Edge kullanıcı arayüzünü kullanarak anahtar depoları ve güven deposu oluşturma

Apigee Edge belgelerini görüntülüyorsunuz.
Apigee X belgelerine gidin. bilgi

Bu belgede, Cloud için Edge'de ve Private Cloud'da Edge'de 4.18.01 ve üzeri sürümler için anahtar depoları ve güven depoları oluşturma, değiştirme ve silme açıklanmaktadır.

Edge Cloud için anahtar depoları/güven depoları ve sanal ana makineler hakkında

Edge Cloud için anahtar depoları/güven depoları oluşturma süreci, sanal ana makine kullanımıyla ilgili tüm kurallara uymanızı gerektirir. Örneğin, Cloud'daki sanal ana makinelerde:

  • Sanal ana makineler TLS kullanmalıdır.
  • Sanal ana makineler yalnızca 443 numaralı bağlantı noktasını kullanabilir.
  • İmzalı bir TLS sertifikası kullanmanız gerekir. İmzalanmamış sertifikaların Cloud'daki sanal ana makinelerde kullanılmasına izin verilmez.
  • TLS sertifikası tarafından belirtilen alan adı, sanal ana makinenin ana makine takma adıyla eşleşmelidir.

Daha fazla bilgi:

Edge'de anahtar depoları ve güven depoları uygulama

TLS gibi ortak anahtar altyapısına dayanan işlevleri yapılandırmak için gerekli anahtarları ve dijital sertifikaları içeren anahtar depoları ve güven depoları oluşturmanız gerekir.

Edge'de anahtar depoları ve güven depoları, bir veya daha fazla takma ad içeren bir anahtar deposu varlığıyla temsil edilir. Yani bir anahtar deposu ile Edge'deki güven deposu arasında uygulama farkı yoktur.

Anahtar depoları ile güven depoları arasındaki fark, içerdikleri giriş türlerinden ve TLS el sıkışmada nasıl kullanıldıklarından kaynaklanır:

  • anahtar deposu - bir veya daha fazla takma ad içeren ve her takma adın bir sertifika/anahtar çifti içerdiği anahtar deposu varlığıdır.
  • Truststore: Her takma adın yalnızca bir sertifika içerdiği bir veya daha fazla takma ad içeren bir anahtar deposu varlığıdır.

Sanal ana makine veya hedef uç nokta için TLS'yi yapılandırırken anahtar depoları ve güven depoları, TLS el sıkışma sürecinde farklı roller sağlar. Bir sanal ana makineyi veya hedef uç noktayı yapılandırırken, aşağıda bir sanal ana makine için gösterildiği gibi, anahtar depolarını ve güven depolarını <SSLInfo> etiketinde ayrı olarak belirtirsiniz:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>false</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
    </SSLInfo>
</VirtualHost>

Bu örnekte, sanal ana makinenin TLS anahtar deposu için kullandığı anahtar deposunun adını ve takma adı belirtiyorsunuz. Anahtar deposu adını belirtmek için bir referans kullanırsınız. Böylece, daha sonra sertifikanın süresi dolduğunda bu adı değiştirebilirsiniz. Takma ad, sanal ana makineyi, sanal ana makineye erişen bir TLS istemcisine tanımlamak için kullanılan bir sertifika/anahtar çifti içerir. Bu örnekte, güven deposu gerekli değildir.

Örneğin 2 yönlü TLS yapılandırması için güven deposu gerekiyorsa güven deposunu belirtmek için <TrustStore> etiketini kullanın:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>true</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
        <TrustStore>ref://truststoreref</TrustStore>
    </SSLInfo>
</VirtualHost>

Bu örnekte <TrustStore> etiketi yalnızca bir anahtar deposuna başvuruda bulunur, belirli bir takma ad belirtmez. Anahtar deposundaki her takma ad, TLS el sıkışma sürecinin parçası olarak kullanılan bir sertifika veya sertifika zinciri içerir.

Desteklenen sertifika biçimleri

Biçim API ve kullanıcı arayüzü yüklemesi desteklenir Kuzeye giden yönde desteklenir Doğrulandı
PEM Evet Evet Evet
* PKCS12 Evet Evet Evet
Not: Apigee, PKCS12'yi dahili olarak
PKCS12'ye dönüştürür.
* DER Hayır Hayır Evet
* PKCS7 Hayır Hayır Hayır

* Mümkünse PEM kullanmanızı öneririz.

Takma ad uygulama hakkında

Edge'de anahtar deposu bir veya daha fazla takma ad içerir. Burada her takma ad şunları içerir:

  • PEM veya PKCS12/PFX dosyası olarak TLS sertifikası: bir sertifika yetkilisi (CA) tarafından imzalanmış bir sertifika, son sertifikanın bir CA tarafından imzalandığı bir sertifika zincirini içeren bir dosya veya kendinden imzalı bir sertifika.
  • PEM veya PKCS12/PFX dosyası olarak özel anahtar. Edge, 2048 bite kadar anahtar boyutlarını destekler. Parola isteğe bağlıdır.

Edge'de bir güven mağaza, bir veya daha fazla takma ad içerir. Burada her takma ad şunları içerir:

  • PEM dosyası olarak TLS sertifikası: Sertifika yetkilisi (CA) tarafından imzalanmış bir sertifika, son sertifikanın bir CA tarafından imzalandığı sertifika zinciri veya kendinden imzalı bir sertifika.

Edge; anahtar depoları oluşturmak, takma adlar oluşturmak, sertifika/anahtar çiftleri yüklemek ve sertifikaları güncellemek için kullanabileceğiniz bir kullanıcı arayüzü ve API sunar. Güven deposu oluşturmak için kullandığınız kullanıcı arayüzü ve API, anahtar deposu oluşturmak için kullandığınız API ile aynıdır. Aralarındaki fark, güven deposu oluşturduğunuzda yalnızca sertifika içeren takma adlar oluşturmanızdır.

Sertifikanın ve anahtar dosyalarının biçimi hakkında

Sertifikaları ve anahtarları PEM dosyaları veya PKCS12/PFX dosyaları olarak temsil edebilirsiniz. PEM dosyaları, X.509 biçimine uygundur. Sertifikanız veya özel anahtarınız bir PEM dosyası tarafından tanımlanmamışsa openssl gibi yardımcı programları kullanarak bir PEM dosyasına dönüştürebilirsiniz.

Ancak birçok .crt dosyası ve .key dosyası zaten PEM biçimindedir. Bu dosyalar metin dosyalarıysa ve ekliyse:

-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----

veya:

-----BEGIN ENCRYPTED PRIVATE KEY-----
-----END ENCRYPTED PRIVATE KEY-----

Ardından dosyalar PEM biçimiyle uyumludur ve bunları PEM dosyasına dönüştürmeden bir anahtar deposunda veya güven deposunda kullanabilirsiniz.

Sertifika zincirleri hakkında

Bir sertifika bir zincirin parçasıysa sertifikayı, anahtar deposunda mı yoksa güven deposunda mı kullanıldığına bağlı olarak farklı şekilde işlersiniz:

  • Anahtar deposu: Sertifika, bir zincirin parçasıysa zincirdeki tüm sertifikaları içeren tek bir dosya oluşturmanız gerekir. Sertifikaların sıralı olması ve son sertifikanın bir kök sertifika veya kök sertifika tarafından imzalanmış bir ara sertifika olması gerekir.
  • Truststore: Sertifika, bir zincirin parçasıysa tüm sertifikaları içeren tek bir dosya oluşturup bu dosyayı bir takma ada yüklemeniz veya zincirdeki tüm sertifikaları, her sertifika için farklı bir takma ad kullanarak güven deposuna ayrı olarak yüklemeniz gerekir. Bunları tek bir sertifika olarak yüklerseniz sertifikaların sıralı olması ve son sertifikanın bir kök sertifika veya kök sertifika tarafından imzalanmış bir ara sertifika olması gerekir.
  • Birden fazla sertifika içeren tek bir dosya oluşturursanız sertifikaların arasına boş bir satır eklemeniz gerekir.

Örneğin, tüm sertifikaları tek bir PEM dosyasında birleştirebilirsiniz. Sertifikaların sıralı olması ve son sertifikanın bir kök sertifika veya bir kök sertifika tarafından imzalanmış bir ara sertifika olması gerekir:

-----BEGIN CERTIFICATE----- 
(Your Primary TLS certificate) 
-----END CERTIFICATE----- 

-----BEGIN CERTIFICATE----- 
(Intermediate certificate) 
-----END CERTIFICATE-----
 
-----BEGIN CERTIFICATE----- 
(Root certificate or intermediate certificate signed by a root certificate) 
-----END CERTIFICATE-----

Sertifikalarınız PKCS12/PFX dosyaları olarak temsil ediliyorsa sertifika zincirinden PKCS12/PFX dosyası oluşturmak için openssl komutunu aşağıda gösterildiği gibi kullanabilirsiniz:

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

Bir güven deposunda sertifika zincirleriyle çalışırken, her zaman zincirdeki tüm sertifikaları yüklemeniz gerekmez. Örneğin, bir istemci sertifikası (client_cert_1) ve istemci sertifikasını verenin sertifikası (ca_cert) yüklüyorsunuz.

İki yönlü TLS kimlik doğrulaması sırasında sunucu, TLS el sıkışma sürecinin bir parçası olarak client_cert_1 istemcisini istemciye gönderdiğinde istemci kimlik doğrulaması başarılı olur.

Alternatif olarak, aynı sertifikayla (ca_cert) imzalanmış ikinci bir sertifikanız (client_cert_2) daha olabilir. Ancak client_cert_2 öğesini güven deposuna yüklemiyorsunuz. Güven deposu hâlâ yalnızca client_cert_1 ve ca_cert içeriyor.

Sunucu, TLS el sıkışmanın bir parçası olarak client_cert_2 özelliğini ilettiğinde istek başarılı olur. Bunun nedeni, client_cert_2 güven deposunda mevcut olmadığında ancak güven deposunda bulunan bir sertifikayla imzalandığında Edge'in TLS doğrulamasının başarılı olmasına izin vermesidir. ca_cert CA sertifikasını güven deposundan kaldırırsanız TLS doğrulaması başarısız olur.

TLS Anahtar Depoları sayfasını keşfet

Aşağıda açıklandığı şekilde TLS Anahtar Depoları sayfasına erişin.

Edge

Edge kullanıcı arayüzünü kullanarak TLS Anahtar Depoları sayfasına erişmek için:

  1. https://apigee.com/edge adresinde kuruluş yöneticisi olarak oturum açın.
  2. Kuruluşunuzu seçin.
  3. Yönetici > Ortam > TLS Anahtar Depoları'nı seçin.

Klasik Edge (Private Cloud)

Klasik Edge kullanıcı arayüzünü kullanarak TLS Anahtar Depoları sayfasına erişmek için:

  1. http://ms-ip:9000 sitesinde kuruluş yöneticisi olarak oturum açın. Burada ms-ip, Yönetim Sunucusu düğümünün IP adresi veya DNS adıdır.
  2. Kuruluşunuzu seçin.
  3. Yönetici > Ortam Yapılandırması > TLS Anahtar Depoları'nı seçin.

TLS Anahtar Depoları sayfası görüntülenir:

Önceki şekilde belirtildiği gibi, TLS Anahtar Depoları sayfasında şunları yapabilirsiniz:

Takma ad görüntüleme

Bir takma adı görüntülemek için:

  1. TLS Anahtar Depoları sayfasına erişin.
  2. Ortamı seçin (genellikle prod veya test).
  3. Görüntülemek istediğiniz takma adla ilişkili satırı tıklayın.

    Takma ad sertifika ve anahtarla ilgili ayrıntılar gösterilir.

    Takma adla ilgili, geçerlilik bitiş tarihi de dahil tüm bilgileri görebilirsiniz.

  4. Sayfanın en üstündeki düğmeleri kullanarak sertifikayı yöneterek şunları yapabilirsiniz:
    • Sertifikayı PEM dosyası olarak indirin.
    • CSR oluşturun. Süresi dolmuş bir sertifikanız varsa ve bu sertifikayı yenilemek istiyorsanız bir Sertifika İmzalama İsteği (CSR) indirebilirsiniz. Daha sonra, yeni bir sertifika alması için CSR'yi CA'nıza gönderirsiniz.
    • Sertifika güncelleme. Dikkat: Bir sanal ana makine veya hedef sunucu/hedef uç nokta tarafından kullanılmakta olan bir sertifikayı güncellerseniz Yönlendiricileri ve Mesaj İşleyicileri yeniden başlatmak için Apigee Edge Destek Ekibi ile iletişime geçmeniz gerekir. Sertifikaları güncellemek için önerilen yöntem şu şekildedir:
      1. Yeni bir anahtar deposu veya güven deposu oluşturun.
      2. Yeni sertifikayı yeni anahtar deposuna veya güven deposuna ekleyin.
      3. Sanal ana makine veya hedef sunucu/hedef uç noktasındaki referansı anahtar deposuna ya da güven deposuna güncelleyin. Daha fazla bilgi için Cloud için TLS sertifikası güncelleme bölümüne bakın.
      4. Takma adı silin. Not: Bir takma adı silerseniz ve bu takma ad bir sanal ana makine veya hedef uç nokta tarafından kullanılıyorsa sanal ana makine veya hedef uç nokta başarısız olur.

Anahtar deposu/güven deposu ve takma ad oluşturma

TLS anahtar deposu veya TLS güven deposu olarak kullanmak üzere bir anahtar deposu oluşturabilirsiniz. Anahtar deposu, kuruluşunuzdaki bir ortama (ör. test veya üretim ortamı) özeldir. Bu nedenle, anahtar deposunu üretim ortamınıza dağıtmadan önce bir test ortamında test etmek istiyorsanız bunu her iki ortamda da oluşturmanız gerekir.

Bir ortamda anahtar deposu oluşturmak için yalnızca anahtar deposu adını belirtmeniz gerekir. Bir ortamda adlandırılmış anahtar deposu oluşturduktan sonra takma adlar oluşturup sertifika/anahtar çifti (anahtar deposu) yükleyebilir veya takma ada yalnızca sertifika (güvenilir mağaza) yükleyebilirsiniz.

Anahtar deposu oluşturmak için:

  1. TLS Anahtar Depoları sayfasına erişin.
  2. Ortamı seçin (genellikle prod veya test).
  3. + Anahtar deposu'nu tıklayın.
  4. Anahtar deposu adını belirtin. Ad yalnızca alfanümerik karakterler içerebilir.
  5. Anahtar Deposu Ekle'yi tıklayın. Yeni anahtar deposu listede görünür.
  6. Takma ad eklemek için aşağıdaki prosedürlerden birini kullanın. Ayrıca bkz. Desteklenen sertifika dosyası biçimleri.

Bir sertifikadan takma ad oluşturma (yalnızca güven mağazası)

Bir sertifikadan takma ad oluşturmak için:

  1. TLS Anahtar Depoları sayfasına erişin.
  2. İşlem menüsünü görüntülemek için imleci anahtar deposunun üzerine getirin ve + işaretini tıklayın.
  3. Takma Ad'ı belirtin.
  4. Certificate details (Sertifika ayrıntıları) bölümünde, Type (Tür) açılır menüsünde Certificate only (Yalnızca Sertifika) seçeneğini belirleyin.
  5. Sertifika Dosyası'nın yanındaki Dosya Seç'i tıklayın, sertifikayı içeren PEM dosyasına gidin ve 'ı tıklayın.
  6. API, varsayılan olarak sertifikanın süresinin dolmadığından emin olur. Doğrulamayı atlamak için isteğe bağlı olarak Süresi Dolmuş Sertifikaya İzin Ver'i seçin.
  7. Sertifikayı yüklemek ve takma adı oluşturmak için Kaydet'i seçin.

JAR dosyasından takma ad oluşturma (yalnızca anahtar deposu)

JAR dosyasından takma ad oluşturmak için:

  1. TLS Anahtar Depoları sayfasına erişin.
  2. İşlem menüsünü görüntülemek için imleci anahtar deposunun üzerine getirin ve + işaretini tıklayın.
  3. Takma Ad'ı belirtin.
  4. Sertifika ayrıntıları altında, Type (Tür) açılır menüsünden JAR Dosyası'nı seçin.
  5. JAR Dosyası'nın yanındaki Choose File'ı (Dosya Seç) tıklayın, sertifika ile anahtarı içeren JAR dosyasına gidin ve Open'ı (Aç) tıklayın.
  6. Anahtarda şifre varsa Şifre'yi belirtin. Anahtarda şifre yoksa bu alanı boş bırakın.
  7. API, varsayılan olarak sertifikanın süresinin dolmadığından emin olur. Doğrulamayı atlamak için isteğe bağlı olarak Süresi Dolmuş Sertifikaya İzin Ver'i seçin.
  8. Anahtarı ve sertifikayı yükleyip takma adı oluşturmak için Kaydet'i seçin.

Sertifika ve anahtardan takma ad oluşturma (yalnızca anahtar deposu)

Bir sertifika ve anahtardan takma ad oluşturmak için:

  1. TLS Anahtar Depoları sayfasına erişin.
  2. İşlem menüsünü görüntülemek için imleci anahtar deposunun üzerine getirin ve + işaretini tıklayın.
  3. Takma Ad'ı belirtin.
  4. Sertifika ayrıntıları altındaki Type (Tür) açılır menüsünden Sertifika ve Anahtar'ı seçin.
  5. Sertifika Dosyası'nın yanındaki Dosya Seç'i tıklayın, sertifikayı içeren PEM dosyasına gidin ve 'ı tıklayın.
  6. Anahtarda şifre varsa Anahtar Şifre'yi belirtin. Anahtarda şifre yoksa bu alanı boş bırakın.
  7. Anahtar Dosyası'nın yanındaki Dosya Seç'i tıklayın, anahtarı içeren PEM dosyasına gidin ve 'ı tıklayın.
  8. API, varsayılan olarak sertifikanın süresinin dolmadığından emin olur. Doğrulamayı atlamak için isteğe bağlı olarak Süresi Dolmuş Sertifikaya İzin Ver'i seçin.
  9. Anahtarı ve sertifikayı yükleyip takma adı oluşturmak için Kaydet'i seçin.

PKCS12/PFX dosyasından takma ad oluşturma (yalnızca anahtar deposu)

Sertifikayı ve anahtarı içeren PKCS12 dosyasından takma ad oluşturmak için:

  1. TLS Anahtar Depoları sayfasına erişin.
  2. İşlem menüsünü görüntülemek için imleci anahtar deposunun üzerine getirin ve + işaretini tıklayın.
  3. Takma Ad'ı belirtin.
  4. Sertifika ayrıntıları altındaki Type (Tür) açılır menüsünden PKCS12/PFX'i seçin.
  5. PKCS12/PFX'in yanındaki Choose File'ı (Dosya Seç) tıklayın, anahtar ile sertifikayı içeren dosyaya gidin ve Open'ı (Aç) tıklayın.
  6. Anahtarda bir şifre varsa PKCS12/PFX dosyası için Şifre'yi belirtin. anahtarda şifre yoksa bu alanı boş bırakın.
  7. API, varsayılan olarak sertifikanın süresinin dolmadığından emin olur. Doğrulamayı atlamak için isteğe bağlı olarak Süresi Dolmuş Sertifikaya İzin Ver'i seçin.
  8. Dosyayı yüklemek ve takma adı oluşturmak için Kaydet'i seçin.

Kendinden imzalı bir sertifikadan takma ad oluşturma (yalnızca anahtar deposu)

Kendinden imzalı sertifika kullanan bir takma ad oluşturmak için sertifikayı oluşturmak için gereken bilgileri içeren bir form doldurur. Ardından Edge, sertifikayı ve özel anahtar çiftini oluşturup bunları takma ada yükler.

Kendinden imzalı bir sertifikadan takma ad oluşturmak için:

  1. TLS Anahtar Depoları sayfasına erişin.
  2. İşlem menüsünü görüntülemek için imleci anahtar deposunun üzerine getirin ve + işaretini tıklayın.
  3. Takma Ad'ı belirtin.
  4. Certificate details (Sertifika ayrıntıları) altında, Type (Tür) açılır menüsünden Self-İmzalı Sertifika'yı (Kendinden İmzalı Sertifika) seçin.
  5. Aşağıdaki tabloyu kullanarak formu doldurun.
  6. Sertifikayı ve özel anahtar çiftini oluşturmak ve bunları takma ada yüklemek için Kaydet'i seçin.

Oluşturulan sertifikada aşağıdaki ek alanları görürsünüz:

  • Düzenleyen
    Sertifikayı imzalayan ve yayınlayan tüzel kişi. Kendinden imzalı bir sertifika için bu, sertifikayı oluştururken belirttiğiniz CN'dir.
  • Geçerlilik
    İki tarih olarak gösterilen sertifika geçerlilik süresi, sertifika geçerlilik süresinin başladığı tarih ve sertifika geçerlilik süresinin sona erdiği tarihtir. Her ikisi de UTCTime veya GeneralizedTime değerleri olarak kodlanabilir.

Aşağıdaki tabloda form alanları açıklanmaktadır:

Form Alanı Açıklama Varsayılan Gerekli
Takma Ad Takma ad. Maksimum uzunluk 128 karakterdir. Yok Evet
Anahtar Boyutu Anahtarın bit cinsinden boyutu. Varsayılan ve maksimum değer 2048 bittir. 2048 Hayır
İmza Algoritması Gizli anahtar oluşturmaya yönelik imza algoritması. Geçerli değerler "SHA512withRSA", "SHA384withRSA" ve "SHA256withRSA" (varsayılan) şeklindedir. RSA ile SHA256 Hayır
Sertifika geçerlilik süresi (gün) Sertifikanın geçerlilik süresi (gün cinsinden). Sıfır olmayan pozitif değerleri kabul eder. 365 Hayır
Ortak Ad Kuruluşun Ortak Adı (CN), sertifikayla ilişkili tam alan adlarını tanımlar. Genellikle bir barındırıcı ve alan adından oluşur. Örneğin, api.enterprise.apigee.com, www.apigee.com vb. Maksimum uzunluk 64 karakterdir.

CN, sertifika türüne bağlı olarak aynı alana ait bir veya daha fazla ana makine adı (ör. example.com, www.example.com), bir joker karakter adı (ör. *.example.com) ya da bir alan listesi olabilir. Herhangi bir protokol (http:// veya https://), bağlantı noktası numarası ya da kaynak yolu eklemeyin.

Sertifika yalnızca istek ana makine adının, sertifika ortak adlarından en az biriyle eşleşmesi durumunda geçerlidir.

 Yok Evet
E-posta E-posta adresi. Maksimum uzunluk 255 karakterdir. Yok Hayır
Kuruluş Birimi Adı Kuruluş ekibi adı. Maksimum uzunluk 64 karakterdir. Yok Hayır
Kuruluş Adı Kuruluş adı. Maksimum uzunluk 64 karakterdir. Yok Hayır
Konum Şehir/İlçe adı. Maksimum uzunluk 128 karakterdir. Yok Hayır
Eyalet/İl Eyalet/İl adı. Maksimum uzunluk 128 karakterdir. Yok Hayır
Ülke İki harfli ülke kodu. Örneğin, Hindistan için Hindistan, Amerika Birleşik Devletleri için ABD. Yok Hayır
Alternatif Adlar Alternatif ana makine adlarının listesi. Ek kimliklerin sertifika konusuna bağlanmasına izin verir. Tanımlanan seçenekler arasında internet elektronik posta adresi, DNS adı, IP adresi ve tek tip kaynak tanımlayıcısı (URI) bulunur.

Her değer için maksimum 255 karakter. Adları virgülle veya her addan sonra Enter tuşuna basarak ayırabilirsiniz.

 Yok Hayır

Anahtar deposu veya güven deposunu test etme

Doğru şekilde yapılandırıldıklarını doğrulamak için Edge kullanıcı arayüzünde güven deponuzu ve anahtar deponuzu test edebilirsiniz. Test Kullanıcı Arayüzü, Edge'den arka uç hizmetine gönderilen TLS isteğini doğrular. Arka uç hizmeti, tek yönlü veya iki yönlü TLS'yi destekleyecek şekilde yapılandırılabilir.

Tek yönlü TLS'yi test etmek için:

  1. TLS Anahtar Depoları sayfasına erişin.
  2. Ortamı seçin (genellikle prod veya test).
  3. İşlemler menüsünü görüntülemek için imlecinizi test etmek istediğiniz TLS anahtar deposunun üzerine getirin ve Test'i tıklayın. Güven deposunun adını gösteren aşağıdaki iletişim kutusu görünür:
  4. Arka uç hizmetinin ana makine adını girin.
  5. TLS bağlantı noktası numarasını girin (genellikle 443).
  6. İsteğe bağlı olarak, istediğiniz Protokolleri veya Şifreleri belirtin.
  7. Test et'i seçin.

İki yönlü TLS'yi test etmek için:

  1. İstenen güven deposu için Test et düğmesini seçin.
  2. İletişim kutusunda, SSL Test Türü için İki Yönü seçin. Aşağıdaki iletişim kutusu görüntülenir:
  3. İki yönlü TLS'de kullanılan anahtar deposunun adını belirtin.
  4. Sertifikayı ve anahtarı içeren anahtar deposunda takma ad adını belirtin.
  5. Arka uç hizmetinin ana makine adını girin.
  6. TLS bağlantı noktası numarasını girin (genellikle 443).
  7. İsteğe bağlı olarak, istediğiniz Protokolleri veya Şifreleri belirtin.
  8. Test et'i seçin.

Güven deposuna iki yönlü TLS için sertifika ekleme

Gelen bağlantılar (yani Edge'e gönderilen bir API isteği) için iki yönlü TLS kullanılırken güven deposu, Edge'e istek yapmasına izin verilen her istemci için bir sertifika veya CA zinciri içerir.

Güven deposunu ilk kez yapılandırırken, bilinen istemciler için tüm sertifikaları ekleyebilirsiniz. Ancak, zaman içinde yeni istemciler ekledikçe güven deposuna başka sertifikalar eklemek isteyebilirsiniz.

İki yönlü TLS için kullanılan bir güven deposuna yeni sertifikalar eklemek üzere:

  1. Sanal ana makinede güven deposuna bir referans kullandığınızdan emin olun.
  2. Yukarıda Sertifikadan takma ad oluşturma (yalnızca güven mağazası) bölümünde açıklandığı gibi güven deposuna yeni bir sertifika yükleyin.

  3. Truststore referansını aynı değere ayarlayacak şekilde güncelleyin. Bu güncelleme, Edge'in güven deposunu ve yeni sertifikayı yeniden yüklemesine neden olur.

    Daha fazla bilgi için Referansı değiştirme bölümüne bakın.

Anahtar deposunu/güven deposunu veya takma adı silme

Bir anahtar deposunu/güven deposunu veya takma adı silerken dikkatli olmanız gerekir. Bir sanal ana makine, hedef uç nokta veya hedef sunucu tarafından kullanılan bir anahtar deposunu, güven deposunu veya takma adı silerseniz sanal ana makine veya hedef uç nokta/hedef sunucu üzerinden yapılan tüm API çağrıları başarısız olur.

Genellikle bir anahtar deposunu/güven deposunu veya takma adı silmek için kullandığınız süreç şu şekildedir:

  1. Yukarıda açıklandığı şekilde yeni bir anahtar deposu/güven deposu veya takma ad oluşturun.
  2. Edge'e yapılan bir API isteği anlamına gelen gelen bağlantılar için sanal ana makine yapılandırmasını, yeni anahtar deposuna ve anahtar takma adına referans verecek şekilde güncelleyin.
  3. Apigee'den bir arka uç sunucusuna giden giden bağlantılar için:
    1. Eski anahtar deposuna ve anahtar takma adına başvuran tüm API proxy'lerinin TargetEndpoint yapılandırmasını yeni anahtar deposuna ve anahtar takma adına referans verecek şekilde güncelleyin. TargetEndpoint'iniz bir TargetServer'a referans veriyorsa TargetServer tanımını, yeni anahtar deposuna ve anahtar takma adına başvuracak şekilde güncelleyin.
    2. Anahtar deposu ve güven deposuna doğrudan TargetEndpoint tanımından referans veriliyorsa proxy'yi yeniden dağıtmanız gerekir. TargetEndpoint bir TargetServer tanımına, TargetServer tanımı ise anahtar deposuna ve güven deposuna referansta bulunursa herhangi bir proxy yeniden dağıtımı gerekmez.
  4. API proxy'lerinizin doğru şekilde çalıştığını doğrulayın.
  5. Anahtar deposunu/güven deposunu veya takma adı silin.

Anahtar deposu silme

Bir anahtar deposunu veya güven deposunu silmek için imlecinizi listede anahtar deposu veya güven deposunun üzerine getirip işlemler menüsünü görüntüleyin ve simgesini tıklayın. Bir sanal ana makine veya hedef uç nokta/hedef sunucu tarafından kullanılan bir anahtar deposunu ya da güven deposunu silerseniz sanal ana makine veya hedef uç nokta/hedef sunucu üzerinden yapılan tüm API çağrıları başarısız olur.

Dikkat: Sanal ana makinelerinizi ve hedef uç noktalarınızı/hedef sunucularınızı yeni bir anahtar deposu kullanacak şekilde dönüştürene kadar anahtar deposunu silmemeniz gerekir.

Takma ad silme

İşlemler menüsünü görüntülemek için imlecinizi listede takma adın üzerine getirip simgesini tıklayarak takma adı silebilirsiniz. Bir sanal ana makine veya hedef uç nokta/hedef sunucu tarafından kullanılan bir takma adı silerseniz sanal ana makine veya hedef uç nokta/hedef sunucu üzerinden yapılan tüm API çağrıları başarısız olur.

Dikkat: Sanal ana makinelerinizi ve hedef uç noktalarınızı/hedef sunucularınızı yeni bir anahtar deposu ve takma ad kullanacak şekilde dönüştürene kadar takma adı silmemeniz gerekir.