Almacenes de claves y almacenes Truststore

Estás consultando la documentación de Apigee Edge.
Consulta la documentación de Apigee X.
Información

Para configurar la funcionalidad que se basa en una infraestructura de clave pública (TLS), debes crear almacenes de claves y almacenes de confianza que proporcionen las claves y certificados digitales necesarios.

Obtenga más información:

Información acerca de los almacenes de claves y los almacenes de confianza

Los almacenes de claves y los almacenes de confianza definen los repositorios de los certificados de seguridad que se usan para la encriptación TLS. La principal diferencia entre ambos es dónde se usan en el proceso de protocolo de enlace TLS:

  • Un almacén de claves contiene un certificado TLS y una clave privada que se usa para identificar la entidad durante el protocolo de enlace TLS.

    En la TLS unidireccional, cuando un cliente se conecta al extremo de TLS en el servidor, el almacén de claves del servidor presenta el certificado del servidor (certificado público) al cliente. Luego, el cliente valida ese certificado con una autoridad certificadora (CA), como Symantec o VeriSign.

    En la TLS bidireccional, el cliente y el servidor mantienen un almacén de claves con su propio certificado y clave privada que se usa para la autenticación mutua.
  • Un truststore contiene certificados que se usan para verificar los certificados recibidos como parte del protocolo de enlace TLS.

    En la TLS unidireccional, no se requiere un almacén de confianza si el certificado está firmado por una CA válida. Si el certificado que recibe un cliente de TLS está firmado por una CA válida, el cliente enviará una solicitud a la CA para autenticar el certificado. Por lo general, un cliente de TLS usa un almacén de confianza para validar los certificados autofirmados que se reciben del servidor TLS o los que no están firmados por una CA de confianza. En esta situación, el cliente propaga su almacén de confianza con certificados en los que confía. Luego, cuando el cliente recibe un certificado de servidor, el certificado entrante se valida con los certificados de su almacén de confianza.

    Por ejemplo, un cliente TLS se conecta a un servidor TLS en el que el servidor usa un certificado autofirmado. Debido a que es un certificado autofirmado, el cliente no puede validarlo con una CA. En cambio, el cliente precarga el certificado autofirmado del servidor en su almacén de confianza. Luego, cuando el cliente intenta conectarse al servidor, usa el almacén de confianza para validar el certificado que recibió del servidor.

    En el caso de TLS bidireccional, tanto el cliente de TLS como el servidor de TLS pueden usar un almacén de confianza. Se requiere un almacén de confianza cuando se realiza una TLS bidireccional cuando Edge actúa como el servidor de TLS.

Una autoridad certificadora (CA) puede emitir los certificados o se pueden autofirmar con la clave privada que generes. Si tienes acceso a una CA, sigue las instrucciones que esta proporcione para generar claves y emitir certificados. Si no tienes acceso a una CA, puedes generar un certificado autofirmado mediante una de las muchas herramientas gratuitas disponibles de forma pública, como openssl.

Usa la clave y el certificado de prueba gratuita de Apigee en la nube

Para todas las organizaciones que realizan pruebas gratuitas de Cloud, Apigee proporciona una clave y un certificado de prueba gratuita. Las organizaciones que realizan pruebas gratuitas pueden usar este certificado y clave predeterminados para probar las APIs o incluso enviar las APIs a la producción.

Las organizaciones de prueba gratuita no pueden usar sus propios certificados y claves. Tienen que usar el certificado y la clave que proporciona Apigee. Solo puedes usar tus propios certificados y claves después de realizar la transición a una cuenta pagada.

Un cliente de Edge para Cloud con una cuenta pagada puede crear hosts virtuales en una organización. Todos los hosts virtuales son necesarios para admitir TLS, lo que significa que debes tener un certificado y una clave, y subirlos a un almacén de claves. Sin embargo, si tienes una cuenta pagada y aún no tienes un certificado y una clave de TLS, puedes crear un host virtual que use el certificado y la clave de la prueba gratuita de Apigee. Consulta Configura hosts virtuales para la nube a fin de obtener más información.

No puedes usar el certificado proporcionado por Apigee en TLS bidireccional con el backend. Para configurar la TLS bidireccional con el backend, debes subir tus propios certificados después de realizar la transición a una cuenta pagada.

Diferencias entre la nube y la nube privada

Las versiones 4.18.01 y posteriores de Edge y Cloud Private Cloud tienen capacidades expandidas para trabajar con almacenes de claves y almacenes de confianza que no están disponibles en la versión de nube privada 4.17.09 y anteriores. Por ejemplo, puedes hacer lo siguiente:

  • Usa la IU de Edge para crear almacenes de claves y almacenes de confianza
  • Usa un nuevo conjunto de APIs para administrar almacenes de claves y almacenes de confianza

Cuando trabajes con almacenes de claves y almacenes de confianza, asegúrate de usar la sección correcta de la documentación: