您正在查看 Apigee Edge 說明文件。
前往 Apigee X 說明文件。 info
如要設定仰賴公用金鑰基礎架構 (TLS) 的功能,您必須建立金鑰庫和信任存放區,以提供必要的金鑰和數位憑證。
瞭解詳情:
- 關於 TLS/SSL
- 在 Edge 中使用 TLS
- 關於虛擬主機
- 使用 Edge UI 建立金鑰庫和信任存放區
- 使用 Edge 管理 API 建立金鑰庫和信任存放區
- 為 Private Cloud 4.17.09 以下版本建立 KeyStore 和 TrustStore
關於 KeyStore 和 TrustStore
KeyStore 和 TrustStore 會定義用於 TLS 加密的安全憑證存放區。兩者的主要差異在於,它們在 TLS 握手程序中的作用:
- KeyStore 包含 TLS 憑證和私密金鑰,用於在 TLS 握手期間識別實體。
在單向 TLS 中,當用戶端連線至伺服器上的 TLS 端點時,伺服器的 KeyStore 會將伺服器的憑證 (公開憑證) 呈現給用戶端。接著,用戶端會透過憑證授權單位 (CA) 驗證憑證,例如 Symantec 或 VeriSign。
在雙向 TLS 中,用戶端和伺服器都會維護一個 KeyStore,其中包含用於雙向驗證的憑證和私密金鑰。 - truststore包含用於驗證在 TLS 握手期間收到的憑證的憑證。
在單向 TLS 中,如果憑證是由有效的 CA 簽署,則不需要信任存放區。如果 TLS 用戶端收到的憑證是由有效 CA 簽署,用戶端就會向 CA 提出要求,以便驗證憑證。TLS 用戶端通常會使用信任存放區來驗證從 TLS 伺服器收到的自行簽署憑證,或是未經信任 CA 簽署的憑證。在這種情況下,用戶端會在信任存放區中填入信任的憑證。接著,當用戶端收到伺服器憑證時,系統會根據信任存放區中的憑證驗證傳入的憑證。
舉例來說,TLS 用戶端會連線至 TLS 伺服器,而該伺服器會使用自行簽署的憑證。由於這是自行簽署的憑證,因此用戶端無法透過 CA 驗證。而是將伺服器的自行簽署憑證預先載入至信任存放區。接著,當用戶端嘗試連線至伺服器時,會使用信任存放區驗證從伺服器收到的憑證。
對於雙向 TLS,TLS 用戶端和 TLS 伺服器都可以使用信任存放區。在 Edge 以 TLS 伺服器身分執行雙向 TLS 時,必須使用信任存放區。
憑證可以由憑證授權單位 (CA) 核發,也可以由您產生的私密金鑰自行簽署。如果您可以存取 CA,請按照 CA 提供的指示產生金鑰並核發憑證。如果您無法存取 CA,可以使用 openssl 等眾多公開免費工具產生自行簽署的憑證。
在 Cloud 中使用 Apigee 免付費試用憑證和金鑰
Apigee 會為所有 Cloud 免付費試用計畫的機構提供免付費試用憑證和金鑰。免付費試用計畫機構可以使用這個預設憑證和金鑰測試 API,甚至將 API 推送至實際環境。
免費試用機構無法使用自己的憑證和金鑰。必須使用 Apigee 提供的憑證和金鑰。您必須轉換為付費帳戶,才能使用自己的憑證和金鑰。
擁有付費帳戶的 Edge for Cloud 客戶可以在機構中建立虛擬主機。所有虛擬主機都必須支援 TLS,也就是說,您必須擁有憑證和金鑰,並將其上傳至 KeyStore。不過,如果您有付費帳戶,但尚未取得 TLS 憑證和金鑰,可以建立使用 Apigee 免費試用版憑證和金鑰的虛擬主機。詳情請參閱「設定雲端的虛擬主機」。
您無法在後端的雙向 TLS 中使用 Apigee 提供的憑證。如要設定後端的雙向 TLS,您必須在轉換為付費帳戶後上傳自己的憑證。
雲端與私有雲的差異
Edge 的雲端版本和 Private Cloud 版本 4.18.01 以上版本已擴充功能,可搭配 Private Cloud 版本 4.17.09 以下版本無法使用的金鑰庫和信任庫。例如,您可以:
- 使用 Edge UI 建立 KeyStore 和 TrustStore
- 使用新的 API 組合管理 Keystore 和 Truststore
使用金鑰庫和信任庫時,請務必使用正確的說明文件部分: