密钥库和信任存储区

您正在查看的是 Apigee Edge 文档。
转到 Apigee X 文档
信息

如需配置依赖于公钥基础架构 (TLS) 的功能,您需要创建提供必要密钥和数字证书的密钥库和信任库。

了解详情

密钥库和信任库简介

密钥库和信任库定义了用于 TLS 加密的安全证书的存储区。两者之间的主要区别在于在 TLS 握手流程中使用它们的位置:

  • 密钥库包含 TLS 证书和私钥,用于在 TLS 握手期间标识实体。

    在单向 TLS 中,当客户端连接到服务器上的 TLS 端点时,服务器的密钥库会向客户端提供该服务器的证书(公共证书)。然后,客户端会通过证书授权机构 (CA)(如 Symantec 或 VeriSign)验证该证书。

    在双向 TLS 中,客户端和服务器都维护着一个密钥库,其中包含自己的证书和私钥,用于相互身份验证。
  • truststore 包含用于验证在 TLS 握手过程中收到的证书的证书。

    在单向 TLS 中,如果证书由有效的 CA 签名,则不需要信任库。如果 TLS 客户端收到的证书由有效的 CA 签名,则客户端会向 CA 发出请求以对证书进行身份验证。TLS 客户端通常使用信任库来验证从 TLS 服务器收到的自签名证书,或未由可信 CA 签名的证书。在此场景中,客户端会使用其信任的证书填充其信任库。然后,当客户端收到服务器证书时,系统会根据其信任库中的证书对传入证书进行验证。

    例如,TLS 客户端会连接到 TLS 服务器,其中服务器使用自签名证书。由于它是自签名证书,因此客户端无法通过 CA 对其进行验证。 相反,客户端会将服务器的自签名证书预加载到其信任库中。然后,当客户端尝试连接到服务器时,客户端会使用信任库来验证从服务器收到的证书。

    对于双向 TLS,TLS 客户端和 TLS 服务器都可以使用信任库。当 Edge 充当 TLS 服务器时,执行双向 TLS 时需要使用信任库。

证书可以由证书授权机构 (CA) 颁发,也可以由您生成的私钥自签名。如果您有权访问某个 CA,请按照 CA 提供的说明生成密钥和颁发证书。如果您无权访问 CA,可以使用众多公开提供的免费工具(如 openssl)之一生成自签名证书。

在云端使用 Apigee 免费试用证书和密钥

对于所有免费试用 Cloud 的组织,Apigee 都会提供免费试用证书和密钥。免费试用组织可以使用此默认证书和密钥测试 API,甚至将 API 推送到生产环境。

免费试用组织无法使用自己的证书和密钥。他们必须使用 Apigee 提供的证书和密钥。转换为付费帐号后,您只能使用自己的证书和密钥。

使用付费帐号的 Cloud 客户可以在组织中创建虚拟主机。所有虚拟主机都必须支持 TLS,这意味着您必须拥有证书和密钥,并将其上传到密钥库。但是,如果您有付费帐号,并且还没有 TLS 证书和密钥,则可以创建一个使用 Apigee 免费试用证书和密钥的虚拟主机。如需了解详情,请参阅为 Cloud 配置虚拟主机

您不能在后端以双向 TLS 中使用 Apigee 提供的证书。如需为后端配置双向 TLS,您必须在转换为付费帐号后上传自己的证书。

云和私有云之间的区别

Edge 和 Private Cloud 4.18.01 及更高版本的 Cloud 版本扩展了用于处理私有云 4.17.09 及更低版本不支持的密钥库和信任库的功能。例如,您可以:

  • 使用 Edge 界面创建密钥库和信任库
  • 使用一组新的 API 管理密钥库和信任库

使用密钥库和信任库时,请务必使用本文档中的正确部分: