Keystores e Truststores

Você está visualizando a documentação do Apigee Edge.
Acesse a documentação da Apigee X. info

Para configurar a funcionalidade que depende da infraestrutura de chave pública (TLS), é necessário criar keystores e truststores que forneçam as chaves e os certificados digitais necessários.

Saiba mais:

• Sobre TLS/SSL
• Como usar o TLS com o Edge
• Sobre hosts virtuais
• Como criar chaves e repositórios de confiança usando a interface do Edge
• Como criar chaves e repositórios de confiança usando a API de gerenciamento do Edge
• Criar keystores e truststores para a versão 4.17.09 e anteriores da nuvem privada

Sobre keystores e truststores

Os keystores e truststores definem repositórios de certificados de segurança usados para a criptografia TLS. A principal diferença entre os dois é onde eles são usados no processo de handshake do TLS:

• Um keystore contém um certificado TLS e uma chave privada usados para identificar a entidade durante o handshake de TLS.
  
  No TLS de sentido único, quando um cliente se conecta ao endpoint TLS no servidor, o keystore do servidor apresenta o certificado do servidor (certificado público) ao cliente. Em seguida, o cliente valida esse certificado com uma autoridade certificadora (AC), como a Symantec ou a VeriSign.
  
  No TLS bidirecional, o cliente e o servidor mantêm um keystore com o próprio certificado e chave privada usados para a autenticação mútua.
• Um truststore contém certificados usados para verificar certificados recebidos como parte do handshake de TLS.
  
  No TLS unidirecional, um repositório de confiança não é necessário se o certificado for assinado por uma AC válida. Se o certificado recebido por um cliente TLS for assinado por uma AC válida, o cliente fará uma solicitação à AC para autenticar o certificado. Um cliente TLS normalmente usa um repositório de confiança para validar certificados autoassinados recebidos do servidor TLS ou certificados que não são assinados por uma AC confiável. Nesse cenário, o cliente preenche o repositório de certificados de confiança com certificados em que confia. Em seguida, quando o cliente recebe um certificado do servidor, o certificado recebido é validado em relação aos certificados no truststore.
  
  Por exemplo, um cliente TLS se conecta a um servidor TLS em que o servidor usa um certificado autoassinado. Como é um certificado autoassinado, o cliente não pode validá-lo com uma AC. Em vez disso, o cliente carrega previamente o certificado autoassinado do servidor no repositório de confiança. Em seguida, quando o cliente tenta se conectar ao servidor, ele usa o repositório de confiança para validar o certificado recebido do servidor.
  
  Para o TLS bidirecional, o cliente e o servidor TLS podem usar um repositório de confiança. Um truststore é necessário ao realizar o TLS bidirecional quando o Edge atua como o servidor TLS.

Os certificados podem ser emitidos por uma autoridade certificadora (AC) ou autoassinados pela chave privada gerada. Se você tiver acesso a uma AC, siga as instruções fornecidas por ela para gerar chaves e emitir certificados. Se você não tiver acesso a uma AC, será possível gerar um certificado autoassinado usando uma das muitas ferramentas sem custo financeiro disponíveis publicamente, como openssl.

Como usar o certificado e a chave da Apigee no Cloud

Para todas as organizações de teste sem custo financeiro do Cloud, a Apigee fornece um certificado e uma chave de teste sem custo financeiro. As organizações de teste sem custo financeiro podem usar esse certificado e chave padrão para testar APIs e até mesmo enviar APIs para produção.

As organizações de teste sem custo financeiro não podem usar as próprias chaves e certificados. Eles precisam usar o certificado e a chave fornecidos pela Apigee. Só é possível usar seus próprios certificados e chaves depois da transição para uma conta paga.

Um cliente do Edge para Cloud com uma conta paga pode criar hosts virtuais em uma organização. Todos os hosts virtuais precisam oferecer suporte a TLS. Isso significa que você precisa ter um certificado e uma chave e fazer upload deles para um keystore. No entanto, se você tiver uma conta paga e ainda não tiver um certificado e uma chave TLS, crie um host virtual que use o certificado e a chave de avaliação sem custo financeiro da Apigee. Consulte Como configurar hosts virtuais para a nuvem para mais informações.

Não é possível usar o certificado fornecido pela Apigee no TLS bidirecional com o back-end. Para configurar o TLS bidirecional com o back-end, faça upload dos seus próprios certificados após a transição para uma conta paga.

Diferenças entre a nuvem e a nuvem privada

A versão da Nuvem do Edge e da Nuvem Privada 4.18.01 e mais recentes expandiram recursos para trabalhar com keystores e truststores que não estão disponíveis na Nuvem Privada 4.17.09 e versões anteriores. Por exemplo, você pode:

• Usar a interface do Edge para criar keystores e truststores
• Usar um novo conjunto de APIs para gerenciar keystores e truststores

Ao trabalhar com keystores e truststores, use a seção correta da documentação:

• Como criar chaves e repositórios de confiança usando a interface do Edge
• Como criar chaves e repositórios de confiança usando a API de gerenciamento do Edge
• Criar keystores e truststores para a nuvem privada 4.17.09 e versões anteriores