Keystore e Truststore

Stai visualizzando la documentazione di Apigee Edge.
Vai alla documentazione di Apigee X. info

Per configurare la funzionalità che si basa sull'infrastruttura a chiave pubblica (TLS), devi creare keystore e truststore che forniscano le chiavi e i certificati digitali necessari.

Scopri di più:

• Informazioni su TLS/SSL
• Utilizzare TLS con Edge
• Informazioni sugli host virtuali
• Creazione di keystore e truststore utilizzando l'interfaccia utente di Edge
• Creazione di keystore e truststore utilizzando l'API di gestione di Edge
• Creare keystore e truststore per Private Cloud versione 4.17.09 e precedenti

Informazioni su archivi chiavi e truststore

I keystore e i truststore definiscono i repository dei certificati di sicurezza utilizzati per la crittografia TLS. La differenza principale tra i due è dove vengono utilizzati nel processo di handshake TLS:

• Un archivio chiavi contiene un certificato TLS e una chiave privata utilizzati per identificare l'entità durante l'handshake TLS.
  
  In TLS unidirezionale, quando un client si connette all'endpoint TLS sul server, il keystore del server presenta al client il certificato del server (certificato pubblico). Il client convalida poi il certificato con un'autorità di certificazione (CA), come Symantec o VeriSign.
  
  In TLS bidirezionale, sia il client che il server gestiscono un archivio chiavi con il proprio certificato e la propria chiave privata utilizzati per l'autenticazione reciproca.
• Un truststore contiene i certificati utilizzati per verificare i certificati ricevuti nell'ambito dell'handshake TLS.
  
  In TLS unidirezionale, un truststore non è necessario se il certificato è firmato da una CA valida. Se il certificato ricevuto da un client TLS è firmato da un'autorità di certificazione valida, il client invia una richiesta all'autorità di certificazione per autenticare il certificato. In genere, un client TLS utilizza un truststore per convalidare i certificati autofirmati ricevuti dal server TLS o i certificati non firmati da un'autorità di certificazione attendibile. In questo scenario, il client compila il truststore con i certificati di cui sifida. Quando il client riceve un certificato del server, il certificato in entrata viene convalidato in base ai certificati nel truststore.
  
  Ad esempio, un client TLS si connette a un server TLS che utilizza un certificato autofirmato. Poiché si tratta di un certificato autofirmato, il client non può convalidarlo con un'autorità di certificazione. Il client precompila invece il certificato autofirmato del server nel proprio truststore. Poi, quando il client tenta di connettersi al server, utilizza il truststore per convalidare il certificato ricevuto dal server.
  
  Per TLS bidirezionale, sia il client TLS sia il server TLS possono utilizzare un truststore. È necessario un truststore quando esegui TLS bidirezionale quando Edge agisce come server TLS.

I certificati possono essere emessi da un'autorità di certificazione (CA) o essere autofirmati dalla chiave privata che generi. Se hai accesso a un'autorità di certificazione, segui le istruzioni fornite dall'autorità per la generazione delle chiavi e il rilascio dei certificati. Se non hai accesso a un'autorità di certificazione, puoi generare un certificato autofirmato utilizzando uno dei numerosi strumenti senza costi disponibili pubblicamente, come openssl.

Utilizzo del certificato e della chiave della prova senza costi di Apigee in Cloud

Per tutte le organizzazioni che usufruiscono della prova senza costi di Cloud, Apigee fornisce una chiave e un certificato per la prova senza costi. Le organizzazioni con prova senza costi possono utilizzare questo certificato e questa chiave predefiniti per testare le API e persino spingerle in produzione.

Le organizzazioni con prova senza costi non possono utilizzare le proprie credenziali e chiavi. Deve utilizzare il certificato e la chiave forniti da Apigee. Puoi utilizzare le tue credenziali e le tue chiavi solo dopo la transizione a un account a pagamento.

Un cliente Edge for the Cloud con un account a pagamento può creare host virtuali in un'organizzazione. Tutti gli host virtuali devono supportare TLS, il che significa che devi disporre di un certificato e di una chiave e caricarli in un keystore. Tuttavia, se hai un account a pagamento e non disponi ancora di un certificato e di una chiave TLS, puoi creare un host virtuale che utilizzi il certificato e la chiave della prova senza costi di Apigee. Per saperne di più, consulta Configurare gli host virtuali per il cloud.

Non puoi utilizzare il certificato fornito da Apigee in TLS bidirezionale con il backend. Per configurare TLS bidirezionale con il backend, devi caricare i tuoi certificati dopo la transizione a un account a pagamento.

Differenze tra cloud e cloud privato

La versione Cloud di Edge e Private Cloud 4.18.01 e successive ha ampliato le funzionalità per il lavoro con i keystore e i truststore non disponibili in Private Cloud 4.17.09 e versioni precedenti. Ad esempio, puoi:

• Utilizzare l'interfaccia utente di Edge per creare archivi chiavi e truststore
• Utilizza un nuovo insieme di API per gestire i keystore e i truststore

Quando utilizzi i keystore e i truststore, assicurati di utilizzare la sezione corretta della documentazione:

• Creazione di keystore e truststore utilizzando l'interfaccia utente di Edge
• Creazione di keystore e truststore utilizzando l'API di gestione di Edge
• Creare lotti di chiavi e truststore per Private Cloud 4.17.09 e versioni precedenti