คีย์สโตร์และ Truststore

คุณกําลังดูเอกสารประกอบของ Apigee Edge
ไปที่เอกสารประกอบของ Apigee X info

หากต้องการกำหนดค่าฟังก์ชันการทำงานที่อาศัยโครงสร้างพื้นฐานคีย์สาธารณะ (TLS) คุณจะต้องสร้างที่เก็บคีย์และที่เก็บข้อมูลที่เชื่อถือซึ่งให้คีย์และใบรับรองดิจิทัลที่จำเป็น

ดูข้อมูลเพิ่มเติม

เกี่ยวกับคีย์สโตร์และทรัสต์สโตร์

คีย์สโตร์และทรัสต์สโตร์จะกำหนดที่เก็บใบรับรองความปลอดภัยที่ใช้สําหรับการเข้ารหัส TLS ความแตกต่างหลักระหว่าง 2 อย่างนี้คือตำแหน่งที่ใช้ในกระบวนการจับมือ TLS

  • คีย์สโตร์ประกอบด้วยใบรับรอง TLS และคีย์ส่วนตัวที่ใช้ระบุเอนทิตีระหว่างแฮนด์เชค TLS

    ใน TLS แบบ 1 ทิศทาง เมื่อไคลเอ็นต์เชื่อมต่อกับปลายทาง TLS ในเซิร์ฟเวอร์ คีสต์ของเซิร์ฟเวอร์จะแสดงใบรับรองของเซิร์ฟเวอร์ (ใบรับรองสาธารณะ) ต่อไคลเอ็นต์ จากนั้นไคลเอ็นต์จะตรวจสอบใบรับรองดังกล่าวกับผู้ออกใบรับรอง (CA) เช่น Symantec หรือ VeriSign

    ใน TLS แบบ 2 ทาง ทั้งไคลเอ็นต์และเซิร์ฟเวอร์จะเก็บรักษาคีย์สโตร์ที่มีใบรับรองและคีย์ส่วนตัวของตนเองเพื่อใช้ตรวจสอบสิทธิ์แบบคู่
  • truststore มีใบรับรองที่ใช้เพื่อยืนยันใบรับรองที่ได้รับเป็นส่วนหนึ่งของการจับมือ TLS

    ใน TLS แบบ 1 ทิศทาง คุณไม่จำเป็นต้องใช้ TrustStore หากใบรับรองได้รับการลงนามโดย CA ที่ถูกต้อง หากใบรับรองที่ได้รับจากไคลเอ็นต์ TLS ลงนามโดย CA ที่ถูกต้อง ไคลเอ็นต์จะส่งคำขอไปยัง CA เพื่อตรวจสอบสิทธิ์ใบรับรอง โดยปกติแล้ว ไคลเอ็นต์ TLS จะใช้ Trust Store เพื่อตรวจสอบใบรับรองแบบ Self-signed ที่ได้รับจากเซิร์ฟเวอร์ TLS หรือใบรับรองที่ไม่ได้ลงนามโดย CA ที่เชื่อถือ ในกรณีนี้ ไคลเอ็นต์จะป้อนข้อมูลใบรับรองที่เชื่อถือลงในที่เก็บข้อมูลเชื่อถือ จากนั้นเมื่อไคลเอ็นต์ได้รับใบรับรองเซิร์ฟเวอร์ ระบบจะตรวจสอบใบรับรองขาเข้าเทียบกับใบรับรองในคลังความน่าเชื่อถือ

    เช่น ไคลเอ็นต์ TLS เชื่อมต่อกับเซิร์ฟเวอร์ TLS ซึ่งเซิร์ฟเวอร์ใช้ใบรับรองที่ลงนามด้วยตนเอง เนื่องจากเป็นใบรับรองที่ลงนามด้วยตนเอง ไคลเอ็นต์จึงตรวจสอบกับ CA ไม่ได้ แต่ไคลเอ็นต์จะโหลดใบรับรองที่ลงนามด้วยตนเองของเซิร์ฟเวอร์ลงในที่เก็บข้อมูลที่เชื่อถือไว้ล่วงหน้าแทน จากนั้นเมื่อไคลเอ็นต์พยายามเชื่อมต่อกับเซิร์ฟเวอร์ ไคลเอ็นต์จะใช้ที่เก็บข้อมูลเชื่อถือเพื่อตรวจสอบใบรับรองที่ได้รับจากเซิร์ฟเวอร์

    สำหรับ TLS แบบ 2 ทาง ทั้งไคลเอ็นต์ TLS และเซิร์ฟเวอร์ TLS จะใช้ TrustStore ได้ คุณต้องใช้ที่เก็บข้อมูลเชื่อถือเมื่อใช้ TLS แบบ 2 ทางเมื่อ Edge ทำหน้าที่เป็นเซิร์ฟเวอร์ TLS

ใบรับรองอาจออกโดยผู้ออกใบรับรอง (CA) หรือจะลงนามด้วยตนเองโดยใช้คีย์ส่วนตัวที่คุณสร้างขึ้นก็ได้ หากมีสิทธิ์เข้าถึง CA ให้ทำตามวิธีการสร้างคีย์และออกใบรับรองที่ CA ระบุ หากไม่มีสิทธิ์เข้าถึง CA คุณสามารถสร้างใบรับรองที่ลงนามด้วยตนเองได้โดยใช้เครื่องมือฟรีที่พร้อมให้บริการแก่สาธารณะมากมาย เช่น openssl

การใช้ใบรับรองและคีย์ทดลองใช้ฟรีของ Apigee ในระบบคลาวด์

Apigee มีใบรับรองและคีย์ช่วงทดลองใช้ฟรีสำหรับองค์กรที่ใช้ช่วงทดลองใช้ Cloud ทั้งหมด องค์กรที่ใช้ช่วงทดลองใช้ฟรีสามารถใช้ใบรับรองและคีย์เริ่มต้นนี้เพื่อทดสอบ API และแม้กระทั่งพุช API ไปยังเวอร์ชันที่ใช้งานจริงได้

องค์กรที่ใช้ช่วงทดลองใช้ฟรีจะใช้ใบรับรองและคีย์ของตนเองไม่ได้ ผู้ใช้ต้องใช้ใบรับรองและคีย์ที่ Apigee ให้มา คุณจะใช้ใบรับรองและคีย์ของคุณเองได้หลังจากเปลี่ยนไปใช้บัญชีแบบชําระเงินเท่านั้น

ลูกค้า Edge for the Cloud ที่มีบัญชีแบบชำระเงินสามารถสร้างโฮสต์เสมือนในองค์กรได้ โฮสต์เสมือนทั้งหมดต้องรองรับ TLS ซึ่งหมายความว่าคุณต้องมีใบรับรองและคีย์ และอัปโหลดไปยังคีย์สโตร์ อย่างไรก็ตาม หากคุณมีบัญชีแบบชำระเงินและยังไม่มีใบรับรองและคีย์ TLS คุณสามารถสร้างโฮสต์เสมือนที่ใช้ใบรับรองและคีย์ช่วงทดลองใช้ฟรีของ Apigee ได้ ดูข้อมูลเพิ่มเติมได้ที่การกำหนดค่าโฮสต์เสมือนสำหรับระบบคลาวด์

คุณใช้ใบรับรองที่ Apigee ให้มากับแบ็กเอนด์ใน TLS แบบ 2 ทางไม่ได้ หากต้องการกำหนดค่า TLS แบบ 2 ทางกับแบ็กเอนด์ คุณต้องอัปโหลดใบรับรองของคุณเองหลังจากเปลี่ยนไปใช้บัญชีแบบชำระเงิน

ความแตกต่างระหว่างระบบคลาวด์กับระบบคลาวด์ส่วนตัว

Edge เวอร์ชันระบบคลาวด์และ Private Cloud เวอร์ชัน 4.18.01 ขึ้นไปมีความสามารถที่ขยายการทำงานร่วมกับคีย์สโตร์และทรัสต์สโตร์ที่ Private Cloud เวอร์ชัน 4.17.09 และเวอร์ชันก่อนหน้าไม่มี ตัวอย่างเช่น คุณสามารถ

  • ใช้ UI ของ Edge เพื่อสร้างคีย์สโตร์และทรัสต์สโตร์
  • ใช้ชุด API ใหม่เพื่อจัดการคีย์สโตร์และทรัสต์สโตร์

เมื่อใช้คีย์สโตร์และทรัสต์สโตร์ โปรดตรวจสอบว่าคุณใช้ส่วนที่เหมาะสมของเอกสารประกอบต่อไปนี้