Vous consultez la documentation d'Apigee Edge.
Consultez la
documentation Apigee X. en savoir plus
Pour configurer une fonctionnalité qui repose sur l'infrastructure à clé publique (TLS), vous devez créer des keystores et des Truststores qui fournissent les clés et les certificats numériques nécessaires.
En savoir plus:
- À propos de TLS/SSL
- Utiliser TLS avec Edge
- À propos des hôtes virtuels
- Créer des keystores et un truststore à l'aide de l'interface utilisateur Edge
- Création de keystores et de magasins de confiance à l'aide de l'API de gestion Edge
- Créer des keystores et des Truststores pour le Cloud privé 4.17.09 et les versions antérieures
À propos des keystores et des Truststores
Les keystores et les Truststores définissent des dépôts de certificats de sécurité utilisés pour le chiffrement TLS. La principale différence entre les deux réside dans leur utilisation dans le processus de handshake TLS:
- Un keystore contient un certificat TLS et une clé privée permettant d'identifier l'entité lors du handshake TLS.
Avec le protocole TLS unidirectionnel, lorsqu'un client se connecte au point de terminaison TLS sur le serveur, le keystore du serveur présente le certificat du serveur (certificat public) au client. Le client valide ensuite ce certificat auprès d'une autorité de certification, telle que Symantec ou VeriSign.
Avec le protocole TLS bidirectionnel, le client et le serveur gèrent un keystore avec leur propre certificat et leur propre clé privée, utilisés pour l'authentification mutuelle. - Un truststore contient des certificats utilisés pour vérifier les certificats reçus dans le cadre du handshake TLS.
Avec le protocole TLS unidirectionnel, aucun magasin de confiance n'est requis si le certificat est signé par une autorité de certification valide. Si le certificat reçu par un client TLS est signé par une autorité de certification valide, le client envoie une requête à l'autorité de certification pour authentifier le certificat. Un client TLS utilise généralement un Truststore pour valider les certificats autosignés reçus du serveur TLS ou les certificats qui ne sont pas signés par une autorité de certification de confiance. Dans ce scénario, le client remplit son magasin de confiance avec les certificats approuvés. Ensuite, lorsque le client reçoit un certificat de serveur, le certificat entrant est validé par rapport aux certificats dans son Truststore.
Par exemple, un client TLS se connecte à un serveur TLS sur lequel le serveur utilise un certificat autosigné. Comme il s'agit d'un certificat autosigné, le client ne peut pas le valider auprès d'une autorité de certification. Au lieu de cela, le client précharge le certificat autosigné du serveur dans son Truststore. Ensuite, lorsque le client tente de se connecter au serveur, il utilise le Truststore pour valider le certificat reçu du serveur.
Pour le protocole TLS bidirectionnel, le client TLS et le serveur TLS peuvent tous deux utiliser un magasin de confiance. Un Truststore est requis lors de l'exécution d'une authentification TLS bidirectionnelle lorsque Edge agit en tant que serveur TLS.
Les certificats peuvent être émis par une autorité de certification (CA) ou être autosignés par la clé privée que vous générez. Si vous avez accès à une autorité de certification, suivez les instructions qu'elle vous fournit pour générer des clés et émettre des certificats. Si vous n'avez pas accès à une autorité de certification, vous pouvez générer un certificat autosigné à l'aide de l'un des nombreux outils sans frais disponibles au public, tels que openssl.
Utiliser le certificat et la clé d'essai sans frais Apigee dans le cloud
Apigee fournit un certificat et une clé d'essai sans frais à toutes les organisations bénéficiant d'un essai sans frais de Google Cloud. Les organisations bénéficiant de l'essai sans frais peuvent utiliser ce certificat et cette clé par défaut pour tester des API, et même les déployer en production.
Les organisations bénéficiant d'un essai sans frais ne peuvent pas utiliser leurs propres certificats et clés. Ils doivent utiliser le certificat et la clé fournis par Apigee. Vous ne pourrez utiliser vos propres certificats et clés qu'après la transition vers un compte payant.
Un client Edge pour le cloud disposant d'un compte payant peut créer des hôtes virtuels dans une organisation. Tous les hôtes virtuels doivent être compatibles avec TLS, ce qui signifie que vous devez disposer d'un certificat et d'une clé, et les importer dans un keystore. Toutefois, si vous possédez un compte payant et que vous ne possédez pas encore de certificat ni de clé TLS, vous pouvez créer un hôte virtuel qui utilise le certificat et la clé d'essai sans frais Apigee. Pour plus d'informations, consultez la section Configurer des hôtes virtuels pour le cloud.
Vous ne pouvez pas utiliser le certificat fourni par Apigee avec le protocole TLS bidirectionnel avec le backend. Pour configurer le protocole TLS bidirectionnel avec le backend, vous devez importer vos propres certificats après être passé à un compte payant.
Différences entre le cloud et le cloud privé
Les versions Cloud d'Edge et de Private Cloud 4.18.01 et versions ultérieures disposent de fonctionnalités étendues pour travailler avec des keystores et des Truststores qui ne sont pas disponibles dans la version 4.17.09 de Private Cloud et les versions antérieures. Par exemple, vous pouvez :
- Utiliser l'interface utilisateur Edge pour créer des keystores et des Truststores
- Utilisez un nouvel ensemble d'API pour gérer les keystores et les Truststores
Lorsque vous utilisez des keystores et des Truststores, veillez à consulter la section appropriée de la documentation: