Apigee Edge 문서입니다.
Apigee X 문서로 이동 정보
공개 키 인프라 (TLS)를 사용하는 기능을 구성하려면 필요한 키와 디지털 인증서를 제공하는 키 저장소와 트러스트 저장소를 만들어야 합니다.
자세히 알아보기:
- TLS/SSL 정보
- Edge에서 TLS 사용
- 가상 호스트 정보
- Edge UI를 사용하여 키 저장소 및 신뢰 저장소 만들기
- Edge 관리 API를 사용하여 키 저장소 및 신뢰 저장소 만들기
- Private Cloud 버전 4.17.09 이하의 키 저장소 및 신뢰 저장소 만들기
키 저장소 및 트러스트 저장소 정보
키 저장소 및 트러스트 저장소는 TLS 암호화에 사용되는 보안 인증서의 저장소를 정의합니다. 두 프로토콜의 주요 차이점은 TLS 핸드셰이크 프로세스에서 사용되는 위치입니다.
- 키 저장소에는 TLS 핸드셰이크 중에 항목을 식별하는 데 사용되는 TLS 인증서와 비공개 키가 포함되어 있습니다.
단방향 TLS에서 클라이언트가 서버의 TLS 엔드포인트에 연결하면 서버의 키 저장소가 서버의 인증서 (공개 인증서)를 클라이언트에 제공합니다. 그런 다음 클라이언트는 Symantec 또는 VeriSign과 같은 인증 기관 (CA)에서 인증서를 확인합니다.
양방향 TLS에서 클라이언트와 서버 모두 상호 인증에 사용되는 자체 인증서 및 비공개 키가 포함된 키 저장소를 유지합니다. - truststore에는 TLS 핸드셰이크의 일부로 수신된 인증서를 확인하는 데 사용되는 인증서가 포함됩니다.
단방향 TLS에서는 유효한 CA에서 인증서에 서명한 경우 신뢰 저장소가 필요하지 않습니다. TLS 클라이언트가 수신한 인증서가 유효한 CA에서 서명한 경우 클라이언트는 CA에 인증서 인증을 요청합니다. TLS 클라이언트는 일반적으로 트러스트 저장소를 사용하여 TLS 서버에서 수신한 자체 서명 인증서 또는 신뢰할 수 있는 CA에서 서명하지 않은 인증서의 유효성을 검사합니다. 이 시나리오에서 클라이언트는 신뢰할 수 있는 인증서로 트러스트 저장소를 채웁니다. 그런 다음 클라이언트가 서버 인증서를 수신하면 수신 인증서가 트러스트 저장소의 인증서와 비교하여 검증됩니다.
예를 들어 TLS 클라이언트가 서버가 자체 서명된 인증서를 사용하는 TLS 서버에 연결합니다. 자체 서명된 인증서이므로 클라이언트는 CA를 사용하여 인증할 수 없습니다. 대신 클라이언트는 서버의 자체 서명 인증서를 트러스트 저장소에 미리 로드합니다. 그런 다음 클라이언트가 서버에 연결하려고 하면 클라이언트는 트러스트스토어를 사용하여 서버에서 수신한 인증서를 확인합니다.
양방향 TLS의 경우 TLS 클라이언트와 TLS 서버 모두 트러스트 저장소를 사용할 수 있습니다. Edge가 TLS 서버 역할을 할 때 양방향 TLS를 실행할 때는 트러스트 저장소가 필요합니다.
인증서는 인증 기관 (CA)에서 발급하거나 개발자가 생성한 비공개 키로 자체 서명할 수 있습니다. CA에 액세스할 수 있는 경우 CA에서 제공하는 키 생성 및 인증서 발급 안내를 따르세요. CA에 액세스할 수 없는 경우 openssl과 같이 공개적으로 제공되는 여러 무료 도구 중 하나를 사용하여 자체 서명 인증서를 생성할 수 있습니다.
Cloud에서 Apigee 무료 체험판 인증서 및 키 사용
Apigee는 모든 Cloud 무료 체험판 조직에 무료 체험판 인증서 및 키를 제공합니다. 무료 체험판 조직은 이 기본 인증서와 키를 사용하여 API를 테스트하고 API를 프로덕션으로 푸시할 수도 있습니다.
무료 체험판 조직은 자체 인증서와 키를 사용할 수 없습니다. Apigee에서 제공한 인증서와 키를 사용해야 합니다. 유료 계정으로 전환한 후에만 자체 인증서와 키를 사용할 수 있습니다.
유료 계정을 사용하는 Edge for Cloud 고객은 조직에서 가상 호스트를 만들 수 있습니다. 모든 가상 호스트는 TLS를 지원해야 하므로 인증서와 키가 있어야 하며 키 저장소에 업로드해야 합니다. 하지만 유료 계정이 있고 아직 TLS 인증서와 키가 없는 경우 Apigee 무료 체험판 인증서와 키를 사용하는 가상 호스트를 만들 수 있습니다. 자세한 내용은 Cloud용 가상 호스트 구성을 참고하세요.
백엔드와의 양방향 TLS에서 Apigee에서 제공한 인증서를 사용할 수 없습니다. 백엔드로 양방향 TLS를 구성하려면 유료 계정으로 전환한 후 자체 인증서를 업로드해야 합니다.
Cloud와 Private Cloud의 차이점
Edge 및 Private Cloud 버전 4.18.01 이상의 Cloud 버전에서는 Private Cloud 버전 4.17.09 이하에서 사용할 수 없는 키 저장소 및 신뢰 저장소를 사용하는 기능이 확장되었습니다. 예를 들어 다음과 같은 작업을 할 수 있습니다.
- Edge UI를 사용하여 키 저장소 및 트러스트 저장소 만들기
- 새 API 세트를 사용하여 키 저장소 및 신뢰 저장소 관리
키 저장소 및 신뢰 저장소로 작업할 때는 문서의 올바른 섹션을 사용해야 합니다.