Keystore dan Truststore

Anda sedang melihat dokumentasi Apigee Edge.
Buka dokumentasi Apigee X.
info

Untuk mengonfigurasi fungsi yang mengandalkan infrastruktur kunci publik (TLS), Anda perlu membuat keystore dan truststore yang menyediakan kunci dan sertifikat digital yang diperlukan.

Pelajari lebih lanjut:

Tentang keystore dan truststore

Keystore dan truststore menentukan repositori sertifikat keamanan yang digunakan untuk enkripsi TLS. Perbedaan utama antara keduanya adalah tempat keduanya digunakan dalam proses TLS handshake:

  • Keystore berisi sertifikat TLS dan kunci pribadi yang digunakan untuk mengidentifikasi entity selama TLS handshake.

    Dalam TLS satu arah, saat klien terhubung ke endpoint TLS di server, keystore server akan menampilkan sertifikat server (sertifikat publik) kepada klien. Klien kemudian memvalidasi sertifikat tersebut dengan Certificate Authority (CA), seperti Symantec atau VeriSign.

    Dalam TLS dua arah, klien dan server mempertahankan keystore dengan sertifikat dan kunci pribadi mereka sendiri yang digunakan untuk autentikasi bersama.
  • truststore berisi sertifikat yang digunakan untuk memverifikasi sertifikat yang diterima sebagai bagian dari TLS handshake.

    Dalam TLS satu arah, truststore tidak diperlukan jika sertifikat ditandatangani oleh CA yang valid. Jika sertifikat yang diterima oleh klien TLS ditandatangani oleh CA yang valid, klien akan membuat permintaan ke CA untuk mengautentikasi sertifikat. Klien TLS biasanya menggunakan truststore untuk memvalidasi sertifikat yang ditandatangani sendiri yang diterima dari server TLS, atau sertifikat yang tidak ditandatangani oleh CA tepercaya. Dalam skenario ini, klien mengisi truststore dengan sertifikat yang dipercayainya. Kemudian, saat klien menerima sertifikat server, sertifikat yang masuk akan divalidasi berdasarkan sertifikat dalam truststore-nya.

    Misalnya, klien TLS terhubung ke server TLS tempat server menggunakan sertifikat yang ditandatangani sendiri. Karena merupakan sertifikat yang ditandatangani sendiri, klien tidak dapat memvalidasinya dengan CA. Sebagai gantinya, klien memuat sertifikat server yang ditandatangani sendiri ke dalam truststore-nya. Kemudian, saat klien mencoba terhubung ke server, klien menggunakan truststore untuk memvalidasi sertifikat yang diterima dari server.

    Untuk TLS dua arah, klien TLS dan server TLS dapat menggunakan truststore. Truststore diperlukan saat melakukan TLS dua arah saat Edge bertindak sebagai server TLS.

Sertifikat dapat diterbitkan oleh certificate authority (CA), atau dapat ditandatangani sendiri oleh kunci pribadi yang Anda buat. Jika Anda memiliki akses ke CA, ikuti petunjuk yang diberikan oleh CA untuk membuat kunci dan menerbitkan sertifikat. Jika tidak memiliki akses ke CA, Anda dapat membuat sertifikat yang ditandatangani sendiri menggunakan salah satu dari banyak alat gratis yang tersedia secara publik, seperti openssl.

Menggunakan sertifikat dan kunci uji coba gratis Apigee di Cloud

Untuk semua organisasi uji coba gratis Cloud, Apigee menyediakan kunci dan sertifikat uji coba gratis. Organisasi uji coba gratis dapat menggunakan sertifikat dan kunci default ini untuk menguji API, dan bahkan mendorong API ke produksi.

Organisasi uji coba gratis tidak dapat menggunakan sertifikat dan kunci enkripsi mereka sendiri. Mereka harus menggunakan kunci dan sertifikat yang disediakan Apigee. Anda hanya dapat menggunakan sertifikat dan kunci Anda sendiri setelah bertransisi ke akun berbayar.

Pelanggan Edge for the Cloud dengan akun berbayar dapat membuat host virtual di organisasi. Semua host virtual diwajibkan untuk mendukung TLS, yang berarti Anda harus memiliki sertifikat dan kunci serta menguploadnya ke keystore. Namun, jika memiliki akun berbayar dan belum memiliki sertifikat dan kunci TLS, Anda dapat membuat host virtual yang menggunakan sertifikat dan kunci uji coba gratis Apigee. Lihat Mengonfigurasi host virtual untuk Cloud untuk mengetahui informasi selengkapnya.

Anda tidak dapat menggunakan sertifikat yang disediakan Apigee dalam TLS dua arah dengan backend. Untuk mengonfigurasi TLS dua arah dengan backend, Anda harus mengupload sertifikat Anda sendiri setelah bertransisi ke akun berbayar.

Perbedaan antara Cloud dan Cloud Pribadi

Edge versi Cloud dan Private Cloud versi 4.18.01 dan yang lebih baru telah memperluas kemampuan untuk menggunakan keystore dan truststore yang tidak tersedia di Private Cloud versi 4.17.09 dan yang lebih lama. Misalnya, Anda dapat:

  • Menggunakan UI Edge untuk membuat keystore dan truststore
  • Menggunakan kumpulan API baru untuk mengelola keystore dan truststore

Saat menggunakan keystore dan truststore, pastikan Anda menggunakan bagian dokumentasi yang benar: