Keystore dan Truststore

Anda sedang melihat dokumentasi Apigee Edge.
Buka dokumentasi Apigee X. info

Untuk mengonfigurasi fungsi yang mengandalkan infrastruktur kunci publik (TLS), Anda perlu membuat keystore dan truststore yang menyediakan kunci serta sertifikat digital yang diperlukan.

Pelajari lebih lanjut:

• Tentang TLS/SSL
• Menggunakan TLS dengan Edge
• Tentang host virtual
• Membuat keystore dan truststore menggunakan UI Edge
• Membuat keystore dan truststore menggunakan Edge Management API
• Buat keystore dan truststore untuk Private Cloud versi 4.17.09 dan yang lebih lama

Tentang keystore dan truststore

Keystore dan truststore menentukan repositori sertifikat keamanan yang digunakan untuk enkripsi TLS. Perbedaan utama antara keduanya adalah tempat keduanya digunakan dalam proses handsfree TLS:

• Keystore berisi sertifikat TLS dan kunci pribadi yang digunakan untuk mengidentifikasi entitas selama handshake TLS.
  
  Di TLS satu arah, saat klien terhubung ke endpoint TLS di server, keystore server akan menampilkan sertifikat server (sertifikat publik) kepada klien. Klien kemudian memvalidasi sertifikat tersebut dengan Certificate Authority (CA), seperti Symantec atau VeriSign.
  
  Di TLS dua arah, klien dan server akan mengelola keystore dengan sertifikat dan kunci pribadinya sendiri yang digunakan untuk autentikasi bersama.
• Truststore berisi sertifikat yang digunakan untuk memverifikasi sertifikat yang diterima sebagai bagian dari handshake TLS.
  
  Di TLS satu arah, truststore tidak diperlukan jika sertifikat ditandatangani oleh CA yang valid. Jika sertifikat yang diterima oleh klien TLS ditandatangani oleh CA yang valid, klien akan membuat permintaan ke CA untuk mengautentikasi sertifikat tersebut. Klien TLS biasanya menggunakan truststore untuk memvalidasi sertifikat yang ditandatangani sendiri yang diterima dari server TLS, atau sertifikat yang tidak ditandatangani oleh CA tepercaya. Dalam skenario ini, klien mengisi truststore-nya dengan sertifikat yang dipercaya. Kemudian, saat klien menerima sertifikat server, sertifikat yang masuk divalidasi dengan sertifikat di truststore-nya.
  
  Misalnya, klien TLS terhubung ke server TLS tempat server menggunakan sertifikat yang ditandatangani sendiri. Karena merupakan sertifikat yang ditandatangani sendiri, klien tidak dapat memvalidasinya dengan CA. Sebagai gantinya, klien melakukan pramuat sertifikat yang ditandatangani sendiri ke truststore. Kemudian, saat klien mencoba terhubung ke server, klien menggunakan truststore untuk memvalidasi sertifikat yang diterima dari server.
  
  Untuk TLS dua arah, klien TLS dan server TLS dapat menggunakan truststore. Truststore diperlukan saat melakukan TLS dua arah jika Edge bertindak sebagai server TLS.

Sertifikat dapat diterbitkan oleh certificate authority (CA), atau ditandatangani sendiri oleh kunci pribadi yang Anda buat. Jika Anda memiliki akses ke CA, ikuti petunjuk yang diberikan oleh CA Anda untuk membuat kunci dan menerbitkan sertifikat. Jika tidak memiliki akses ke CA, Anda dapat membuat sertifikat yang ditandatangani sendiri menggunakan salah satu dari banyak alat gratis yang tersedia secara publik, seperti openssl.

Menggunakan sertifikat dan kunci uji coba gratis Apigee di Cloud

Untuk semua organisasi uji coba gratis Cloud, Apigee menyediakan kunci dan sertifikat uji coba gratis. Organisasi uji coba gratis dapat menggunakan sertifikat dan kunci default ini untuk menguji API, dan bahkan mendorong API ke produksi.

Organisasi uji coba gratis tidak dapat menggunakan sertifikat dan kunci mereka sendiri. Mereka harus menggunakan sertifikat dan kunci yang disediakan Apigee. Anda hanya dapat menggunakan sertifikat dan kunci Anda sendiri setelah beralih ke akun berbayar.

Edge untuk pelanggan Cloud dengan akun berbayar dapat membuat host virtual dalam organisasi. Semua host virtual wajib mendukung TLS, artinya Anda harus memiliki sertifikat dan kunci serta menguploadnya ke keystore. Namun, jika memiliki akun berbayar dan belum memiliki sertifikat dan kunci TLS, Anda dapat membuat host virtual yang menggunakan sertifikat dan kunci uji coba gratis Apigee. Lihat Mengonfigurasi host virtual untuk Cloud guna mengetahui informasi selengkapnya.

Anda tidak dapat menggunakan sertifikat yang disediakan Apigee di TLS dua arah dengan backend. Untuk mengonfigurasi TLS dua arah dengan backend, Anda harus mengupload sertifikat Anda sendiri setelah bertransisi ke akun berbayar.

Perbedaan antara Cloud dan Private Cloud

Versi Cloud Edge dan Private Cloud versi 4.18.01 dan yang lebih baru memiliki kemampuan yang diperluas untuk menangani keystore dan truststore yang tidak tersedia di Private Cloud versi 4.17.09 dan yang lebih lama. Misalnya, Anda dapat:

• Menggunakan UI Edge untuk membuat keystore dan truststore
• Menggunakan kumpulan API baru untuk mengelola keystore dan truststore

Saat menangani keystore dan truststore, pastikan Anda menggunakan bagian dokumentasi yang benar:

• Membuat keystore dan truststore menggunakan UI Edge
• Membuat keystore dan truststore menggunakan Edge Management API
• Membuat keystore dan truststore untuk Private Cloud 4.17.09 dan yang lebih lama