Wyświetlasz dokumentację Apigee Edge.
Otwórz dokumentację Apigee X. Informacje
Aby skonfigurować funkcje oparte na infrastrukturze klucza publicznego (TLS), musisz utworzyć magazyny kluczy i magazyny zaufania, które zapewniają niezbędne klucze i certyfikaty cyfrowe.
Więcej informacji:
- Informacje o protokole TLS/SSL
- Korzystanie z TLS w Edge
- Informacje o wirtualnych gospodarzach
- Tworzenie repozytorium kluczy i repozytorium zaufania za pomocą interfejsu Edge
- Tworzenie repozytorium kluczy i repozytorium zaufania za pomocą interfejsu Edge Management API
- Tworzenie repozytoriów kluczy i repozytoriów zaufania w przypadku wersji Private Cloud 4.17.09 i starszych
Informacje o magazynach kluczy i magazynach zaufania
Sklepy kluczy i repozytoria zaufanych sklepów definiują repozytoria certyfikatów bezpieczeństwa używanych do szyfrowania TLS. Główna różnica między nimi polega na tym, gdzie są używane w procesie nawiązywania połączenia TLS:
- Magazyn kluczy zawiera certyfikat TLS i klucz prywatny, które służą do identyfikowania podmiotu podczas uzgadniania połączenia TLS.
W przypadku TLS jednokierunkowego, gdy klient łączy się z końcowym punktem TLS na serwerze, magazyn kluczy serwera przedstawia klientowi certyfikat serwera (certyfikat publiczny). Następnie klient sprawdza ten certyfikat w urzędzie certyfikacji (CA), takim jak Symantec lub VeriSign.
W dwukierunkowym TLS zarówno klient, jak i serwer utrzymują magazyn kluczy z własnym certyfikatem i kluczem prywatnym używanym do wzajemnego uwierzytelniania. - truststore zawiera certyfikaty używane do weryfikowania certyfikatów otrzymanych w ramach uzgadniania połączenia TLS.
W przypadku jednokierunkowego TLS magazyn zaufania nie jest wymagany, jeśli certyfikat jest podpisany przez prawidłowy urząd certyfikacji. Jeśli certyfikat otrzymany przez klienta TLS jest podpisany przez prawidłowy urząd certyfikacji, klient wysyła do tego urzędu żądanie uwierzytelnienia certyfikatu. Klient TLS zwykle używa magazynu zaufania do sprawdzania certyfikatów podpisanych samodzielnie otrzymanych od serwera TLS lub certyfikatów, które nie są podpisane przez zaufany urząd certyfikacji. W tym scenariuszu klient wypełnia swój zaufany magazyn certyfikatów certyfikatami, którym ufa. Gdy klient otrzyma certyfikat serwera, ten certyfikat jest weryfikowany na podstawie certyfikatów w katalogu zaufanych.
Na przykład klient TLS łączy się z serwerem TLS, który używa samodzielnie podpisanego certyfikatu. Ponieważ jest to certyfikat podpisany samodzielnie, klient nie może go zweryfikować za pomocą urzędu certyfikacji. Zamiast tego klient wczytuje samodzielnie podpisany certyfikat serwera do swojego zaufanej pamięci. Następnie, gdy klient próbuje połączyć się z serwerem, używa zaufanej bazy danych, aby zweryfikować certyfikat otrzymany od serwera.
W przypadku dwukierunkowego TLS zarówno klient TLS, jak i serwer TLS mogą korzystać z magazynu zaufania. Zaufany magazyn kluczy jest wymagany podczas wykonywania dwukierunkowego TLS, gdy Edge działa jako serwer TLS.
Certyfikaty mogą być wystawiane przez urząd certyfikacji (CA) lub podpisane samodzielnie za pomocą wygenerowanego klucza prywatnego. Jeśli masz dostęp do urzędu certyfikacji, postępuj zgodnie z instrukcjami urzędu dotyczącymi generowania kluczy i wydawania certyfikatów. Jeśli nie masz dostępu do urzędu certyfikacji, możesz wygenerować podpisany samodzielnie certyfikat za pomocą jednego z wielu dostępnych publicznie bezpłatnych narzędzi, takich jak openssl.
Korzystanie z certyfikatu i klucza Apigee w wersji próbnej w chmurze
W przypadku wszystkich organizacji korzystających z bezpłatnego okresu próbnego w Google Cloud Apigee udostępnia certyfikat i klucz do bezpłatnego okresu próbnego. Organizacje korzystające z bezpłatnego okresu próbnego mogą używać tego domyślnego certyfikatu i klucza do testowania interfejsów API, a nawet przesyłania ich do wersji produkcyjnej.
Organizacje korzystające z bezpłatnego okresu próbnego nie mogą używać własnych certyfikatów i kluczy. Muszą używać certyfikatu i klucza dostarczonych przez Apigee. Po przejściu na płatne konto możesz używać tylko swoich certyfikatów i kluczy.
Klient Edge for Cloud z opłacanym kontem może tworzyć hosty wirtualnych w organizacji. Wszystkie hosty wirtualne muszą obsługiwać protokół TLS, co oznacza, że musisz mieć certyfikat i klucz, które należy przesłać do magazynu kluczy. Jeśli jednak masz płatne konto i nie masz jeszcze certyfikatu i klucza TLS, możesz utworzyć hosta wirtualnego, który używa certyfikatu i klucza z bezpłatnej wersji próbnej Apigee. Więcej informacji znajdziesz w artykule Konfigurowanie hostów wirtualnych w chmurze.
Nie możesz używać certyfikatu dostarczonego przez Apigee w ramach dwukierunkowego TLS z backendem. Aby skonfigurować dwukierunkowe szyfrowanie TLS w backendzie, musisz przesłać własne certyfikaty po przeniesieniu na konto płatne.
Różnice między chmurą a chmurą prywatną
Wersja Edge w chmurze i wersje Private Cloud 4.18.01 i nowsze mają rozszerzone możliwości obsługi repozytoriów kluczy i repozytoriów zaufania, które nie są dostępne w wersji Private Cloud 4.17.09 i wcześniejszych. Możesz na przykład:
- Tworzenie magazynów kluczy i magazynów zaufania w interfejsie Edge
- Używanie nowego zestawu interfejsów API do zarządzania repozytoriami kluczy i repozytoriami zaufania
Podczas pracy z magazynami kluczy i magazynami zaufania należy korzystać z odpowiednich sekcji dokumentacji: