การสร้างคีย์สโตร์และ Truststore โดยใช้ Edge UI

คุณกำลังดูเอกสาร Apigee Edge
ไปที่เอกสารประกอบของ Apigee X ข้อมูล

เอกสารนี้จะอธิบายวิธีสร้าง แก้ไข และลบคีย์สโตร์และ Truststore สำหรับ Edge สำหรับ Cloud และ Edge สำหรับ Private Cloud เวอร์ชัน 4.18.01 ขึ้นไป

เกี่ยวกับคีย์สโตร์/ความน่าเชื่อถือและโฮสต์เสมือนสำหรับ Edge Cloud

ขั้นตอนการสร้างคีย์สโตร์/ความน่าเชื่อถือสำหรับ Edge Cloud กำหนดให้คุณต้องทำตามกฎทั้งหมดเกี่ยวกับการใช้โฮสต์เสมือน เช่น กรณีที่ใช้โฮสต์เสมือนในระบบคลาวด์

  • โฮสต์เสมือนต้องใช้ TLS
  • โฮสต์เสมือนใช้ได้เฉพาะพอร์ต 443
  • คุณต้องใช้ใบรับรอง TLS ที่ลงชื่อแล้ว ใบรับรองที่ไม่ได้ลงนามไม่ได้รับอนุญาตให้ใช้กับโฮสต์เสมือนในระบบคลาวด์
  • ชื่อโดเมนที่ระบุโดยใบรับรอง TLS ต้องตรงกับชื่อแทนโฮสต์ของโฮสต์เสมือน

ดูข้อมูลเพิ่มเติม

การใช้คีย์สโตร์และ Truststore ใน Edge

หากต้องการกำหนดค่าฟังก์ชันการทำงานที่ใช้โครงสร้างพื้นฐานของคีย์สาธารณะ เช่น TLS คุณต้องสร้างคีย์สโตร์และ Truststore ที่มีคีย์และใบรับรองดิจิทัลที่จำเป็น

ใน Edge ทั้งคีย์สโตร์และ Truststore จะแสดงด้วยเอนทิตี keystore ที่มีชื่อแทนอย่างน้อย 1 รายการ กล่าวคือ ไม่มีความแตกต่างในการใช้งานระหว่างคีย์สโตร์และ Truststore ใน Edge

ความแตกต่างระหว่างคีย์สโตร์และ Truststore ได้มาจากประเภทของรายการที่มีอยู่ในคีย์สโตร์และวิธีใช้คีย์สโตร์ในการแฮนด์เชค TLS ดังนี้

  • keystore - เอนทิตี keystore ที่มีชื่อแทนอย่างน้อย 1 อัน โดยที่ชื่อแทนแต่ละรายการมีคู่คีย์/ใบรับรอง
  • Truststore - เอนทิตี keystore ที่มีชื่อแทนอย่างน้อย 1 รายการ ซึ่งชื่อแทนแต่ละรายการจะมีใบรับรองเท่านั้น

เมื่อกำหนดค่า TLS สำหรับโฮสต์เสมือนหรือปลายทางเป้าหมาย คีย์สโตร์และ Truststore จะมีบทบาทที่แตกต่างกันในกระบวนการแฮนด์เชค TLS เมื่อกำหนดค่าโฮสต์เสมือนหรือปลายทางเป้าหมาย คุณต้องระบุคีย์สโตร์และ Truststore แยกกันในแท็ก <SSLInfo> ดังที่แสดงด้านล่างสำหรับโฮสต์เสมือน

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>false</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
    </SSLInfo>
</VirtualHost>

ในตัวอย่างนี้ คุณระบุชื่อของคีย์สโตร์และชื่อแทนที่โฮสต์เสมือนใช้สำหรับคีย์สโตร์ TLS คุณใช้ข้อมูลอ้างอิงในการระบุชื่อคีย์สโตร์ เพื่อให้เปลี่ยนแปลงได้ในภายหลังเมื่อใบรับรองหมดอายุ ชื่อแทนมีคู่คีย์/ใบรับรองที่ใช้ระบุโฮสต์เสมือนกับไคลเอ็นต์ TLS ที่เข้าถึงโฮสต์เสมือน ในตัวอย่างนี้ ไม่จำเป็นต้องมี Truststore

หากต้องใช้ Truststore เช่น สำหรับการกำหนดค่า TLS แบบ 2 ทาง ให้ใช้แท็ก <TrustStore> เพื่อระบุ Truststore

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>true</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
        <TrustStore>ref://truststoreref</TrustStore>
    </SSLInfo>
</VirtualHost>

ในตัวอย่างนี้ แท็ก <TrustStore> อ้างอิงคีย์สโตร์เท่านั้น โดยไม่ได้ระบุชื่อแทนที่เจาะจง ชื่อแทนแต่ละรายการในคีย์สโตร์จะมีใบรับรองหรือเชนใบรับรอง ซึ่งใช้เป็นส่วนหนึ่งของกระบวนการเริ่มต้นใช้งาน TLS

รูปแบบใบรับรองที่รองรับ

รูปแบบ รองรับการอัปโหลด API และ UI รองรับไปทางเหนือ ตรวจสอบแล้ว
PEM ใช่ ใช่ ใช่
* รหัส PKCS12 ใช่ ใช่ มี
หมายเหตุ: Apigee จะแปลงเป็นการภายใน
PKCS12 เป็น PEM
* DER ไม่ได้ ไม่ได้ ใช่
* PKCS7 ไม่ได้ ไม่ได้ ไม่ได้

* หากเป็นไปได้ เราขอแนะนำให้ใช้ PEM

เกี่ยวกับการใช้ชื่อแทน

ใน Edge คีย์สโตร์จะมีชื่อแทนอย่างน้อย 1 รายการ ซึ่งชื่อแทนแต่ละรายการจะมีข้อมูลต่อไปนี้

  • ใบรับรอง TLS เป็นไฟล์ PEM หรือ PKCS12/PFX ซึ่งอาจเป็นใบรับรองที่ลงชื่อโดยผู้ออกใบรับรอง (CA) ไฟล์ที่มีชุดใบรับรองที่ CA หลักลงชื่อไว้ หรือใบรับรองแบบ Self-signed
  • คีย์ส่วนตัวเป็นไฟล์ PEM หรือ PKCS12/PFX Edge รองรับขนาดคีย์สูงสุด 2,048 บิต คุณจะใส่รหัสผ่านหรือไม่ก็ได้

ใน Edge truststore จะมีชื่อแทนอย่างน้อย 1 รายการ ซึ่งชื่อแทนแต่ละรายการจะมีข้อมูลต่อไปนี้

  • ใบรับรอง TLS เป็นไฟล์ PEM โดยอาจเป็นใบรับรองที่ลงชื่อโดยผู้ออกใบรับรอง (CA), เชนใบรับรองที่ใบรับรองฉบับล่าสุดลงชื่อโดย CA หรือใบรับรองแบบ Self-signed

Edge จะมี UI และ API ที่คุณใช้เพื่อสร้างคีย์สโตร์ สร้างชื่อแทน อัปโหลดคู่ใบรับรอง/คีย์ และอัปเดตใบรับรอง UI และ API ที่คุณใช้สร้าง Truststore จะเหมือนกับที่คุณใช้ในการสร้างคีย์สโตร์ ความแตกต่างคือเมื่อสร้าง Truststore จะเป็นการสร้างชื่อแทนที่มีเฉพาะใบรับรองเท่านั้น

เกี่ยวกับรูปแบบของไฟล์ใบรับรองและไฟล์คีย์

คุณแสดงใบรับรองและคีย์เป็นไฟล์ PEM หรือเป็นไฟล์ PKCS12/PFX ก็ได้ ไฟล์ PEM ต้องเป็นไปตามรูปแบบ X.509 หากไฟล์ PEM ไม่ได้กำหนดใบรับรองหรือคีย์ส่วนตัว คุณจะแปลงเป็นไฟล์ PEM ได้โดยใช้ยูทิลิตี เช่น openssl

แต่ไฟล์ .crt และไฟล์ .key จำนวนมากจะอยู่ในรูปแบบ PEM อยู่แล้ว หากไฟล์เหล่านี้เป็นไฟล์ข้อความและอยู่ในพื้นที่ต่อไปนี้

-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----

หรือ

-----BEGIN ENCRYPTED PRIVATE KEY-----
-----END ENCRYPTED PRIVATE KEY-----

ซึ่งจะทำให้ไฟล์เข้ากันได้กับรูปแบบ PEM และสามารถใช้ในคีย์สโตร์หรือ Truststore ได้โดยไม่ต้องแปลงเป็นไฟล์ PEM

เกี่ยวกับเชนใบรับรอง

หากใบรับรองเป็นส่วนหนึ่งของเชน คุณจะสามารถจัดการใบรับรองนั้นต่างออกไป ขึ้นอยู่กับว่ามีการใช้ใบรับรองในคีย์สโตร์หรือใน Truststore ดังนี้

  • คีย์สโตร์ - หากใบรับรองเป็นส่วนหนึ่งของเชน คุณต้องสร้างไฟล์เดียวที่มีใบรับรองทั้งหมดในเชน ใบรับรองต้องเรียงตามลำดับอย่างถูกต้อง และใบรับรองตัวสุดท้ายต้องเป็นใบรับรองรูทหรือใบรับรองกลางที่ลงชื่อโดยใบรับรองรูท
  • Truststore - หากใบรับรองเป็นส่วนหนึ่งของเชน คุณต้องสร้างไฟล์เดียวที่มีใบรับรองทั้งหมดและอัปโหลดไฟล์นั้นไปยังชื่อแทน หรืออัปโหลดใบรับรองทั้งหมดในเชนแยกต่างหากไปยัง Truststore โดยใช้ชื่อแทนอื่นสำหรับใบรับรองแต่ละรายการ หากคุณอัปโหลดเป็นใบรับรองเดียว ใบรับรองดังกล่าวต้องเรียงตามลำดับ และใบรับรองสุดท้ายต้องเป็นใบรับรองรูทหรือใบรับรองกลางที่ลงชื่อโดยใบรับรองรูท
  • หากสร้างไฟล์เดียวที่มีหลายใบรับรอง คุณต้องแทรกบรรทัดว่างระหว่างใบรับรองแต่ละรายการ

เช่น คุณรวมใบรับรองทั้งหมดเป็นไฟล์ PEM ไฟล์เดียวได้ ใบรับรองต้องเรียงตามลำดับ และใบรับรองตัวสุดท้ายต้องเป็นใบรับรองรูทหรือใบรับรองกลางที่ลงนามโดยใบรับรองรูท

-----BEGIN CERTIFICATE----- 
(Your Primary TLS certificate) 
-----END CERTIFICATE----- 

-----BEGIN CERTIFICATE----- 
(Intermediate certificate) 
-----END CERTIFICATE-----
 
-----BEGIN CERTIFICATE----- 
(Root certificate or intermediate certificate signed by a root certificate) 
-----END CERTIFICATE-----

หากใบรับรองของคุณแสดงเป็นไฟล์ PKCS12/PFX คุณจะใช้คำสั่ง openssl เพื่อสร้างไฟล์ PKCS12/PFX จากเชนใบรับรองได้ดังที่แสดงด้านล่าง

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

เมื่อใช้เชนใบรับรองใน Truststore คุณไม่จำเป็นต้องอัปโหลดใบรับรองทั้งหมดในเชนดังกล่าวเสมอไป ตัวอย่างเช่น คุณอัปโหลดใบรับรองไคลเอ็นต์ client_cert_1 และ ca_cert ของผู้ออกใบรับรองไคลเอ็นต์

ในระหว่างการตรวจสอบสิทธิ์ TLS แบบ 2 ทาง การตรวจสอบสิทธิ์ไคลเอ็นต์จะประสบความสำเร็จเมื่อเซิร์ฟเวอร์ส่ง client_cert_1 ไปยังไคลเอ็นต์ซึ่งเป็นส่วนหนึ่งของกระบวนการแฮนด์เชค TLS

หรือคุณอาจมีใบรับรองที่ 2 คือ client_cert_2 ซึ่งลงนามโดยใบรับรองเดียวกัน ซึ่งก็คือ ca_cert แต่คุณไม่ควรอัปโหลด client_cert_2 ไปยัง Truststore Truststore ยังคงมีเพียง client_cert_1 และ ca_cert

เมื่อเซิร์ฟเวอร์ส่ง client_cert_2 เป็นส่วนหนึ่งของแฮนด์เชค TLS คำขอก็จะประสบความสำเร็จ เนื่องจาก Edge อนุญาตให้ยืนยัน TLS สำเร็จเมื่อไม่มี client_cert_2 ใน Truststore แต่ลงนามโดยใบรับรองที่มีอยู่ใน Truststore หากนำใบรับรอง CA ca_cert ออกจาก Truststore แล้ว การยืนยัน TLS จะไม่สำเร็จ

สํารวจหน้าคีย์สโตร์ TLS

เข้าถึงหน้าคีย์สโตร์ TLS ตามที่อธิบายไว้ด้านล่าง

Edge

วิธีเข้าถึงหน้าคีย์สโตร์ TLS โดยใช้ Edge UI

  1. ลงชื่อเข้าใช้ https://apigee.com/edge ในฐานะผู้ดูแลระบบองค์กร
  2. เลือกองค์กรของคุณ
  3. เลือกผู้ดูแลระบบ > สภาพแวดล้อม > คีย์สโตร์ TLS

Classic Edge (Private Cloud)

วิธีเข้าถึงหน้าคีย์สโตร์ TLS โดยใช้ UI ของ Classic Edge

  1. ลงชื่อเข้าใช้ http://ms-ip:9000 ในฐานะผู้ดูแลระบบองค์กร โดยที่ ms-ip คือที่อยู่ IP หรือชื่อ DNS ของโหนดเซิร์ฟเวอร์การจัดการ
  2. เลือกองค์กรของคุณ
  3. เลือกผู้ดูแลระบบ > การกำหนดค่าสภาพแวดล้อม > คีย์สโตร์ TLS

หน้าคีย์สโตร์ TLS จะแสดงขึ้นมา

ตามที่ไฮไลต์ไว้ในรูปก่อนหน้านี้ หน้าคีย์สโตร์ TLS จะช่วยให้คุณทำสิ่งต่อไปนี้ได้

ดูชื่อแทน

ในการดูชื่อแทน:

  1. เข้าถึงหน้าคีย์สโตร์ TLS
  2. เลือกสภาพแวดล้อม (โดยทั่วไปคือ prod หรือ test)
  3. คลิกแถวที่เชื่อมโยงกับชื่อแทนที่ต้องการดู

    รายละเอียดของใบรับรองและคีย์ชื่อแทนจะปรากฏขึ้น

    คุณสามารถดูข้อมูลทั้งหมดเกี่ยวกับชื่อแทน รวมถึงวันที่หมดอายุได้

  4. จัดการใบรับรองโดยใช้ปุ่มที่ด้านบนของหน้าเพื่อดำเนินการต่อไปนี้
    • ดาวน์โหลดใบรับรองเป็นไฟล์ PEM
    • สร้าง CSR หากคุณมีใบรับรองที่หมดอายุและต้องการต่ออายุ คุณสามารถดาวน์โหลดคำขอลงชื่อใบรับรอง (CSR) ได้ จากนั้นคุณจะส่ง CSR ไปยัง CA ของคุณเพื่อขอรับใบรับรองใหม่
    • อัปเดตใบรับรอง ข้อควรระวัง: หากอัปเดตใบรับรองที่โฮสต์เสมือนหรือปลายทางเซิร์ฟเวอร์/ปลายทางเป้าหมายใช้อยู่ในขณะนี้ คุณต้องติดต่อทีมสนับสนุนของ Apigee Edge เพื่อรีสตาร์ทเราเตอร์และผู้ประมวลผลข้อความ วิธีที่แนะนำในการอัปเดตใบรับรองคือ
      1. สร้างคีย์สโตร์หรือ Truststore ใหม่
      2. เพิ่มใบรับรองใหม่ไปยังคีย์สโตร์หรือ Truststore ใหม่
      3. อัปเดตการอ้างอิงในโฮสต์เสมือนหรือปลายทางเซิร์ฟเวอร์/เป้าหมายเป้าหมายเป็นคีย์สโตร์หรือ Truststore โปรดดูข้อมูลเพิ่มเติมที่ อัปเดตใบรับรอง TLS สำหรับระบบคลาวด์
      4. ลบชื่อแทน หมายเหตุ: หากคุณลบชื่อแทนและตอนนี้โฮสต์เสมือนหรือปลายทางเป้าหมายกำลังใช้อยู่ โฮสต์เสมือนหรือปลายทางเป้าหมายจะล้มเหลว

สร้างคีย์สโตร์/ความน่าเชื่อถือและชื่อแทน

คุณสร้างคีย์สโตร์เพื่อใช้เป็นคีย์สโตร์ TLS หรือ TLS Truststore ได้ คีย์สโตร์ใช้เฉพาะกับสภาพแวดล้อมในองค์กรของคุณเท่านั้น เช่น สภาพแวดล้อมการทดสอบหรือสภาพแวดล้อมของผลิตภัณฑ์ ดังนั้น หากคุณต้องการทดสอบคีย์สโตร์ในสภาพแวดล้อมการทดสอบก่อนที่จะทำให้ใช้งานได้กับสภาพแวดล้อมที่ใช้งานจริง คุณต้องสร้างคีย์สโตร์ในทั้ง 2 สภาพแวดล้อม

หากต้องการสร้างคีย์สโตร์ในสภาพแวดล้อม คุณเพียงแค่ต้องระบุชื่อคีย์สโตร์เท่านั้น หลังจากสร้างคีย์สโตร์ที่มีชื่อในสภาพแวดล้อมแล้ว คุณจะสร้างชื่อแทนและอัปโหลดคู่คีย์/ใบรับรอง (คีย์สโตร์) หรืออัปโหลดใบรับรองเท่านั้น (truststore) ไปยังชื่อแทนได้

วิธีสร้างคีย์สโตร์

  1. เข้าถึงหน้าคีย์สโตร์ TLS
  2. เลือกสภาพแวดล้อม (โดยทั่วไปคือ prod หรือ test)
  3. คลิก + คีย์สโตร์
  4. ระบุชื่อคีย์สโตร์ ชื่อมีได้เฉพาะอักขระที่เป็นตัวอักษรและตัวเลขคละกัน
  5. คลิกเพิ่มคีย์สโตร์ คีย์สโตร์ใหม่จะปรากฏในรายการ
  6. ใช้ขั้นตอนใดขั้นตอนหนึ่งต่อไปนี้เพื่อเพิ่มชื่อแทน ดูเพิ่มเติมรูปแบบไฟล์ใบรับรองที่รองรับ

การสร้างชื่อแทนจากใบรับรอง (truststore เท่านั้น)

วิธีสร้างชื่อแทนจากใบรับรอง

  1. เข้าถึงหน้าคีย์สโตร์ TLS
  2. วางเคอร์เซอร์เหนือคีย์สโตร์เพื่อแสดงเมนูการทำงาน แล้วคลิก +
  3. ระบุชื่อแทน
  4. ในส่วนรายละเอียดใบรับรอง ให้เลือกใบรับรองเท่านั้นในเมนูแบบเลื่อนลง "ประเภท"
  5. คลิกเลือกไฟล์ข้างไฟล์ใบรับรอง จากนั้นไปยังไฟล์ PEM ที่มีใบรับรอง แล้วคลิกเปิด
  6. โดยค่าเริ่มต้น API จะตรวจสอบให้แน่ใจว่าใบรับรองยังไม่หมดอายุ (ไม่บังคับ) เลือกอนุญาตใบรับรองที่หมดอายุเพื่อข้ามการตรวจสอบ
  7. เลือกบันทึกเพื่ออัปโหลดใบรับรองและสร้างชื่อแทน

การสร้างชื่อแทนจากไฟล์ JAR (คีย์สโตร์เท่านั้น)

วิธีสร้างชื่อแทนจากไฟล์ JAR

  1. เข้าถึงหน้าคีย์สโตร์ TLS
  2. วางเคอร์เซอร์เหนือคีย์สโตร์เพื่อแสดงเมนูการทำงาน แล้วคลิก +
  3. ระบุชื่อแทน
  4. ในส่วนรายละเอียดใบรับรอง ให้เลือกไฟล์ JAR ในรายการแบบเลื่อนลงของประเภท
  5. คลิกเลือกไฟล์ถัดจากไฟล์ JAR ไปยังไฟล์ JAR ที่มีใบรับรองและคีย์ แล้วคลิกเปิด
  6. หากคีย์มีรหัสผ่าน ให้ระบุรหัสผ่าน หากคีย์ไม่มีรหัสผ่าน ให้ปล่อยช่องนี้ว่างไว้
  7. โดยค่าเริ่มต้น API จะตรวจสอบให้แน่ใจว่าใบรับรองยังไม่หมดอายุ (ไม่บังคับ) เลือกอนุญาตใบรับรองที่หมดอายุเพื่อข้ามการตรวจสอบ
  8. เลือกบันทึกเพื่ออัปโหลดคีย์และใบรับรอง แล้วสร้างชื่อแทน

การสร้างชื่อแทนจากใบรับรองและคีย์ (คีย์สโตร์เท่านั้น)

วิธีสร้างชื่อแทนจากใบรับรองและคีย์

  1. เข้าถึงหน้าคีย์สโตร์ TLS
  2. วางเคอร์เซอร์เหนือคีย์สโตร์เพื่อแสดงเมนูการทำงาน แล้วคลิก +
  3. ระบุชื่อแทน
  4. ภายใต้รายละเอียดใบรับรอง ให้เลือกใบรับรองและคีย์ในรายการแบบเลื่อนลง "ประเภท"
  5. คลิกเลือกไฟล์ข้างไฟล์ใบรับรอง จากนั้นไปที่ไฟล์ PEM ที่มีใบรับรอง แล้วคลิกเปิด
  6. หากคีย์มีรหัสผ่าน ให้ระบุรหัสผ่านของคีย์ หากคีย์ไม่มีรหัสผ่าน ให้ปล่อยช่องนี้ว่างไว้
  7. คลิกเลือกไฟล์ข้างไฟล์คีย์ จากนั้นไปที่ไฟล์ PEM ที่มีคีย์ดังกล่าว แล้วคลิกเปิด
  8. โดยค่าเริ่มต้น API จะตรวจสอบให้แน่ใจว่าใบรับรองยังไม่หมดอายุ (ไม่บังคับ) เลือกอนุญาตใบรับรองที่หมดอายุเพื่อข้ามการตรวจสอบ
  9. เลือกบันทึกเพื่ออัปโหลดคีย์และใบรับรอง แล้วสร้างชื่อแทน

การสร้างชื่อแทนจากไฟล์ PKCS12/PFX (เฉพาะคีย์สโตร์เท่านั้น)

วิธีสร้างชื่อแทนจากไฟล์ PKCS12 ที่มีใบรับรองและคีย์

  1. เข้าถึงหน้าคีย์สโตร์ TLS
  2. วางเคอร์เซอร์เหนือคีย์สโตร์เพื่อแสดงเมนูการทำงาน แล้วคลิก +
  3. ระบุชื่อแทน
  4. ในส่วนรายละเอียดใบรับรอง ให้เลือก PKCS12/PFX ในรายการแบบเลื่อนลง "ประเภท"
  5. คลิก Choose File ถัดจาก PKCS12/PFX แล้วไปยังไฟล์ที่มีคีย์และใบรับรอง แล้วคลิก Open
  6. หากคีย์มีรหัสผ่าน ให้ระบุรหัสผ่านสำหรับไฟล์ PKCS12/PFX หากคีย์ไม่มีรหัสผ่าน ให้ปล่อยช่องนี้ว่างไว้
  7. โดยค่าเริ่มต้น API จะตรวจสอบให้แน่ใจว่าใบรับรองยังไม่หมดอายุ (ไม่บังคับ) เลือกอนุญาตใบรับรองที่หมดอายุเพื่อข้ามการตรวจสอบ
  8. เลือกบันทึกเพื่ออัปโหลดไฟล์และสร้างชื่อแทน

การสร้างชื่อแทนจากใบรับรองแบบ Self-signed (คีย์สโตร์เท่านั้น)

หากต้องการสร้างชื่อแทนที่ใช้ใบรับรองแบบ Self-signed ให้กรอกแบบฟอร์มพร้อมข้อมูลที่จำเป็นในการสร้างใบรับรอง จากนั้น Edge จะสร้างใบรับรองและคู่คีย์ส่วนตัว แล้วอัปโหลดไปยังชื่อแทน

วิธีสร้างชื่อแทนจากใบรับรองแบบ Self-signed

  1. เข้าถึงหน้าคีย์สโตร์ TLS
  2. วางเคอร์เซอร์เหนือคีย์สโตร์เพื่อแสดงเมนูการทำงาน แล้วคลิก +
  3. ระบุชื่อแทน
  4. ในส่วนรายละเอียดของใบรับรอง ให้เลือกใบรับรองที่ลงชื่อด้วยตนเองในเมนูแบบเลื่อนลง "ประเภท"
  5. กรอกแบบฟอร์มโดยใช้ตารางด้านล่าง
  6. เลือกบันทึกเพื่อสร้างการจับคู่ใบรับรองและคีย์ส่วนตัวและอัปโหลดไปยังชื่อแทน

ในใบรับรองที่สร้างขึ้น คุณจะเห็นฟิลด์เพิ่มเติมต่อไปนี้

  • ผู้ออก
    บุคคลที่ลงนามและออกใบรับรอง สำหรับใบรับรองแบบ Self-signed นี่คือ CN ที่คุณระบุเมื่อสร้างใบรับรอง
  • ระยะเวลาที่ใช้ได้
    ระยะเวลาที่ใช้งานได้ของใบรับรองจะแสดงเป็น 2 วัน ได้แก่ วันที่เริ่มระยะเวลาที่ใช้งานใบรับรองได้และวันที่ที่ระยะเวลาของใบรับรองสิ้นสุดลง โดยจะเข้ารหัสทั้ง 2 แบบเป็นค่า UTCTime หรือ GeneralizedTime ได้

ตารางต่อไปนี้จะอธิบายช่องของแบบฟอร์ม

ช่องในแบบฟอร์ม คำอธิบาย ค่าเริ่มต้น ต้องระบุ
ชื่อแทน ชื่อแทน ความยาวสูงสุด 128 อักขระ ไม่มีข้อมูล ใช่
ขนาดกุญแจ ขนาดของคีย์ในหน่วยบิต ค่าเริ่มต้นและค่าสูงสุดคือ 2048 บิต 2048 ไม่ได้
อัลกอริทึมลายเซ็น อัลกอริทึมลายเซ็นสำหรับสร้างคีย์ส่วนตัว ค่าที่ถูกต้องคือ "SHA512withRSA", "SHA384withRSA" และ "SHA256withRSA" (ค่าเริ่มต้น) SHA256withRSA ไม่ได้
อายุการใช้งานของใบรับรองในหน่วยวัน ระยะเวลาที่ใช้งานได้ของใบรับรองในหน่วยวัน ยอมรับค่าบวกที่ไม่ใช่ 0 365 ไม่ได้
ชื่อสามัญ ชื่อทั่วไป (CN) ขององค์กรจะระบุชื่อโดเมนที่ตรงตามเกณฑ์ทั้งหมดซึ่งเชื่อมโยงกับใบรับรอง ซึ่งโดยปกติจะประกอบด้วยโฮสต์และชื่อโดเมน เช่น api.enterprise.apigee.com, www.apigee.com ฯลฯ ความยาวสูงสุดคือ 64 อักขระ

CN อาจเป็นชื่อโฮสต์อย่างน้อย 1 รายการที่เป็นของโดเมนเดียวกัน (เช่น example.com, www.example.com) ชื่อไวลด์การ์ด (เช่น *.example.com) หรือรายชื่อโดเมน ทั้งนี้ขึ้นอยู่กับประเภทใบรับรอง อย่าใส่โปรโตคอล (http:// หรือ https://) หมายเลขพอร์ต หรือเส้นทางทรัพยากร

ใบรับรองจะใช้ได้ก็ต่อเมื่อชื่อโฮสต์ของคำขอตรงกับชื่อทั่วไปของใบรับรองอย่างน้อย 1 ชื่อ

 ไม่มีข้อมูล ใช่
อีเมล อีเมล ความยาวสูงสุด 255 อักขระ ไม่มีข้อมูล ไม่ได้
ชื่อหน่วยขององค์กร ชื่อทีมขององค์กร ความยาวสูงสุด 64 อักขระ ไม่มีข้อมูล ไม่ได้
ชื่อองค์กร ชื่อองค์กร ความยาวสูงสุด 64 อักขระ ไม่มีข้อมูล ไม่ได้
Locality ชื่อเมือง ความยาวสูงสุด 128 อักขระ ไม่มีข้อมูล ไม่ได้
รัฐ/จังหวัด ชื่อรัฐ/จังหวัด ความยาวสูงสุด 128 อักขระ ไม่มีข้อมูล ไม่ได้
ประเทศ รหัสประเทศ 2 ตัวอักษร เช่น IN สําหรับอินเดีย สหรัฐอเมริกาสําหรับสหรัฐอเมริกา ไม่มีข้อมูล ไม่ได้
ชื่อที่ใช้แทนได้ รายการชื่อโฮสต์สำรอง อนุญาตให้เชื่อมโยงข้อมูลประจำตัวเพิ่มเติมกับเรื่องของใบรับรอง ตัวเลือกที่กำหนด ได้แก่ อีเมลอิเล็กทรอนิกส์ทางอินเทอร์เน็ต, ชื่อ DNS, ที่อยู่ IP และ Uniform Resource Identifier (URI)

แต่ละค่ามีอักขระได้สูงสุด 255 ตัว คุณคั่นชื่อด้วยคอมมา หรือกดแป้น Enter หลังแต่ละชื่อได้

 ไม่มีข้อมูล ไม่ได้

ทดสอบคีย์สโตร์หรือ Truststore

คุณสามารถทดสอบ Truststore และคีย์สโตร์ได้ใน UI ของ Edge เพื่อยืนยันว่ามีการกำหนดค่าอย่างถูกต้อง Test Ui จะตรวจสอบคำขอ TLS จาก Edge ไปยังบริการแบ็กเอนด์ คุณกำหนดค่าบริการแบ็กเอนด์ให้รองรับ TLS แบบทางเดียวหรือ 2 ทางได้

วิธีทดสอบ TLS ทางเดียว

  1. เข้าถึงหน้าคีย์สโตร์ TLS
  2. เลือกสภาพแวดล้อม (โดยทั่วไปคือ prod หรือ test)
  3. วางเคอร์เซอร์เหนือคีย์สโตร์ TLS ที่ต้องการทดสอบเพื่อแสดงเมนูการทำงาน แล้วคลิกทดสอบ กล่องโต้ตอบต่อไปนี้จะปรากฏขึ้นเพื่อแสดงชื่อของ Truststore:
  4. ป้อนชื่อโฮสต์ของบริการแบ็กเอนด์
  5. ป้อนหมายเลขพอร์ต TLS (ปกติ 443)
  6. (ไม่บังคับ) ระบุโปรโตคอลหรือการเข้ารหัสใดก็ได้
  7. เลือกทดสอบ

วิธีทดสอบ TLS แบบ 2 ทาง

  1. เลือกปุ่มทดสอบสำหรับ Truststore ที่ต้องการ
  2. ในกล่องโต้ตอบ ให้เลือกสองทางสำหรับประเภทการทดสอบ SSL กล่องโต้ตอบต่อไปนี้จะปรากฏขึ้น
  3. ระบุชื่อคีย์สโตร์ที่ใช้ใน TLS แบบ 2 ทาง
  4. ระบุชื่อชื่อแทนในคีย์สโตร์ที่มีใบรับรองและคีย์
  5. ป้อนชื่อโฮสต์ของบริการแบ็กเอนด์
  6. ป้อนหมายเลขพอร์ต TLS (ปกติ 443)
  7. (ไม่บังคับ) ระบุโปรโตคอลหรือการเข้ารหัสใดก็ได้
  8. เลือกทดสอบ

เพิ่มใบรับรองไปยัง Truststore สำหรับ TLS แบบ 2 ทาง

เมื่อใช้ TLS แบบ 2 ทางสำหรับการเชื่อมต่อขาเข้า ซึ่งหมายถึงคำขอ API ไปยัง Edge แล้ว Truststore จะมีห่วงโซ่ใบรับรองหรือ CA สำหรับไคลเอ็นต์แต่ละรายที่ได้รับอนุญาตให้ส่งคำขอไปยัง Edge

เมื่อกำหนดค่า Truststore เป็นครั้งแรก คุณจะเพิ่มใบรับรองทั้งหมดสำหรับไคลเอ็นต์ที่รู้จักได้ อย่างไรก็ตาม เมื่อเวลาผ่านไป คุณอาจต้องการเพิ่มใบรับรองอื่นไปยัง Truststore เมื่อเพิ่มลูกค้าใหม่

วิธีเพิ่มใบรับรองใหม่ไปยัง Truststore ที่ใช้สำหรับ TLS แบบ 2 ทาง

  1. ตรวจสอบว่าคุณกำลังใช้การอ้างอิงไปยัง Truststore ในโฮสต์เสมือน
  2. อัปโหลดใบรับรองใหม่ไปยัง Truststore ตามที่อธิบายไว้ข้างต้นในการสร้างชื่อแทนจากใบรับรอง (Truststore เท่านั้น)

  3. อัปเดตการอ้างอิง Truststore เพื่อตั้งค่าให้เป็นค่าเดียวกัน การอัปเดตนี้จะทำให้ Edge โหลด Truststore และใบรับรองใหม่ซ้ำ

    ดูข้อมูลเพิ่มเติมที่การแก้ไขข้อมูลอ้างอิง

ลบคีย์สโตร์/truststore หรือชื่อแทน

คุณต้องใช้ความระมัดระวังเมื่อลบคีย์สโตร์/truststore หรือชื่อแทน หากคุณลบคีย์สโตร์, Truststore หรือชื่อแทนที่โฮสต์เสมือน, ปลายทางหรือเซิร์ฟเวอร์เป้าหมายกำลังใช้อยู่ การเรียก API ทั้งหมดผ่านโฮสต์เสมือนหรือปลายทาง/เซิร์ฟเวอร์เป้าหมายเป้าหมายจะล้มเหลว

โดยปกติแล้ว ขั้นตอนที่คุณใช้เพื่อลบคีย์สโตร์/ทรัสต์สโตร์หรือชื่อแทนคือ

  1. สร้างคีย์สโตร์/ความน่าเชื่อถือ หรือชื่อแทนใหม่ตามที่อธิบายข้างต้น
  2. สำหรับการเชื่อมต่อขาเข้า ซึ่งหมายถึงคำขอ API ไปยัง Edge ให้อัปเดตการกำหนดค่าโฮสต์เสมือนเพื่ออ้างอิงคีย์สโตร์และชื่อแทนคีย์ใหม่
  3. สําหรับการเชื่อมต่อขาออก ซึ่งหมายถึงจาก Apigee ไปยังเซิร์ฟเวอร์แบ็กเอนด์ ให้ทำดังนี้
    1. อัปเดตการกำหนดค่า TargetEndpoint สำหรับพร็อกซี API ที่อ้างอิงคีย์สโตร์และชื่อแทนคีย์เดิมเพื่ออ้างอิงคีย์สโตร์และชื่อแทนคีย์ใหม่ หาก TargetEndpoint อ้างอิง TargetServer ให้อัปเดตคำจำกัดความของ TargetServer เพื่ออ้างอิงคีย์สโตร์และชื่อแทนคีย์ใหม่
    2. หากมีการอ้างอิงคีย์สโตร์และ Truststore โดยตรงจากคำจำกัดความ TargetEndpoint คุณต้องทำให้พร็อกซีใช้งานได้อีกครั้ง หาก TargetEndpoint อ้างอิงคำจำกัดความของ TargetServer และคำจำกัดความของ TargetServer จะอ้างอิงคีย์สโตร์และ Truststore ก็ไม่จำเป็นต้องทำให้พร็อกซีใช้งานได้อีกครั้ง
  4. ตรวจสอบว่าพร็อกซี API ทำงานได้อย่างถูกต้อง
  5. ลบคีย์สโตร์/truststore หรือชื่อแทน

ลบคีย์สโตร์

คุณลบคีย์สโตร์หรือ Truststore ได้โดยวางเคอร์เซอร์เหนือคีย์สโตร์หรือ Truststore ในรายการเพื่อแสดงเมนูการทำงานและคลิก หากคุณลบคีย์สโตร์หรือ Truststore ที่โฮสต์เสมือนหรือเซิร์ฟเวอร์ปลายทาง/ปลายทางเป้าหมายใช้อยู่ การเรียก API ทั้งหมดผ่านโฮสต์เสมือนหรือเซิร์ฟเวอร์ปลายทาง/เป้าหมายเป้าหมายจะล้มเหลว

ข้อควรระวัง: คุณไม่ควรลบคีย์สโตร์จนกว่าจะแปลงโฮสต์เสมือนและปลายทาง/เซิร์ฟเวอร์เป้าหมายปลายทางไปใช้คีย์สโตร์ใหม่แล้ว

ลบชื่อแทน

คุณสามารถลบชื่อแทนโดยการวางเคอร์เซอร์เหนือชื่อแทนในรายการเพื่อแสดงเมนูการทำงานและคลิก หากคุณลบชื่อแทนที่โฮสต์เสมือนหรือเซิร์ฟเวอร์ปลายทาง/เป้าหมายเป้าหมายใช้อยู่ การเรียก API ทั้งหมดผ่านโฮสต์เสมือนหรือเซิร์ฟเวอร์ปลายทาง/เป้าหมายเป้าหมายจะล้มเหลว

ข้อควรระวัง: คุณไม่ควรลบชื่อแทนจนกว่าจะแปลงโฮสต์เสมือนและปลายทาง/เซิร์ฟเวอร์เป้าหมายปลายทางไปใช้คีย์สโตร์และชื่อแทนใหม่แล้ว