אתם צופים במסמכי העזרה של Apigee Edge.
כניסה למסמכי העזרה של Apigee X. info
כדי להגדיר פונקציונליות שמבוססת על תשתית מפתחות ציבוריים (TLS), צריך ליצור מאגרי מפתחות ומאגרי אמון שמספקים את המפתחות והאישורים הדיגיטליים הנדרשים.
מידע נוסף:
- מידע על TLS/SSL
- שימוש ב-TLS עם Edge
- מידע על מארחים וירטואליים
- יצירת מאגרי מפתחות ומאגרי אמון באמצעות ממשק המשתמש של Edge
- יצירת מאגרי מפתחות ומאגרי אמון באמצעות Edge Management API
- יצירת מאגרי מפתחות ומאגרי אמון ב-Private Cloud בגרסה 4.17.09 ואילך
מידע על מאגרי מפתחות ומאגרי אמון
מאגרי מפתחות ומאגרי אישורים מוגדרים כמאגרים של אישורי אבטחה המשמשים להצפנת TLS. ההבדל העיקרי בין השניים הוא המיקום שבו הם משמשים בתהליך לחיצת היד ב-TLS:
- מאגר מפתחות מכיל אישור TLS ומפתח פרטי שמשמש לזיהוי הישות במהלך לחיצת היד ב-TLS.
ב-TLS חד-כיווני, כשלקוח מתחבר לנקודת הקצה של ה-TLS בשרת, מאגר המפתחות של השרת מציג ללקוח את האישור של השרת (אישור ציבורי). לאחר מכן הלקוח מאמת את האישור הזה באמצעות רשות אישורים (CA), כמו Symantec או VeriSign.
ב-TLS דו-כיווני, גם הלקוח וגם השרת שומרים מאגר מפתחות עם אישור ומפתח פרטי משלהם, המשמשים לאימות הדדי. - truststore מכיל אישורים המשמשים לאימות אישורים שהתקבלו כחלק מחיצת היד ב-TLS.
ב-TLS חד-כיווני, אין צורך במאגר אישורים אם האישור חתום על ידי רשות אישורים תקינה. אם האישור שהתקבל על ידי לקוח TLS נחתם על ידי רשות אישורים תקפה, הלקוח שולח בקשה לרשות האישורים כדי לאמת את האישור. לקוח TLS בדרך כלל משתמש במאגר אישורים כדי לאמת אישורים בחתימה עצמית שהתקבלו משרת ה-TLS, או אישורים שלא נחתמו על ידי רשות אישורים מהימנה. בתרחיש הזה, הלקוח מאכלס את מאגר האמון שלו באישורים שהוא סומך עליהם. לאחר מכן, כשהלקוח מקבל אישור שרת, האישור הנכנס מאומת מול האישורים שבמאגר האמון שלו.
לדוגמה, לקוח TLS מתחבר לשרת TLS שבו השרת משתמש באישור חתום-עצמי. מכיוון שמדובר באישור עם חתימה עצמית, הלקוח לא יכול לאמת אותו באמצעות רשות אישורים. במקום זאת, הלקוח טוען מראש את האישור החתום העצמאי של השרת למאגר האמון שלו. לאחר מכן, כשהלקוח מנסה להתחבר לשרת, הוא משתמש במאגר האמון כדי לאמת את האישור שהתקבל מהשרת.
ב-TLS דו-כיווני, גם לקוח ה-TLS וגם שרת ה-TLS יכולים להשתמש במאגר אישורים. נדרש מאגר אמון כשמבצעים TLS דו-כיווני כש-Edge פועל בתור שרת TLS.
אישורים יכולים להיות מונפקים על ידי רשות אישורים (CA), או להיות חתומים בחתימה עצמית באמצעות המפתח הפרטי שיצרתם. אם יש לכם גישה לרשות אישורים, פועלים לפי ההוראות של רשות האישורים ליצירת מפתחות ולהנפקת אישורים. אם אין לכם גישה לרשות אישורים, תוכלו ליצור אישור בחתימה עצמית באמצעות אחד מהכלים החינמיים הרבים שזמינים לציבור, כמו openssl.
שימוש בתעודה ובמפתח של תקופת הניסיון בחינם של Apigee ב-Cloud
כל הארגונים שמשתמשים בתקופת הניסיון בחינם ב-Cloud מקבלים מ-Apigee אישור ומפתח לתקופת הניסיון בחינם. ארגונים עם תקופת ניסיון בחינם יכולים להשתמש במפתח ובאישור ברירת המחדל האלה כדי לבדוק ממשקי API, ואפילו לדחוף ממשקי API לסביבת הייצור.
ארגונים עם תקופת ניסיון בחינם לא יכולים להשתמש באישורים ובמפתחות משלהם. הם צריכים להשתמש בפרסום ובמפתח שסופקו על ידי Apigee. אפשר להשתמש באישורים ובמפתחות שלכם רק אחרי המעבר לחשבון בתשלום.
לקוחות Edge for the Cloud עם חשבון בתשלום יכולים ליצור מארחים וירטואליים בארגון. כל המארחים הווירטואליים חייבים לתמוך ב-TLS, כלומר צריך להשתמש בתעודה ובמפתח ולהעלות אותם למאגר מפתחות. עם זאת, אם יש לכם חשבון בתשלום ואין לכם עדיין אישור וגם מפתח TLS, תוכלו ליצור מארח וירטואלי שמשתמש באישור ובמפתח של תקופת הניסיון בחינם של Apigee. מידע נוסף זמין במאמר הגדרת מארחים וירטואליים ב-Cloud.
לא ניתן להשתמש באישור שסופק על ידי Apigee ב-TLS דו-כיווני עם הקצה העורפי. כדי להגדיר TLS דו-כיווני עם הקצה העורפי, צריך להעלות את האישורים שלכם אחרי המעבר לחשבון בתשלום.
ההבדלים בין Cloud לבין ענן פרטי
בגרסה של Cloud ל-Edge ובגרסאות Private Cloud בגרסה 4.18.01 ואילך יש יכולות מורחבות לעבודה עם מאגרי מפתחות ומאגרי אמון שלא זמינים בגרסאות Private Cloud בגרסה 4.17.09 ואילך. לדוגמה, אפשר:
- שימוש בממשק המשתמש של Edge ליצירת מאגרי מפתחות ומאגרי אמון
- שימוש בקבוצה חדשה של ממשקי API לניהול מאגרי מפתחות ומאגרי אמון
כשעובדים עם מאגרי מפתחות ומאגרי אמון, חשוב להשתמש בקטע הנכון במסמכי העזרה: