Keystores e Truststores

Você está vendo a documentação do Apigee Edge.
Acesse a documentação da Apigee X.
informações

Para configurar a funcionalidade que depende da infraestrutura de chave pública (TLS), é preciso criar keystores e truststores que forneçam as chaves e os certificados digitais necessários.

Saiba mais:

Sobre keystores e truststores

Keystores e truststores definem repositórios de certificados de segurança usados para criptografia TLS. A principal diferença entre os dois é onde eles são usados no processo de handshake do TLS:

  • Um keystore contém um certificado TLS e uma chave privada usados para identificar a entidade durante o handshake de TLS.

    No TLS unidirecional, quando um cliente se conecta ao endpoint TLS no servidor, o keystore do servidor apresenta o certificado do servidor (certificado público) ao cliente. Em seguida, o cliente valida esse certificado com uma autoridade de certificação (CA, na sigla em inglês), como CSI ou VeriSign.

    No TLS bidirecional, o cliente e o servidor mantêm um keystore com o próprio certificado e chave privada usados para autenticação mútua.
  • Um truststore contém certificados usados para verificar certificados recebidos como parte do handshake de TLS.

    No TLS unidirecional, não será necessário um truststore se o certificado for assinado por uma CA válida. Se o certificado recebido por um cliente TLS for assinado por uma CA válida, o cliente fará uma solicitação à CA para autenticar o certificado. Um cliente TLS geralmente usa um truststore para validar certificados autoassinados recebidos do servidor TLS ou certificados que não são assinados por uma CA confiável. Nesse cenário, o cliente preenche o truststore com certificados em que confia. Em seguida, quando o cliente recebe um certificado do servidor, o certificado recebido é validado em relação aos certificados no truststore.

    Por exemplo, um cliente TLS se conecta a um servidor TLS em que o servidor usa um certificado autoassinado. Por ser um certificado autoassinado, o cliente não pode validá-lo com uma CA. Em vez disso, o cliente pré-carrega o certificado autoassinado do servidor no truststore. Em seguida, quando o cliente tenta se conectar ao servidor, ele usa o truststore para validar o certificado recebido do servidor.

    Para o TLS bidirecional, o cliente TLS e o servidor TLS podem usar um truststore. É necessário ter um truststore ao executar o TLS bidirecional quando o Edge atuar como o servidor TLS.

Os certificados podem ser emitidos por uma autoridade de certificação (CA, na sigla em inglês) ou podem ser autoassinados pela chave privada gerada por você. Se você tiver acesso a uma AC, siga as instruções fornecidas por ela para gerar chaves e emitir certificados. Se você não tiver acesso a uma AC, gere um certificado autoassinado usando uma das muitas ferramentas sem custo financeiro disponíveis publicamente, como openssl.

Como usar o certificado e a chave de avaliação sem custo financeiro da Apigee no Cloud

A Apigee fornece um certificado e uma chave de avaliação sem custo financeiro para todas as organizações de avaliação sem custo financeiro do Google Cloud. Organizações de teste sem custo financeiro podem usar esse certificado e chave padrão para testar APIs e até mesmo enviá-las para produção.

As organizações de teste sem custo financeiro não podem usar os próprios certificados e chaves. Eles precisam usar o certificado e a chave fornecidos pela Apigee. Você só pode usar seus próprios certificados e chaves após a transição para uma conta paga.

Um cliente do Edge para o Cloud com uma conta paga pode criar hosts virtuais em uma organização. Todos os hosts virtuais precisam oferecer suporte a TLS, ou seja, você precisa ter um certificado e uma chave e fazer upload deles para um keystore. No entanto, se você tiver uma conta paga e ainda não tiver um certificado e uma chave TLS, crie um host virtual que use o certificado e a chave de avaliação sem custo financeiro da Apigee. Consulte Como configurar hosts virtuais para o Cloud para mais informações.

Não é possível usar o certificado fornecido pela Apigee em TLS bidirecional com o back-end. Para configurar o TLS bidirecional com o back-end, você precisa fazer upload dos seus próprios certificados após a transição para uma conta paga.

Diferenças entre a nuvem e a nuvem privada

As versões do Cloud do Edge e da nuvem privada 4.18.01 e mais recentes têm recursos expandidos para trabalhar com keystores e truststores que não estão disponíveis na nuvem privada 4.17.09 e anteriores. Por exemplo, você pode:

  • Usar a interface do Edge para criar keystores e truststores
  • Usar um novo conjunto de APIs para gerenciar keystores e truststores

Ao trabalhar com keystores e truststores, use a seção correta da documentação: