่อถือและชื่อแทน
คุณสร้างคีย์สโตร์เพื่อใช้เป็นคีย์สโตร์ TLS หรือ TLS Truststore ได้ คีย์สโตร์ใช้เฉพาะกับสภาพแวดล้อมในองค์กรของคุณเท่านั้น เช่น สภาพแวดล้อมการทดสอบหรือสภาพแวดล้อมของผลิตภัณฑ์ ดังนั้น หากคุณต้องการทดสอบคีย์สโตร์ในสภาพแวดล้อมการทดสอบก่อนที่จะทำให้ใช้งานได้กับสภาพแวดล้อมที่ใช้งานจริง คุณต้องสร้างคีย์สโตร์ในทั้ง 2 สภาพแวดล้อม
หากต้องการสร้างคีย์สโตร์ในสภาพแวดล้อม คุณเพียงแค่ต้องระบุชื่อคีย์สโตร์เท่านั้น หลังจากสร้างคีย์สโตร์ที่มีชื่อในสภาพแวดล้อมแล้ว คุณจะสร้างชื่อแทนและอัปโหลดคู่คีย์/ใบรับรอง (คีย์สโตร์) หรืออัปโหลดใบรับรองเท่านั้น (truststore) ไปยังชื่อแทนได้
วิธีสร้างคีย์สโตร์
- เข้าถึงหน้าคีย์สโตร์ TLS
- เลือกสภาพแวดล้อม (โดยทั่วไปคือ
prod
หรือtest
) - คลิก + คีย์สโตร์
- ระบุชื่อคีย์สโตร์ ชื่อมีได้เฉพาะอักขระที่เป็นตัวอักษรและตัวเลขคละกัน
- คลิกเพิ่มคีย์สโตร์ คีย์สโตร์ใหม่จะปรากฏในรายการ
- ใช้ขั้นตอนใดขั้นตอนหนึ่งต่อไปนี้เพื่อเพิ่มชื่อแทน ดูเพิ่มเติมรูปแบบไฟล์ใบรับรองที่รองรับ
การสร้างชื่อแทนจากใบรับรอง (truststore เท่านั้น)
วิธีสร้างชื่อแทนจากใบรับรอง
- เข้าถึงหน้าคีย์สโตร์ TLS
- วางเคอร์เซอร์เหนือคีย์สโตร์เพื่อแสดงเมนูการทำงาน แล้วคลิก +
- ระบุชื่อแทน
- ในส่วนรายละเอียดใบรับรอง ให้เลือกใบรับรองเท่านั้นในเมนูแบบเลื่อนลง "ประเภท"
- คลิกเลือกไฟล์ข้างไฟล์ใบรับรอง จากนั้นไปยังไฟล์ PEM ที่มีใบรับรอง แล้วคลิกเปิด
- โดยค่าเริ่มต้น API จะตรวจสอบให้แน่ใจว่าใบรับรองยังไม่หมดอายุ (ไม่บังคับ) เลือกอนุญาตใบรับรองที่หมดอายุเพื่อข้ามการตรวจสอบ
- เลือกบันทึกเพื่ออัปโหลดใบรับรองและสร้างชื่อแทน
การสร้างชื่อแทนจากไฟล์ JAR (คีย์สโตร์เท่านั้น)
วิธีสร้างชื่อแทนจากไฟล์ JAR
- เข้าถึงหน้าคีย์สโตร์ TLS
- วางเคอร์เซอร์เหนือคีย์สโตร์เพื่อแสดงเมนูการทำงาน แล้วคลิก +
- ระบุชื่อแทน
- ในส่วนรายละเอียดใบรับรอง ให้เลือกไฟล์ JAR ในรายการแบบเลื่อนลงของประเภท
- คลิกเลือกไฟล์ถัดจากไฟล์ JAR ไปยังไฟล์ JAR ที่มีใบรับรองและคีย์ แล้วคลิกเปิด
- หากคีย์มีรหัสผ่าน ให้ระบุรหัสผ่าน หากคีย์ไม่มีรหัสผ่าน ให้ปล่อยช่องนี้ว่างไว้
- โดยค่าเริ่มต้น API จะตรวจสอบให้แน่ใจว่าใบรับรองยังไม่หมดอายุ (ไม่บังคับ) เลือกอนุญาตใบรับรองที่หมดอายุเพื่อข้ามการตรวจสอบ
- เลือกบันทึกเพื่ออัปโหลดคีย์และใบรับรอง แล้วสร้างชื่อแทน
การสร้างชื่อแทนจากใบรับรองและคีย์ (คีย์สโตร์เท่านั้น)
วิธีสร้างชื่อแทนจากใบรับรองและคีย์
- เข้าถึงหน้าคีย์สโตร์ TLS
- วางเคอร์เซอร์เหนือคีย์สโตร์เพื่อแสดงเมนูการทำงาน แล้วคลิก +
- ระบุชื่อแทน
- ภายใต้รายละเอียดใบรับรอง ให้เลือกใบรับรองและคีย์ในรายการแบบเลื่อนลง "ประเภท"
- คลิกเลือกไฟล์ข้างไฟล์ใบรับรอง จากนั้นไปที่ไฟล์ PEM ที่มีใบรับรอง แล้วคลิกเปิด
- หากคีย์มีรหัสผ่าน ให้ระบุรหัสผ่านของคีย์ หากคีย์ไม่มีรหัสผ่าน ให้ปล่อยช่องนี้ว่างไว้
- คลิกเลือกไฟล์ข้างไฟล์คีย์ จากนั้นไปที่ไฟล์ PEM ที่มีคีย์ดังกล่าว แล้วคลิกเปิด
- โดยค่าเริ่มต้น API จะตรวจสอบให้แน่ใจว่าใบรับรองยังไม่หมดอายุ (ไม่บังคับ) เลือกอนุญาตใบรับรองที่หมดอายุเพื่อข้ามการตรวจสอบ
- เลือกบันทึกเพื่ออัปโหลดคีย์และใบรับรอง แล้วสร้างชื่อแทน
การสร้างชื่อแทนจากไฟล์ PKCS12/PFX (เฉพาะคีย์สโตร์เท่านั้น)
วิธีสร้างชื่อแทนจากไฟล์ PKCS12 ที่มีใบรับรองและคีย์
- เข้าถึงหน้าคีย์สโตร์ TLS
- วางเคอร์เซอร์เหนือคีย์สโตร์เพื่อแสดงเมนูการทำงาน แล้วคลิก +
- ระบุชื่อแทน
- ในส่วนรายละเอียดใบรับรอง ให้เลือก PKCS12/PFX ในรายการแบบเลื่อนลง "ประเภท"
- คลิก Choose File ถัดจาก PKCS12/PFX แล้วไปยังไฟล์ที่มีคีย์และใบรับรอง แล้วคลิก Open
- หากคีย์มีรหัสผ่าน ให้ระบุรหัสผ่านสำหรับไฟล์ PKCS12/PFX หากคีย์ไม่มีรหัสผ่าน ให้ปล่อยช่องนี้ว่างไว้
- โดยค่าเริ่มต้น API จะตรวจสอบให้แน่ใจว่าใบรับรองยังไม่หมดอายุ (ไม่บังคับ) เลือกอนุญาตใบรับรองที่หมดอายุเพื่อข้ามการตรวจสอบ
- เลือกบันทึกเพื่ออัปโหลดไฟล์และสร้างชื่อแทน
การสร้างชื่อแทนจากใบรับรองแบบ Self-signed (คีย์สโตร์เท่านั้น)
หากต้องการสร้างชื่อแทนที่ใช้ใบรับรองแบบ Self-signed ให้กรอกแบบฟอร์มพร้อมข้อมูลที่จำเป็นในการสร้างใบรับรอง จากนั้น Edge จะสร้างใบรับรองและคู่คีย์ส่วนตัว แล้วอัปโหลดไปยังชื่อแทน
วิธีสร้างชื่อแทนจากใบรับรองแบบ Self-signed
- เข้าถึงหน้าคีย์สโตร์ TLS
- วางเคอร์เซอร์เหนือคีย์สโตร์เพื่อแสดงเมนูการทำงาน แล้วคลิก +
- ระบุชื่อแทน
- ในส่วนรายละเอียดของใบรับรอง ให้เลือกใบรับรองที่ลงชื่อด้วยตนเองในเมนูแบบเลื่อนลง "ประเภท"
- กรอกแบบฟอร์มโดยใช้ตารางด้านล่าง
- เลือกบันทึกเพื่อสร้างการจับคู่ใบรับรองและคีย์ส่วนตัวและอัปโหลดไปยังชื่อแทน
ในใบรับรองที่สร้างขึ้น คุณจะเห็นฟิลด์เพิ่มเติมต่อไปนี้
- ผู้ออก
บุคคลที่ลงนามและออกใบรับรอง สำหรับใบรับรองแบบ Self-signed นี่คือ CN ที่คุณระบุเมื่อสร้างใบรับรอง - ระยะเวลาที่ใช้ได้
ระยะเวลาที่ใช้งานได้ของใบรับรองจะแสดงเป็น 2 วัน ได้แก่ วันที่เริ่มระยะเวลาที่ใช้งานใบรับรองได้และวันที่ที่ระยะเวลาของใบรับรองสิ้นสุดลง โดยจะเข้ารหัสทั้ง 2 แบบเป็นค่า UTCTime หรือ GeneralizedTime ได้
ตารางต่อไปนี้จะอธิบายช่องของแบบฟอร์ม
ช่องในแบบฟอร์ม | คำอธิบาย | ค่าเริ่มต้น | ต้องระบุ |
---|---|---|---|
ชื่อแทน | ชื่อแทน ความยาวสูงสุด 128 อักขระ | ไม่มีข้อมูล | ใช่ |
ขนาดกุญแจ | ขนาดของคีย์ในหน่วยบิต ค่าเริ่มต้นและค่าสูงสุดคือ 2048 บิต | 2048 | ไม่ได้ |
อัลกอริทึมลายเซ็น | อัลกอริทึมลายเซ็นสำหรับสร้างคีย์ส่วนตัว ค่าที่ถูกต้องคือ "SHA512withRSA", "SHA384withRSA" และ "SHA256withRSA" (ค่าเริ่มต้น) | SHA256withRSA | ไม่ได้ |
อายุการใช้งานของใบรับรองในหน่วยวัน | ระยะเวลาที่ใช้งานได้ของใบรับรองในหน่วยวัน ยอมรับค่าบวกที่ไม่ใช่ 0 | 365 | ไม่ได้ |
ชื่อสามัญ |
ชื่อทั่วไป (CN) ขององค์กรจะระบุชื่อโดเมนที่ตรงตามเกณฑ์ทั้งหมดซึ่งเชื่อมโยงกับใบรับรอง ซึ่งโดยปกติจะประกอบด้วยโฮสต์และชื่อโดเมน
เช่น api.enterprise.apigee.com, www.apigee.com ฯลฯ ความยาวสูงสุดคือ 64 อักขระ
CN อาจเป็นชื่อโฮสต์อย่างน้อย 1 รายการที่เป็นของโดเมนเดียวกัน (เช่น example.com, www.example.com) ชื่อไวลด์การ์ด (เช่น *.example.com) หรือรายชื่อโดเมน ทั้งนี้ขึ้นอยู่กับประเภทใบรับรอง อย่าใส่โปรโตคอล (http:// หรือ https://) หมายเลขพอร์ต หรือเส้นทางทรัพยากร ใบรับรองจะใช้ได้ก็ต่อเมื่อชื่อโฮสต์ของคำขอตรงกับชื่อทั่วไปของใบรับรองอย่างน้อย 1 ชื่อ |
ไม่มีข้อมูล | ใช่ |
อีเมล | อีเมล ความยาวสูงสุด 255 อักขระ | ไม่มีข้อมูล | ไม่ได้ |
ชื่อหน่วยขององค์กร | ชื่อทีมขององค์กร ความยาวสูงสุด 64 อักขระ | ไม่มีข้อมูล | ไม่ได้ |
ชื่อองค์กร | ชื่อองค์กร ความยาวสูงสุด 64 อักขระ | ไม่มีข้อมูล | ไม่ได้ |
Locality | ชื่อเมือง ความยาวสูงสุด 128 อักขระ | ไม่มีข้อมูล | ไม่ได้ |
รัฐ/จังหวัด | ชื่อรัฐ/จังหวัด ความยาวสูงสุด 128 อักขระ | ไม่มีข้อมูล | ไม่ได้ |
ประเทศ | รหัสประเทศ 2 ตัวอักษร เช่น IN สําหรับอินเดีย สหรัฐอเมริกาสําหรับสหรัฐอเมริกา | ไม่มีข้อมูล | ไม่ได้ |
ชื่อที่ใช้แทนได้ |
รายการชื่อโฮสต์สำรอง อนุญาตให้เชื่อมโยงข้อมูลประจำตัวเพิ่มเติมกับเรื่องของใบรับรอง ตัวเลือกที่กำหนด ได้แก่ อีเมลอิเล็กทรอนิกส์ทางอินเทอร์เน็ต, ชื่อ DNS, ที่อยู่ IP และ Uniform Resource Identifier (URI)
แต่ละค่ามีอักขระได้สูงสุด 255 ตัว คุณคั่นชื่อด้วยคอมมา หรือกดแป้น Enter หลังแต่ละชื่อได้ |
ไม่มีข้อมูล | ไม่ได้ |
ทดสอบคีย์สโตร์หรือ Truststore
คุณสามารถทดสอบ Truststore และคีย์สโตร์ได้ใน UI ของ Edge เพื่อยืนยันว่ามีการกำหนดค่าอย่างถูกต้อง Test Ui จะตรวจสอบคำขอ TLS จาก Edge ไปยังบริการแบ็กเอนด์ คุณกำหนดค่าบริการแบ็กเอนด์ให้รองรับ TLS แบบทางเดียวหรือ 2 ทางได้
วิธีทดสอบ TLS ทางเดียว
- เข้าถึงหน้าคีย์สโตร์ TLS
- เลือกสภาพแวดล้อม (โดยทั่วไปคือ
prod
หรือtest
) - วางเคอร์เซอร์เหนือคีย์สโตร์ TLS ที่ต้องการทดสอบเพื่อแสดงเมนูการทำงาน แล้วคลิกทดสอบ กล่องโต้ตอบต่อไปนี้จะปรากฏขึ้นเพื่อแสดงชื่อของ Truststore:
- ป้อนชื่อโฮสต์ของบริการแบ็กเอนด์
- ป้อนหมายเลขพอร์ต TLS (ปกติ 443)
- (ไม่บังคับ) ระบุโปรโตคอลหรือการเข้ารหัสใดก็ได้
- เลือกทดสอบ
วิธีทดสอบ TLS แบบ 2 ทาง
- เลือกปุ่มทดสอบสำหรับ Truststore ที่ต้องการ
- ในกล่องโต้ตอบ ให้เลือกสองทางสำหรับประเภทการทดสอบ SSL
กล่องโต้ตอบต่อไปนี้จะปรากฏขึ้น
- ระบุชื่อคีย์สโตร์ที่ใช้ใน TLS แบบ 2 ทาง
- ระบุชื่อชื่อแทนในคีย์สโตร์ที่มีใบรับรองและคีย์
- ป้อนชื่อโฮสต์ของบริการแบ็กเอนด์
- ป้อนหมายเลขพอร์ต TLS (ปกติ 443)
- (ไม่บังคับ) ระบุโปรโตคอลหรือการเข้ารหัสใดก็ได้
- เลือกทดสอบ
เพิ่มใบรับรองไปยัง Truststore สำหรับ TLS แบบ 2 ทาง
เมื่อใช้ TLS แบบ 2 ทางสำหรับการเชื่อมต่อขาเข้า ซึ่งหมายถึงคำขอ API ไปยัง Edge แล้ว Truststore จะมีห่วงโซ่ใบรับรองหรือ CA สำหรับไคลเอ็นต์แต่ละรายที่ได้รับอนุญาตให้ส่งคำขอไปยัง Edge
เมื่อกำหนดค่า Truststore เป็นครั้งแรก คุณจะเพิ่มใบรับรองทั้งหมดสำหรับไคลเอ็นต์ที่รู้จักได้ อย่างไรก็ตาม เมื่อเวลาผ่านไป คุณอาจต้องการเพิ่มใบรับรองอื่นไปยัง Truststore เมื่อเพิ่มลูกค้าใหม่
วิธีเพิ่มใบรับรองใหม่ไปยัง Truststore ที่ใช้สำหรับ TLS แบบ 2 ทาง
- ตรวจสอบว่าคุณกำลังใช้การอ้างอิงไปยัง Truststore ในโฮสต์เสมือน
- อัปโหลดใบรับรองใหม่ไปยัง Truststore ตามที่อธิบายไว้ข้างต้นในการสร้างชื่อแทนจากใบรับรอง (Truststore เท่านั้น)
อัปเดตการอ้างอิง Truststore เพื่อตั้งค่าให้เป็นค่าเดียวกัน การอัปเดตนี้จะทำให้ Edge โหลด Truststore และใบรับรองใหม่ซ้ำ
ดูข้อมูลเพิ่มเติมที่การแก้ไขข้อมูลอ้างอิง
ลบคีย์สโตร์/truststore หรือชื่อแทน
คุณต้องใช้ความระมัดระวังเมื่อลบคีย์สโตร์/truststore หรือชื่อแทน หากคุณลบคีย์สโตร์, Truststore หรือชื่อแทนที่โฮสต์เสมือน, ปลายทางหรือเซิร์ฟเวอร์เป้าหมายกำลังใช้อยู่ การเรียก API ทั้งหมดผ่านโฮสต์เสมือนหรือปลายทาง/เซิร์ฟเวอร์เป้าหมายเป้าหมายจะล้มเหลว
โดยปกติแล้ว ขั้นตอนที่คุณใช้เพื่อลบคีย์สโตร์/ทรัสต์สโตร์หรือชื่อแทนคือ
- สร้างคีย์สโตร์/ความน่าเชื่อถือ หรือชื่อแทนใหม่ตามที่อธิบายข้างต้น
- สำหรับการเชื่อมต่อขาเข้า ซึ่งหมายถึงคำขอ API ไปยัง Edge ให้อัปเดตการกำหนดค่าโฮสต์เสมือนเพื่ออ้างอิงคีย์สโตร์และชื่อแทนคีย์ใหม่
- สําหรับการเชื่อมต่อขาออก ซึ่งหมายถึงจาก Apigee ไปยังเซิร์ฟเวอร์แบ็กเอนด์ ให้ทำดังนี้
- อัปเดตการกำหนดค่า TargetEndpoint สำหรับพร็อกซี API ที่อ้างอิงคีย์สโตร์และชื่อแทนคีย์เดิมเพื่ออ้างอิงคีย์สโตร์และชื่อแทนคีย์ใหม่ หาก TargetEndpoint อ้างอิง TargetServer ให้อัปเดตคำจำกัดความของ TargetServer เพื่ออ้างอิงคีย์สโตร์และชื่อแทนคีย์ใหม่
- หากมีการอ้างอิงคีย์สโตร์และ Truststore โดยตรงจากคำจำกัดความ TargetEndpoint คุณต้องทำให้พร็อกซีใช้งานได้อีกครั้ง หาก TargetEndpoint อ้างอิงคำจำกัดความของ TargetServer และคำจำกัดความของ TargetServer จะอ้างอิงคีย์สโตร์และ Truststore ก็ไม่จำเป็นต้องทำให้พร็อกซีใช้งานได้อีกครั้ง
- ตรวจสอบว่าพร็อกซี API ทำงานได้อย่างถูกต้อง
- ลบคีย์สโตร์/truststore หรือชื่อแทน
ลบคีย์สโตร์
คุณลบคีย์สโตร์หรือ Truststore ได้โดยวางเคอร์เซอร์เหนือคีย์สโตร์หรือ Truststore ในรายการเพื่อแสดงเมนูการทำงานและคลิก หากคุณลบคีย์สโตร์หรือ Truststore ที่โฮสต์เสมือนหรือเซิร์ฟเวอร์ปลายทาง/ปลายทางเป้าหมายใช้อยู่ การเรียก API ทั้งหมดผ่านโฮสต์เสมือนหรือเซิร์ฟเวอร์ปลายทาง/เป้าหมายเป้าหมายจะล้มเหลว
ข้อควรระวัง: คุณไม่ควรลบคีย์สโตร์จนกว่าจะแปลงโฮสต์เสมือนและปลายทาง/เซิร์ฟเวอร์เป้าหมายปลายทางไปใช้คีย์สโตร์ใหม่แล้ว
ลบชื่อแทน
คุณสามารถลบชื่อแทนโดยการวางเคอร์เซอร์เหนือชื่อแทนในรายการเพื่อแสดงเมนูการทำงานและคลิก หากคุณลบชื่อแทนที่โฮสต์เสมือนหรือเซิร์ฟเวอร์ปลายทาง/เป้าหมายเป้าหมายใช้อยู่ การเรียก API ทั้งหมดผ่านโฮสต์เสมือนหรือเซิร์ฟเวอร์ปลายทาง/เป้าหมายเป้าหมายจะล้มเหลว
ข้อควรระวัง: คุณไม่ควรลบชื่อแทนจนกว่าจะแปลงโฮสต์เสมือนและปลายทาง/เซิร์ฟเวอร์เป้าหมายปลายทางไปใช้คีย์สโตร์และชื่อแทนใหม่แล้ว