Tạo kho khoá và kho tin cậy bằng giao diện người dùng Edge

Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến tài liệu về Apigee X. thông tin

Tài liệu này mô tả cách tạo, sửa đổi và xoá kho khoá cũng như kho khoá tin cậy cho Edge đối với Cloud và cho Edge đối với Đám mây riêng tư phiên bản 4.18.01 trở lên.

Giới thiệu về kho khoá/kho lưu trữ tin cậy và máy chủ ảo cho Edge Cloud

Để tạo kho khoá/kho lưu trữ tin cậy cho Edge Cloud, bạn phải tuân thủ mọi quy tắc về việc sử dụng máy chủ ảo. Ví dụ: với máy chủ ảo trong Đám mây:

  • Máy chủ ảo phải sử dụng TLS.
  • Máy chủ ảo chỉ có thể sử dụng cổng 443.
  • Bạn phải sử dụng chứng chỉ TLS đã ký. Bạn không được phép sử dụng các chứng chỉ chưa được ký với máy chủ ảo trên Đám mây.
  • Tên miền mà chứng chỉ TLS chỉ định phải khớp với bí danh của máy chủ lưu trữ ảo.

Tìm hiểu thêm:

Triển khai kho khoá và kho lưu trữ tin cậy trong Edge

Để định cấu hình chức năng dựa trên cơ sở hạ tầng khoá công khai, chẳng hạn như TLS, bạn cần tạo kho khoá và kho lưu trữ tin cậy chứa các khoá và chứng chỉ kỹ thuật số cần thiết.

Trong Edge, cả kho khoá và kho tin cậy đều được biểu thị bằng một thực thể keystore (kho khoá) chứa một hoặc nhiều ALIAS. Điều đó nghĩa là không có sự khác biệt về cách triển khai giữa kho khoá và kho lưu trữ tin cậy trên Edge.

Sự khác biệt giữa kho khoá và kho khoá tin cậy bắt nguồn từ các loại mục nhập mà kho khoá có chứa và cách các kho khoá được sử dụng trong quá trình bắt tay TLS:

  • kho khoá – một thực thể kho khoá chứa một hoặc nhiều ALIAS, trong đó mỗi bí danh chứa một cặp chứng chỉ/khoá.
  • Truststore – một thực thể keystore (kho khoá) chứa một hoặc nhiều ALIAS, trong đó mỗi bí danh chỉ chứa một chứng chỉ.

Khi định cấu hình TLS cho một máy chủ ảo hoặc điểm cuối đích, kho khoá và kho lưu trữ tin cậy sẽ cung cấp nhiều vai trò trong quá trình tiếp tay TLS. Khi định cấu hình máy chủ ảo hoặc điểm cuối đích, bạn cần chỉ định kho khoá và kho lưu trữ tin cậy một cách riêng biệt trong thẻ <SSLInfo>, như minh hoạ dưới đây cho máy chủ ảo:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>false</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
    </SSLInfo>
</VirtualHost>

Trong ví dụ này, bạn chỉ định tên của kho khoá và bí danh mà máy chủ ảo sử dụng cho kho khoá TLS. Bạn sử dụng một tham chiếu để chỉ định tên kho khoá. Nhờ đó, sau này bạn có thể thay đổi tên kho khoá khi chứng chỉ hết hạn. Bí danh chứa một cặp khoá/chứng chỉ dùng để xác định máy chủ ảo cho một ứng dụng TLS (Bảo mật tầng truyền tải) truy cập vào máy chủ ảo. Trong ví dụ này, không yêu cầu kho lưu trữ tin cậy.

Nếu cần có một kho tin cậy, chẳng hạn như đối với cấu hình TLS 2 chiều, hãy sử dụng thẻ <TrustStore> để chỉ định kho lưu trữ tin cậy:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>true</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
        <TrustStore>ref://truststoreref</TrustStore>
    </SSLInfo>
</VirtualHost>

Trong ví dụ này, thẻ <TrustStore> chỉ tham chiếu đến một kho khoá, thẻ này không chỉ định một bí danh cụ thể. Mỗi bí danh trong kho khoá chứa một chứng chỉ hoặc một chuỗi chứng chỉ, được dùng trong quá trình tiếp tay TLS.

Định dạng chứng chỉ được hỗ trợ

Định dạng Hỗ trợ tải lên bằng API và giao diện người dùng Được hỗ trợ về hướng bắc Đã xác thực
PEM
* PKCS12
Lưu ý: Apigee chuyển đổi nội bộ
PKCS12 thành PEM.
* DER Không Không
* PKCS7 Không Không Không

* Bạn nên sử dụng PEM nếu có thể.

Giới thiệu về cách triển khai bí danh

Trên Edge, một kho khoá chứa một hoặc nhiều email đại diện, trong đó mỗi bí danh chứa:

  • Chứng chỉ TLS dưới dạng tệp PEM hoặc PKCS12/PFX – chứng chỉ do một tổ chức phát hành chứng chỉ (CA) ký, một tệp chứa chuỗi chứng chỉ trong đó chứng chỉ gần đây nhất do CA ký hoặc chứng chỉ tự ký.
  • Khoá riêng tư dưới dạng tệp PEM hoặc PKCS12/PFX. Edge hỗ trợ kích thước khoá lên đến 2048 bit. Không bắt buộc phải sử dụng cụm mật khẩu.

Trên Edge, một truststore chứa một hoặc nhiều email đại diện, trong đó mỗi bí danh chứa một:

  • Chứng chỉ TLS dưới dạng tệp PEM – có thể là chứng chỉ do một tổ chức phát hành chứng chỉ (CA), một chuỗi chứng chỉ trong đó chứng chỉ cuối cùng do một CA ký hoặc một chứng chỉ tự ký.

Edge cung cấp giao diện người dùng và API mà bạn dùng để tạo kho khoá, tạo bí danh, tải cặp khoá/chứng chỉ lên và cập nhật chứng chỉ. Giao diện người dùng và API mà bạn dùng để tạo kho khoá cũng giống như giao diện người dùng và API mà bạn dùng để tạo kho khoá. Điểm khác biệt là khi tạo kho lưu trữ tin cậy, bạn sẽ tạo các bí danh chỉ chứa một chứng chỉ.

Giới thiệu về định dạng của chứng chỉ và các tệp khoá

Bạn có thể biểu diễn chứng chỉ và khoá dưới dạng tệp PEM hoặc tệp PKCS12/PFX. Tệp PEM tuân theo định dạng X.509. Nếu chứng chỉ hoặc khoá riêng tư của bạn không được xác định bằng tệp PEM, bạn có thể chuyển đổi chứng chỉ hoặc khoá đó thành tệp PEM bằng các tiện ích như openssl.

Tuy nhiên, nhiều tệp .crt và tệp .key đã ở định dạng PEM. Nếu các tệp này là tệp văn bản và được đặt trong:

-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----

hoặc:

-----BEGIN ENCRYPTED PRIVATE KEY-----
-----END ENCRYPTED PRIVATE KEY-----

Sau đó, các tệp này tương thích với định dạng PEM và bạn có thể sử dụng những tệp này trong kho khoá hoặc kho tin cậy mà không cần chuyển đổi những tệp đó thành tệp PEM.

Giới thiệu về chuỗi chứng chỉ

Nếu một chứng chỉ thuộc một chuỗi, thì bạn sẽ xử lý chứng chỉ theo cách khác dựa trên việc chứng chỉ đó được sử dụng trong kho khoá hay trong kho lưu trữ tin cậy:

  • Kho khoá – Nếu một chứng chỉ thuộc một chuỗi, thì bạn phải tạo một tệp duy nhất chứa tất cả các chứng chỉ trong chuỗi. Các chứng chỉ này phải theo thứ tự và chứng chỉ cuối cùng phải là chứng chỉ gốc hoặc chứng chỉ trung gian do một chứng chỉ gốc ký.
  • Truststore – Nếu một chứng chỉ thuộc một chuỗi, bạn phải tạo một tệp duy nhất chứa tất cả các chứng chỉ và tải tệp đó lên một bí danh hoặc tải riêng tất cả các chứng chỉ trong chuỗi lên kho tin cậy bằng cách sử dụng một đại diện khác cho mỗi chứng chỉ. Nếu bạn tải lên dưới dạng một chứng chỉ duy nhất, thì các chứng chỉ này phải theo thứ tự và chứng chỉ cuối cùng phải là chứng chỉ gốc hoặc chứng chỉ trung gian có chữ ký của một chứng chỉ gốc.
  • Nếu tạo một tệp chứa nhiều chứng chỉ, bạn phải chèn một dòng trống giữa mỗi chứng chỉ.

Ví dụ: bạn có thể kết hợp tất cả các chứng chỉ vào một tệp PEM duy nhất. Các chứng chỉ này phải theo thứ tự và chứng chỉ cuối cùng phải là chứng chỉ gốc hoặc chứng chỉ trung gian do một chứng chỉ gốc ký:

-----BEGIN CERTIFICATE----- 
(Your Primary TLS certificate) 
-----END CERTIFICATE----- 

-----BEGIN CERTIFICATE----- 
(Intermediate certificate) 
-----END CERTIFICATE-----
 
-----BEGIN CERTIFICATE----- 
(Root certificate or intermediate certificate signed by a root certificate) 
-----END CERTIFICATE-----

Nếu các chứng chỉ của bạn được biểu thị dưới dạng tệp PKCS12/PFX, bạn có thể sử dụng lệnh openssl để tạo tệp PKCS12/PFX từ chuỗi chứng chỉ, như thể hiện dưới đây:

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

Khi làm việc với các chuỗi chứng chỉ trong một kho lưu trữ tin cậy, không phải lúc nào bạn cũng phải tải tất cả các chứng chỉ trong chuỗi lên. Ví dụ: bạn tải chứng chỉ ứng dụng (client_cert_1) lên và chứng chỉ của nhà phát hành chứng chỉ ứng dụng (ca_cert).

Trong quá trình xác thực TLS hai chiều, quá trình xác thực ứng dụng sẽ diễn ra thành công khi máy chủ gửi client_cert_1 đến ứng dụng trong quá trình tiếp tay TLS.

Ngoài ra, bạn còn có chứng chỉ thứ hai là client_cert_2, do chính chứng chỉ đó ký là ca_cert. Tuy nhiên, bạn không tải client_cert_2 lên kho lưu trữ tin cậy. Kho lưu trữ tin cậy vẫn chỉ chứa client_cert_1ca_cert.

Khi máy chủ vượt qua client_cert_2 trong quá trình bắt tay TLS, yêu cầu sẽ thành công. Điều này là do Edge cho phép xác minh TLS thành công khi client_cert_2 không tồn tại trong Truststore nhưng đã được ký bằng một chứng chỉ tồn tại trong Truststore. Nếu bạn xoá chứng chỉ CA (ca_cert) khỏi kho tin cậy, thì quá trình xác minh TLS sẽ không thành công.

Khám phá trang Kho khoá TLS

Truy cập trang Kho khoá TLS, theo mô tả dưới đây.

Edge

Cách truy cập vào trang Kho khoá TLS bằng giao diện người dùng Edge:

  1. Đăng nhập vào https://apigee.com/edge với tư cách là quản trị viên của tổ chức.
  2. Chọn tổ chức của bạn.
  3. Chọn Quản trị > Môi trường > Kho khoá TLS.

Edge cổ điển (Đám mây riêng)

Cách truy cập vào trang Kho khoá TLS bằng giao diện người dùng Classic Edge:

  1. Đăng nhập vào http://ms-ip:9000 với tư cách là quản trị viên của tổ chức, trong đó ms-ip là địa chỉ IP hoặc tên DNS của nút Máy chủ quản lý.
  2. Chọn tổ chức của bạn.
  3. Chọn Quản trị > Cấu hình môi trường > Kho khoá TLS.

Trang Kho khoá TLS hiển thị:

Như được làm nổi bật trong hình trước, trang Kho khoá TLS cho phép bạn:

Xem bí danh

Cách xem bí danh:

  1. Truy cập trang Kho khoá TLS.
  2. Chọn Môi trường (thường là prod hoặc test).
  3. Nhấp vào hàng liên kết với bí danh mà bạn muốn xem.

    Thông tin chi tiết về chứng chỉ bí danh và khoá sẽ hiển thị.

    Bạn có thể xem tất cả thông tin về bí danh, bao gồm cả ngày hết hạn.

  4. Quản lý chứng chỉ bằng các nút ở đầu trang để:
    • Tải chứng chỉ xuống dưới dạng tệp PEM.
    • Tạo CSR. Nếu bạn có chứng chỉ đã hết hạn và muốn gia hạn chứng chỉ đó, bạn có thể tải xuống Yêu cầu ký chứng chỉ (CSR). Sau đó, bạn gửi CSR đến CA để lấy chứng chỉ mới.
    • Cập nhật một chứng chỉ. Thận trọng: Nếu cập nhật chứng chỉ đang được một máy chủ ảo hoặc máy chủ đích/điểm cuối mục tiêu dùng, thì bạn phải liên hệ với Nhóm hỗ trợ API Apigee Edge để khởi động lại Bộ định tuyến và Bộ xử lý tin nhắn. Bạn nên cập nhật chứng chỉ:
      1. Tạo một kho khoá hoặc kho lưu trữ tin cậy mới.
      2. Thêm chứng chỉ mới vào kho khoá hoặc kho lưu trữ tin cậy mới.
      3. Cập nhật tệp tham chiếu trong máy chủ ảo hoặc điểm cuối máy chủ/mục tiêu mục tiêu thành kho khoá hoặc kho lưu trữ tin cậy. Hãy xem bài viết Cập nhật chứng chỉ TLS cho Đám mây để biết thêm thông tin.
      4. Xoá bí danh. Lưu ý: Nếu bạn xoá một bí danh và bí danh đang được một máy chủ ảo hoặc điểm cuối đích sử dụng, thì máy chủ ảo hoặc điểm cuối đích sẽ không hoạt động.

Tạo kho khoá/truststore và bí danh

Bạn có thể tạo một kho khoá để sử dụng làm kho khoá TLS hoặc kho khoá TLS (Bảo mật tầng truyền tải). Kho khoá là dành riêng cho một môi trường trong tổ chức của bạn, chẳng hạn như môi trường kiểm thử hoặc môi trường thực tế. Do đó, nếu muốn kiểm thử kho khoá trong một môi trường kiểm thử trước khi triển khai kho khoá đó cho môi trường phát hành chính thức, thì bạn phải tạo kho khoá trong cả hai môi trường.

Để tạo kho khoá trong một môi trường, bạn chỉ cần chỉ định tên kho khoá. Sau khi tạo một kho khoá có tên trong một môi trường, bạn có thể tạo các bí danh rồi tải một cặp chứng chỉ/khoá lên (keystore) hoặc chỉ tải một chứng chỉ (truststore) lên bí danh.

Cách tạo kho khoá:

  1. Truy cập trang Kho khoá TLS.
  2. Chọn Môi trường (thường là prod hoặc test).
  3. Nhấp vào + Kho khoá.
  4. Chỉ định tên kho khoá. Tên chỉ có thể chứa các ký tự chữ-số.
  5. Nhấp vào Add Keystore (Thêm kho khoá). Kho khoá mới sẽ xuất hiện trong danh sách.
  6. Sử dụng một trong các quy trình sau để thêm bí danh. Xem thêm Các định dạng tệp chứng chỉ được hỗ trợ.

Tạo bí danh từ một chứng chỉ (chỉ dành cho truststore)

Cách tạo bí danh từ một chứng chỉ:

  1. Truy cập trang Kho khoá TLS.
  2. Định vị con trỏ lên kho khoá để hiển thị trình đơn thao tác rồi nhấp vào dấu +.
  3. Chỉ định Alias Name (Tên bí danh).
  4. Trong Chi tiết chứng chỉ, chọn Chỉ chứng chỉ trong trình đơn thả xuống Loại.
  5. Nhấp vào Chọn tệp bên cạnh Tệp chứng chỉ, chuyển đến tệp PEM chứa chứng chỉ và nhấp vào Mở.
  6. Theo mặc định, API sẽ kiểm tra để đảm bảo chứng chỉ chưa hết hạn. Bạn có thể chọn Cho phép chứng chỉ đã hết hạn để bỏ qua bước xác thực.
  7. Chọn Lưu để tải chứng chỉ lên và tạo bí danh.

Tạo bí danh từ tệp JAR (chỉ kho khoá)

Cách tạo bí danh từ tệp JAR:

  1. Truy cập trang Kho khoá TLS.
  2. Định vị con trỏ lên kho khoá để hiển thị trình đơn thao tác rồi nhấp vào dấu +.
  3. Chỉ định Alias Name (Tên bí danh).
  4. Trong phần Chi tiết chứng chỉ, hãy chọn Tệp JAR trong trình đơn thả xuống Loại.
  5. Nhấp vào Chọn tệp bên cạnh Tệp JAR, chuyển đến tệp JAR chứa chứng chỉ và khoá rồi nhấp vào Mở.
  6. Nếu khoá có mật khẩu, hãy chỉ định Mật khẩu. Nếu khoá không có mật khẩu, hãy để trống trường này.
  7. Theo mặc định, API sẽ kiểm tra để đảm bảo chứng chỉ chưa hết hạn. Bạn có thể chọn Cho phép chứng chỉ đã hết hạn để bỏ qua bước xác thực.
  8. Chọn Lưu để tải khoá và chứng chỉ lên, đồng thời tạo bí danh.

Tạo bí danh từ một chứng chỉ và khoá (chỉ kho khoá)

Cách tạo bí danh từ một chứng chỉ và khoá:

  1. Truy cập trang Kho khoá TLS.
  2. Định vị con trỏ lên kho khoá để hiển thị trình đơn thao tác rồi nhấp vào dấu +.
  3. Chỉ định Alias Name (Tên bí danh).
  4. Trong Chi tiết chứng chỉ, chọn Chứng chỉ và khóa trong trình đơn thả xuống Loại.
  5. Nhấp vào Chọn tệp bên cạnh Tệp chứng chỉ, điều hướng đến tệp PEM chứa chứng chỉ và nhấp vào Mở.
  6. Nếu khoá có mật khẩu, hãy chỉ định Mật khẩu khoá. Nếu khoá không có mật khẩu, hãy để trống trường này.
  7. Nhấp vào Chọn tệp bên cạnh Tệp khoá, chuyển đến tệp PEM chứa khoá và nhấp vào Mở.
  8. Theo mặc định, API sẽ kiểm tra để đảm bảo chứng chỉ chưa hết hạn. Bạn có thể chọn Cho phép chứng chỉ đã hết hạn để bỏ qua bước xác thực.
  9. Chọn Lưu để tải khoá và chứng chỉ lên, đồng thời tạo bí danh.

Tạo một đại diện từ tệp PKCS12/PFX (chỉ dành cho kho khoá)

Để tạo bí danh từ tệp PKCS12 chứa chứng chỉ và khoá:

  1. Truy cập trang Kho khoá TLS.
  2. Định vị con trỏ lên kho khoá để hiển thị trình đơn thao tác rồi nhấp vào dấu +.
  3. Chỉ định Alias Name (Tên bí danh).
  4. Trong Chi tiết chứng chỉ, chọn PKCS12/PFX trong trình đơn thả xuống Loại.
  5. Nhấp vào Chọn tệp bên cạnh PKCS12/PFX, chuyển đến tệp chứa khoá và chứng chỉ rồi nhấp vào Mở.
  6. Nếu khoá có mật khẩu, hãy chỉ định Mật khẩu cho tệp PKCS12/PFX. nếu khoá không có mật khẩu, hãy để trống trường này.
  7. Theo mặc định, API sẽ kiểm tra để đảm bảo chứng chỉ chưa hết hạn. Bạn có thể chọn Cho phép chứng chỉ đã hết hạn để bỏ qua bước xác thực.
  8. Chọn Lưu để tải tệp lên và tạo bí danh.

Tạo bí danh từ một chứng chỉ tự ký (chỉ dành cho kho khoá)

Để tạo một bí danh sử dụng chứng chỉ tự ký, bạn cần điền thông tin cần thiết cần thiết để tạo chứng chỉ vào biểu mẫu. Sau đó, Edge sẽ tạo chứng chỉ và một cặp khoá riêng tư rồi tải các khoá này lên bí danh.

Cách tạo bí danh từ một chứng chỉ tự ký:

  1. Truy cập trang Kho khoá TLS.
  2. Định vị con trỏ lên kho khoá để hiển thị trình đơn thao tác rồi nhấp vào dấu +.
  3. Chỉ định Alias Name (Tên bí danh).
  4. Trong phần Thông tin chi tiết về chứng chỉ, hãy chọn Chứng chỉ tự ký trong trình đơn thả xuống của Loại.
  5. Điền vào biểu mẫu bằng cách sử dụng bảng bên dưới.
  6. Chọn Lưu để tạo cặp khoá chứng chỉ và khoá riêng tư, sau đó tải cặp khoá đó lên bí danh.

Trong chứng chỉ đã tạo, bạn sẽ thấy các trường bổ sung sau:

  • Công ty phát hành
    Pháp nhân đã ký và phát hành chứng chỉ. Đối với chứng chỉ tự ký, đây là CN mà bạn đã chỉ định khi tạo chứng chỉ.
  • Hiệu lực
    Thời hạn có hiệu lực của chứng chỉ được biểu thị bằng hai ngày: ngày bắt đầu có hiệu lực của chứng chỉ và ngày kết thúc thời hạn có hiệu lực của chứng chỉ. Cả hai đều có thể được mã hoá dưới dạng giá trị UTCTime hoặc GeneralizedTime.

Bảng sau đây mô tả các trường của biểu mẫu:

Trường biểu mẫu Nội dung mô tả Mặc định Bắt buộc
Tên biệt hiệu Tên bí danh. Độ dài tối đa là 128 ký tự. Không áp dụng
Kích thước khoá Kích thước của khoá, tính bằng bit. Giá trị mặc định và tối đa là 2048 bit. 2048 Không
Giải thuật ký Thuật toán chữ ký để tạo khoá riêng tư. Các giá trị hợp lệ là "SHA512withRSA", "SHA384withRSA" và "SHA256withRSA" (mặc định). SHA256vớiRSA Không
Hiệu lực của chứng chỉ sau ngày Thời hạn có hiệu lực của chứng chỉ, tính bằng ngày. Chấp nhận giá trị dương khác 0. 365 Không
Tên Chung Tên chung (CN) của tổ chức xác định(các) tên miền đủ điều kiện được liên kết với chứng chỉ. Miền này thường bao gồm một máy chủ lưu trữ và một tên miền. Ví dụ: api.enterprise.apigee.com, www.apigee.com, v.v. Độ dài tối đa là 64 ký tự.

Tuỳ thuộc vào loại chứng chỉ, CN có thể là một hoặc nhiều tên máy chủ thuộc cùng một miền (ví dụ: example.com, www.example.com), tên ký tự đại diện (ví dụ: *.example.com) hoặc một danh sách miền. Đừng thêm giao thức (http:// hoặc https://), số cổng hoặc đường dẫn tài nguyên.

Chứng chỉ này chỉ hợp lệ nếu tên máy chủ của yêu cầu khớp với ít nhất một trong các tên thường gọi của chứng chỉ.

 Không áp dụng
Email Địa chỉ email. Độ dài tối đa là 255 ký tự. Không áp dụng Không
Tên đơn vị tổ chức Tên nhóm tổ chức. Độ dài tối đa là 64 ký tự. Không áp dụng Không
Tên tổ chức Tên tổ chức. Độ dài tối đa là 64 ký tự. Không áp dụng Không
Thành phố Tên thành phố/thị trấn. Độ dài tối đa là 128 ký tự. Không áp dụng Không
Tiểu bang/Tỉnh Tên tiểu bang/tỉnh. Độ dài tối đa là 128 ký tự. Không áp dụng Không
Quốc gia Mã quốc gia gồm hai chữ cái. Ví dụ: Ấn Độ đối với Ấn Độ, Hoa Kỳ đối với Hoa Kỳ. Không áp dụng Không
Tên thay thế Danh sách tên máy chủ thay thế. Cho phép liên kết các danh tính khác với tiêu đề của chứng chỉ. Các tuỳ chọn được xác định bao gồm địa chỉ thư điện tử trên Internet, tên DNS, địa chỉ IP và mã nhận dạng tài nguyên (URI) đồng nhất.

Tối đa 255 ký tự cho mỗi giá trị. Bạn có thể phân tách các tên bằng dấu phẩy hoặc bằng cách nhấn phím Enter sau mỗi tên.

 Không áp dụng Không

Kiểm thử kho khoá hoặc kho lưu trữ tin cậy

Bạn có thể kiểm tra kho khoá và kho khoá trong giao diện người dùng Edge để xác minh rằng chúng được định cấu hình đúng cách. Giao diện người dùng kiểm thử xác thực yêu cầu TLS từ Edge đến một dịch vụ phụ trợ. Bạn có thể định cấu hình dịch vụ phụ trợ để hỗ trợ TLS một chiều hoặc hai chiều.

Cách kiểm thử TLS một chiều:

  1. Truy cập trang Kho khoá TLS.
  2. Chọn Môi trường (thường là prod hoặc test).
  3. Đặt con trỏ lên kho khoá TLS mà bạn muốn kiểm thử để hiển thị trình đơn thao tác rồi nhấp vào Test (Kiểm thử). Hộp thoại sau đây sẽ xuất hiện và cho biết tên của kho lưu trữ uy tín:
  4. Nhập tên máy chủ của dịch vụ phụ trợ.
  5. Nhập số cổng TLS (thường là 443).
  6. Nếu muốn, hãy chỉ định bất kỳ Giao thức hoặc Mật mã nào.
  7. Chọn Kiểm tra.

Cách kiểm thử TLS hai chiều:

  1. Đối với kho lưu trữ tin cậy mà bạn muốn, hãy chọn nút Test (Kiểm thử).
  2. Trong hộp thoại, hãy chọn Two Way cho Loại kiểm tra SSL. Hộp thoại sau đây sẽ xuất hiện:
  3. Chỉ định tên của kho khoá dùng trong TLS hai chiều.
  4. Chỉ định tên bí danh trong kho khoá chứa chứng chỉ và khoá.
  5. Nhập tên máy chủ của dịch vụ phụ trợ.
  6. Nhập số cổng TLS (thường là 443).
  7. Nếu muốn, hãy chỉ định bất kỳ Giao thức hoặc Mật mã nào.
  8. Chọn Kiểm tra.

Thêm chứng chỉ vào kho lưu trữ tin cậy cho TLS hai chiều

Khi sử dụng TLS hai chiều cho kết nối đến, tức là một yêu cầu API đến Edge, kho lưu trữ tin cậy sẽ chứa một chứng chỉ hoặc chuỗi CA cho mỗi ứng dụng được phép gửi yêu cầu tới Edge.

Khi ban đầu định cấu hình kho tin cậy, bạn có thể thêm tất cả chứng chỉ cho các ứng dụng đã biết. Tuy nhiên, theo thời gian, có thể bạn sẽ muốn thêm các chứng chỉ bổ sung vào kho lưu trữ tin cậy khi thêm ứng dụng mới.

Cách thêm các chứng chỉ mới vào kho lưu trữ tin cậy dùng cho TLS hai chiều:

  1. Đảm bảo rằng bạn đang sử dụng tệp tham chiếu đến kho lưu trữ tin cậy trong máy chủ ảo.
  2. Tải một chứng chỉ mới lên kho tin cậy như mô tả ở trên trong phần Tạo bí danh từ một chứng chỉ (chỉ dành cho truststore).

  3. Cập nhật giá trị tham chiếu kho tin cậy để đặt tham chiếu này thành cùng một giá trị. Bản cập nhật này sẽ khiến Edge tải lại Truststore và chứng chỉ mới.

    Hãy xem phần Sửa đổi tệp đối chiếu để biết thêm thông tin.

Xoá kho khoá/cửa hàng tin cậy hoặc bí danh

Bạn phải thận trọng khi xoá kho khoá/cửa hàng tin cậy hoặc bí danh. Nếu bạn xoá một kho khoá, kho lưu trữ tin cậy hoặc email đại diện đang được một máy chủ ảo, điểm cuối đích hoặc máy chủ đích sử dụng, thì tất cả lệnh gọi API qua máy chủ ảo hoặc máy chủ điểm cuối/mục tiêu đích đều sẽ không thành công.

Thông thường, quy trình bạn dùng để xoá kho khoá/cửa hàng tin cậy hoặc bí danh là:

  1. Tạo một kho khoá/kho khoá tin cậy hoặc bí danh mới như mô tả ở trên.
  2. Đối với các kết nối đến, tức là yêu cầu API vào Edge, hãy cập nhật cấu hình máy chủ ảo để tham chiếu kho khoá và bí danh khoá mới.
  3. Đối với kết nối ra ngoài, nghĩa là từ Apigee đến máy chủ phụ trợ:
    1. Cập nhật cấu hình TargetEndpoint cho mọi proxy API tham chiếu đến kho khoá và bí danh khoá cũ để tham chiếu đến kho khoá và bí danh khoá mới. Nếu TargetEndpoint của bạn tham chiếu một TargetServer, hãy cập nhật định nghĩa TargetServer để tham chiếu đến kho khoá và bí danh khoá mới.
    2. Nếu kho khoá và kho lưu trữ tin cậy được tham chiếu trực tiếp từ định nghĩa TargetEndpoint, thì bạn phải triển khai lại proxy. Nếu TargetEndpoint tham chiếu đến một định nghĩa TargetServer và định nghĩa TargetServer tham chiếu đến kho khoá và kho tin cậy, thì bạn không cần triển khai lại proxy.
  4. Xác nhận rằng các proxy API của bạn đang hoạt động chính xác.
  5. Xoá kho khoá/kho khoá tin cậy hoặc bí danh.

Xoá kho khoá

Bạn có thể xoá một kho khoá hoặc kho lưu trữ tin cậy bằng cách định vị con trỏ trên kho khoá hoặc trustore trong danh sách để hiện trình đơn thao tác rồi nhấp vào . Nếu bạn xoá một kho khoá hoặc kho lưu trữ tin cậy đang được một máy chủ ảo hoặc máy chủ điểm cuối/mục tiêu đích sử dụng, thì tất cả lệnh gọi API thông qua máy chủ ảo hoặc điểm cuối/máy chủ đích mục tiêu sẽ không thành công.

Thận trọng: Bạn không nên xoá kho khoá cho đến khi chuyển đổi máy chủ ảo và điểm cuối/máy chủ mục tiêu mục tiêu để sử dụng kho khoá mới.

Xoá bí danh

Bạn có thể xoá một bí danh bằng cách đặt con trỏ lên bí danh đó trong danh sách để hiển thị trình đơn thao tác rồi nhấp vào . Nếu bạn xoá một bí danh đang được một máy chủ ảo hoặc máy chủ điểm cuối/mục tiêu đích sử dụng, thì tất cả lệnh gọi API thông qua máy chủ ảo hoặc máy chủ điểm cuối/mục tiêu mục tiêu sẽ không thực hiện được.

Thận trọng: Bạn không nên xoá một bí danh cho đến khi chuyển đổi máy chủ ảo và thiết bị đầu cuối/máy chủ mục tiêu mục tiêu để sử dụng kho khoá và bí danh mới.