Sie sehen die Dokumentation zu Apigee Edge.
Zur Apigee X-Dokumentation weitere Informationen
Zum Konfigurieren von Funktionen, die auf einer Public-Key-Infrastruktur (TLS) basieren, müssen Sie Schlüsselspeicher und Truststores erstellen, die die erforderlichen Schlüssel und digitalen Zertifikate bereitstellen.
Weitere Informationen:
- TLS/SSL
- TLS mit Edge verwenden
- Virtuelle Hosts
- Schlüsselspeicher und Truststore mithilfe der Edge-Benutzeroberfläche erstellen
- Schlüsselspeicher und Truststore mit der Edge Management API erstellen
- Schlüsselspeicher und Truststores für die Private Cloud Version 4.17.09 und niedriger erstellen
Schlüsselspeicher und Truststores
Schlüsselspeicher und Truststores definieren Repositories mit Sicherheitszertifikaten, die für die TLS-Verschlüsselung verwendet werden. Der Hauptunterschied zwischen den beiden besteht darin, wo sie im TLS-Handshake verwendet werden:
- Ein Schlüsselspeicher enthält ein TLS-Zertifikat und einen privaten Schlüssel, mit denen die Entität während des TLS-Handshakes identifiziert wird.
Wenn ein Client bei One-Way-TLS eine Verbindung zum TLS-Endpunkt auf dem Server herstellt, präsentiert der Schlüsselspeicher des Servers dem Client das Zertifikat des Servers (öffentliches Zertifikat). Der Client validiert dieses Zertifikat dann mit einer Zertifizierungsstelle (Certificate Authority, CA), z. B. Symantec oder VeriSign.
Bei der Zwei-Wege-TLS-Verschlüsselung unterhalten sowohl der Client als auch der Server einen Schlüsselspeicher mit eigenem Zertifikat und privatem Schlüssel, der für die gegenseitige Authentifizierung verwendet wird. - Ein truststore enthält Zertifikate, mit denen Zertifikate verifiziert werden, die im Rahmen des TLS-Handshakes empfangen werden.
Bei One-Way-TLS ist kein Truststore erforderlich, wenn das Zertifikat von einer gültigen Zertifizierungsstelle signiert ist. Wenn das von einem TLS-Client empfangene Zertifikat von einer gültigen Zertifizierungsstelle signiert ist, stellt der Client eine Anfrage zur Authentifizierung des Zertifikats an die Zertifizierungsstelle. Ein TLS-Client verwendet in der Regel einen Truststore, um selbst signierte Zertifikate zu validieren, die vom TLS-Server empfangen wurden, oder Zertifikate, die nicht von einer vertrauenswürdigen Zertifizierungsstelle signiert wurden. In diesem Szenario füllt der Client den Truststore mit Zertifikaten, denen er vertraut. Wenn der Client dann ein Serverzertifikat empfängt, wird das eingehende Zertifikat anhand der Zertifikate im Truststore validiert.
Ein TLS-Client stellt beispielsweise eine Verbindung zu einem TLS-Server her, bei dem der Server ein selbst signiertes Zertifikat verwendet. Da es sich um ein selbst signiertes Zertifikat handelt, kann der Client es nicht mit einer Zertifizierungsstelle validieren. Stattdessen lädt der Client das selbst signierte Zertifikat des Servers vorab in seinen Truststore. Wenn der Client dann versucht, eine Verbindung zum Server herzustellen, verwendet er den Truststore, um das vom Server empfangene Zertifikat zu validieren.
Bei Zwei-Wege-TLS können sowohl der TLS-Client als auch der TLS-Server einen Truststore verwenden. Ein Truststore ist erforderlich, wenn Zwei-Wege-TLS ausgeführt wird, wenn Edge als TLS-Server fungiert.
Zertifikate können von einer Zertifizierungsstelle (Certificate Authority, CA) ausgestellt oder durch den von Ihnen generierten privaten Schlüssel selbst signiert werden. Wenn Sie Zugriff auf eine Zertifizierungsstelle haben, folgen Sie der Anleitung Ihrer Zertifizierungsstelle zum Generieren von Schlüsseln und zum Ausstellen von Zertifikaten. Wenn Sie keinen Zugriff auf eine Zertifizierungsstelle haben, können Sie mit einem der vielen öffentlich verfügbaren kostenlosen Tools wie openssl ein selbst signiertes Zertifikat generieren.
Zertifikat und Schlüssel für kostenlose Apigee-Testversion in der Cloud verwenden
Für alle Organisationen, in denen die Cloud kostenlos getestet werden kann, stellt Apigee ein kostenloses Testzertifikat und einen zugehörigen Schlüssel zur Verfügung. Organisationen, die kostenlose Testversionen nutzen, können dieses Standardzertifikat und den Standardschlüssel verwenden, um APIs zu testen und APIs sogar in die Produktion zu übertragen.
Organisationen, die kostenlose Testversionen nutzen, können ihre eigenen Zertifikate und Schlüssel nicht verwenden. Sie müssen das von Apigee bereitgestellte Zertifikat und den Schlüssel verwenden. Sie können Ihre eigenen Zertifikate und Schlüssel erst nach der Umstellung auf ein kostenpflichtiges Konto verwenden.
Ein Edge für den Cloud-Kunden mit einem kostenpflichtigen Konto kann virtuelle Hosts in einer Organisation erstellen. Alle virtuellen Hosts müssen TLS unterstützen. Das bedeutet, dass Sie ein Zertifikat und einen Schlüssel haben und diese in einen Schlüsselspeicher hochladen müssen. Wenn Sie jedoch ein kostenpflichtiges Konto und noch kein TLS-Zertifikat und -Schlüssel haben, können Sie einen virtuellen Host erstellen, der das Zertifikat und den Schlüssel für die kostenlose Apigee-Testversion verwendet. Weitere Informationen finden Sie unter Virtuelle Hosts für die Cloud konfigurieren.
Sie können das von Apigee bereitgestellte Zertifikat nicht in Zwei-Wege-TLS mit dem Back-End verwenden. Zur Konfiguration von Zwei-Wege-TLS mit dem Back-End müssen Sie nach der Umstellung auf ein kostenpflichtiges Konto eigene Zertifikate hochladen.
Unterschiede zwischen Cloud und Private Cloud
Die Cloud-Version der Edge- und der Private Cloud-Version 4.18.01 und höher bietet erweiterte Funktionen für die Arbeit mit Schlüsselspeichern und Truststores, die in der Private Cloud Version 4.17.09 und früheren Versionen nicht verfügbar sind. Sie können z. B.
- Verwenden Sie die Edge-Benutzeroberfläche, um Schlüsselspeicher und Truststores zu erstellen
- Neue APIs zur Verwaltung von Schlüsselspeichern und Truststores
Achten Sie bei der Arbeit mit Schlüsselspeichern und Truststores darauf, den richtigen Abschnitt der Dokumentation zu beachten: