您正在查看 Apigee Edge 文档。
前往 Apigee X 文档。 信息
如需配置依赖于公钥基础架构 (TLS) 的功能,您需要创建密钥库和信任库,以提供必要的密钥和数字证书。
了解详情:
- TLS/SSL 简介
- 将 TLS 与 Edge 搭配使用
- 关于虚拟主机
- 使用 Edge 界面创建密钥库和信任库
- 使用 Edge Management API 创建密钥库和信任库
- 为 Private Cloud 版本 4.17.09 及更低版本创建密钥库和信任库
密钥库和信任库简介
密钥库和信任库定义了用于 TLS 加密的安全证书库。这两者之间的主要区别在于它们在 TLS 握手过程中的使用位置:
- 密钥库包含 TLS 证书和私钥,用于在 TLS 握手过程中标识实体。
在单向 TLS 中,当客户端连接到服务器上的 TLS 端点时,服务器的密钥库会向客户端提供服务器的证书(公钥)。然后,客户端会向证书颁发机构 (CA)(例如 Symantec 或 VeriSign)验证该证书。
在双向 TLS 中,客户端和服务器都维护一个密钥库,其中包含用于进行相互身份验证的自己的证书和私钥。 - truststore包含用于验证在 TLS 握手过程中收到的证书的证书。
在单向 TLS 中,如果证书由有效的 CA 签名,则不需要受信任证书存储区。如果 TLS 客户端收到的证书由有效的 CA 签名,则客户端会向 CA 发出请求以对证书进行身份验证。TLS 客户端通常使用信任库来验证从 TLS 服务器收到的自签名证书,或未由可信 CA 签名的证书。在这种情况下,客户端会使用其信任的证书填充其信任库。然后,当客户端收到服务器证书时,系统会根据其信任库中的证书对传入证书进行验证。
例如,TLS 客户端连接到 TLS 服务器,其中服务器使用自签名证书。由于该证书是自签名的,因此客户端无法通过 CA 对其进行验证。 而是将服务器的自签名证书预加载到其信任库中。然后,当客户端尝试连接到服务器时,客户端会使用信任库来验证从服务器收到的证书。
对于双向 TLS,TLS 客户端和 TLS 服务器都可以使用信任库。当 Edge 充当 TLS 服务器时,执行双向 TLS 时需要信任库。
证书可以由证书授权机构 (CA) 颁发,也可以由您生成的私钥自签名。如果您有权访问 CA,请按照 CA 提供的说明生成密钥并颁发证书。如果您无权访问 CA,可以使用众多公开提供的免费工具之一(例如 openssl)生成自签名证书。
在 Cloud 中使用 Apigee 免费试用证书和密钥
Apigee 为所有 Cloud 免费试用组织提供免费试用证书和密钥。 免费试用组织可以使用此默认证书和密钥来测试 API,甚至可以将 API 推送到生产环境。
免费试用期的组织无法使用自己的证书和密钥。他们必须使用 Apigee 提供的证书和密钥。 只有在转换为付费账号后,您才能使用自己的证书和密钥。
拥有付费账号的 Edge for Cloud 客户可以在组织中创建虚拟主机。 所有虚拟主机都必须支持 TLS,这意味着您必须拥有证书和密钥,并将其上传到密钥库。不过,如果您有付费账号,并且还没有 TLS 证书和密钥,则可以创建一个使用 Apigee 免费试用证书和密钥的虚拟主机。如需了解详情,请参阅为 Cloud 配置虚拟主机。
您无法在与后端的双向 TLS 中使用 Apigee 提供的证书。 如需使用后端配置双向 TLS,您必须在转换为付费账号后上传自己的证书。
云端与私有云之间的差异
Cloud 版 Edge 和 Private Cloud 4.18.01 及更高版本扩展了与密钥库和信任库相关的功能,这些功能在 Private Cloud 4.17.09 及更低版本中不可用。例如,您可以:
- 使用 Edge 界面创建密钥库和信任库
- 使用一组新的 API 管理密钥库和信任库
在使用密钥库和信任库时,请务必使用文档中的正确部分: