Keystores et Truststores

Vous consultez la documentation d'Apigee Edge.
Accédez à la documentation sur Apigee X.
info

Pour configurer des fonctionnalités qui reposent sur l'infrastructure à clé publique (TLS), vous devez créer des keystores et des truststores qui fournissent les clés et les certificats numériques nécessaires.

En savoir plus:

À propos des keystores et des truststores

Les keystores et les truststores définissent les dépôts de certificats de sécurité utilisés pour le chiffrement TLS. La principale différence entre les deux est l'endroit où elles sont utilisées dans le processus d'établissement de la liaison TLS:

  • Un keystore contient un certificat TLS et une clé privée utilisés pour identifier l'entité lors du handshake TLS.

    Dans le TLS à sens unique, lorsqu'un client se connecte au point de terminaison TLS sur le serveur, le keystore du serveur présente le certificat du serveur (certificat public) au client. Le client valide ensuite ce certificat auprès d'une autorité de certification (AC), telle que Symantec ou VeriSign.

    Dans le TLS à deux voies, le client et le serveur gèrent tous deux un keystore avec leur propre certificat et leur propre clé privée utilisés pour l'authentification mutuelle.
  • Un truststore contient des certificats utilisés pour valider les certificats reçus lors du handshake TLS.

    Dans le TLS à sens unique, un truststore n'est pas nécessaire si le certificat est signé par une autorité de certification valide. Si le certificat reçu par un client TLS est signé par une autorité de certification valide, le client envoie une requête à l'autorité de certification pour authentifier le certificat. Un client TLS utilise généralement un truststore pour valider les certificats autosignés reçus du serveur TLS ou les certificats qui ne sont pas signés par une autorité de certification de confiance. Dans ce scénario, le client remplit son truststore avec les certificats qu'il approuve. Ensuite, lorsque le client reçoit un certificat de serveur, le certificat entrant est validé par rapport aux certificats de son truststore.

    Par exemple, un client TLS se connecte à un serveur TLS où le serveur utilise un certificat autosigné. Comme il s'agit d'un certificat autosigné, le client ne peut pas le valider auprès d'une autorité de certification. À la place, le client précharge le certificat autosigné du serveur dans son truststore. Ensuite, lorsque le client tente de se connecter au serveur, il utilise le truststore pour valider le certificat reçu du serveur.

    Pour le TLS bidirectionnel, le client TLS et le serveur TLS peuvent utiliser un truststore. Un truststore est requis lorsque vous effectuez un TLS bidirectionnel lorsque Edge agit en tant que serveur TLS.

Les certificats peuvent être émis par une autorité de certification (AC) ou être autosignés par la clé privée que vous générez. Si vous avez accès à une autorité de certification, suivez les instructions fournies par votre autorité de certification pour générer des clés et émettre des certificats. Si vous n'avez pas accès à une autorité de certification, vous pouvez générer un certificat autosigné à l'aide de l'un des nombreux outils sans frais disponibles publiquement, tels que openssl.

Utiliser le certificat et la clé d'essai sans frais Apigee dans le cloud

Pour toutes les organisations participant à un essai sans frais Cloud, Apigee fournit un certificat et une clé d'essai sans frais. Les organisations participant à un essai sans frais peuvent utiliser ce certificat et cette clé par défaut pour tester les API, et même les mettre en production.

Les organisations qui bénéficient d'un essai sans frais ne peuvent pas utiliser leurs propres certificats et clés. Il doit utiliser le certificat et la clé fournis par Apigee. Vous ne pouvez utiliser vos propres certificats et clés qu'après avoir passé à un compte payant.

Un client Edge for Cloud disposant d'un compte payant peut créer des hôtes virtuels dans une organisation. Tous les hôtes virtuels doivent être compatibles avec le protocole TLS. Vous devez donc disposer d'un certificat et d'une clé, et les importer dans un keystore. Toutefois, si vous disposez d'un compte payant et que vous ne disposez pas encore d'un certificat ni d'une clé TLS, vous pouvez créer un hôte virtuel qui utilise le certificat et la clé d'essai sans frais d'Apigee. Pour en savoir plus, consultez la section Configurer des hôtes virtuels pour le cloud.

Vous ne pouvez pas utiliser le certificat fourni par Apigee en TLS bidirectionnel avec le backend. Pour configurer TLS à double sens avec le backend, vous devez importer vos propres certificats après avoir migré vers un compte payant.

Différences entre le cloud et le cloud privé

La version Cloud d'Edge et de Private Cloud versions 4.18.01 et ultérieures a étendu les fonctionnalités de gestion des keystores et des truststores qui ne sont pas disponibles dans Private Cloud version 4.17.09 et antérieures. Par exemple, vous pouvez :

  • Utiliser l'UI Edge pour créer des keystores et des truststores
  • Utiliser un nouvel ensemble d'API pour gérer les keystores et les truststores

Lorsque vous travaillez avec des keystores et des truststores, veillez à utiliser la section appropriée de la documentation: