Sie sehen sich die Dokumentation zu Apigee Edge an.
Sehen Sie sich die Apigee X-Dokumentation an. info
Wenn Sie Funktionen konfigurieren möchten, die auf der Public-Key-Infrastruktur (TLS) basieren, müssen Sie Schlüsselspeicher und Truststores erstellen, die die erforderlichen Schlüssel und digitalen Zertifikate enthalten.
Weitere Informationen:
- TLS/SSL
- TLS mit Edge verwenden
- Virtuelle Hosts
- Schlüsselspeicher und Truststore über die Edge-Benutzeroberfläche erstellen
- Schlüsselspeicher und Vertrauensspeicher mit der Edge Management API erstellen
- Keystores und Truststores für die Private Cloud-Version 4.17.09 und niedriger erstellen
Schlüsselspeicher und Truststores
Schlüsselspeicher und Truststores definieren Repositories von Sicherheitszertifikaten für die TLS-Verschlüsselung. Der Hauptunterschied zwischen den beiden besteht darin, wo sie im TLS-Handshake-Prozess verwendet werden:
- Ein Schlüsselspeicher enthält ein TLS-Zertifikat und einen privaten Schlüssel, mit denen die Entität während des TLS-Handshakes identifiziert wird.
Bei einer Einweg-TLS-Verbindung stellt der Schlüsselspeicher des Servers dem Client das Zertifikat des Servers (öffentliches Zertifikat) zur Verfügung, wenn ein Client eine Verbindung zum TLS-Endpunkt des Servers herstellt. Der Client validiert dieses Zertifikat dann bei einer Zertifizierungsstelle (Certificate Authority, CA), z. B. Symantec oder VeriSign.
Bei bidirektionaler TLS verwalten sowohl der Client als auch der Server einen Schlüsselspeicher mit eigenem Zertifikat und privatem Schlüssel, die für die gegenseitige Authentifizierung verwendet werden. - Ein truststore enthält Zertifikate, mit denen Zertifikate überprüft werden, die im Rahmen des TLS-Handshakes empfangen wurden.
Bei einer einseitigen TLS-Verbindung ist kein Truststore erforderlich, wenn das Zertifikat von einer gültigen Zertifizierungsstelle signiert ist. Wenn das von einem TLS-Client empfangene Zertifikat von einer gültigen Zertifizierungsstelle signiert ist, sendet der Client eine Anfrage an die Zertifizierungsstelle, um das Zertifikat zu authentifizieren. Ein TLS-Client verwendet in der Regel einen Truststore, um selbst signierte Zertifikate zu validieren, die vom TLS-Server empfangen wurden, oder Zertifikate, die nicht von einer vertrauenswürdigen Zertifizierungsstelle signiert wurden. In diesem Szenario füllt der Client seinen Truststore mit vertrauenswürdigen Zertifikaten. Wenn der Client dann ein Serverzertifikat empfängt, wird das eingehende Zertifikat mit den Zertifikaten in seinem Truststore validiert.
Ein TLS-Client stellt beispielsweise eine Verbindung zu einem TLS-Server her, auf dem ein selbstsigniertes Zertifikat verwendet wird. Da es sich um ein selbst signiertes Zertifikat handelt, kann der Client es nicht bei einer Zertifizierungsstelle validieren. Stattdessen lädt der Client das selbst signierte Zertifikat des Servers in seinen Truststore vor. Wenn der Client dann versucht, eine Verbindung zum Server herzustellen, verwendet er den Truststore, um das vom Server empfangene Zertifikat zu validieren.
Bei bidirektionaler TLS kann sowohl der TLS-Client als auch der TLS-Server einen Truststore verwenden. Ein Truststore ist erforderlich, wenn bidirektionale TLS-Verbindungen verwendet werden und Edge als TLS-Server fungiert.
Zertifikate können von einer Zertifizierungsstelle (Certificate Authority, CA) ausgestellt oder selbst signiert werden, indem Sie den privaten Schlüssel generieren. Wenn Sie Zugriff auf eine Zertifizierungsstelle haben, folgen Sie der Anleitung der Zertifizierungsstelle zum Generieren von Schlüsseln und Ausstellen von Zertifikaten. Wenn Sie keinen Zugriff auf eine Zertifizierungsstelle haben, können Sie ein selbst signiertes Zertifikat mit einem der vielen öffentlich verfügbaren kostenlosen Tools wie openssl generieren.
Apigee Freetrial-Zertifikat und ‑Schlüssel in der Cloud verwenden
Für alle Organisationen mit einer kostenlosen Cloud-Testversion stellt Apigee ein Zertifikat und einen Schlüssel für die Testversion bereit. Organisationen mit einer kostenlosen Testversion können dieses Standardzertifikat und diesen Standardschlüssel verwenden, um APIs zu testen und sogar in die Produktion zu verschieben.
Organisationen mit kostenlosen Testzeiträumen können keine eigenen Zertifikate und Schlüssel verwenden. Sie müssen das von Apigee bereitgestellte Zertifikat und den Schlüssel verwenden. Sie können Ihre eigenen Zertifikate und Schlüssel erst nach der Umstellung auf ein kostenpflichtiges Konto verwenden.
Ein Edge for the Cloud-Kunde mit einem kostenpflichtigen Konto kann virtuelle Hosts in einer Organisation erstellen. Alle virtuellen Hosts müssen TLS unterstützen. Sie benötigen also ein Zertifikat und einen Schlüssel, die Sie in einen Schlüsselspeicher hochladen müssen. Wenn Sie jedoch ein kostenpflichtiges Konto haben und noch kein TLS-Zertifikat und keinen TLS-Schlüssel haben, können Sie einen virtuellen Host erstellen, der das Apigee-Zertifikat und den Schlüssel für den kostenlosen Testzeitraum verwendet. Weitere Informationen finden Sie unter Virtuelle Hosts für die Cloud konfigurieren.
Sie können das von Apigee bereitgestellte Zertifikat nicht in bidirektionalem TLS mit dem Backend verwenden. Wenn Sie die bidirektionale TLS-Verschlüsselung mit dem Backend konfigurieren möchten, müssen Sie nach der Umstellung auf ein kostenpflichtiges Konto Ihre eigenen Zertifikate hochladen.
Unterschiede zwischen Cloud und Private Cloud
Die Cloud-Version von Edge und Private Cloud Version 4.18.01 und höher bieten erweiterte Funktionen für die Arbeit mit Schlüssel- und Vertrauensspeichern, die in Private Cloud Version 4.17.09 und niedriger nicht verfügbar sind. Beispiele:
- Schlüsselspeicher und Truststores über die Edge-Benutzeroberfläche erstellen
- Neue APIs zum Verwalten von Schlüssel- und Vertrauensspeichern
Achten Sie bei der Arbeit mit Schlüssel- und Vertrauensspeichern darauf, den richtigen Abschnitt der Dokumentation zu verwenden: