Keystore e Truststore

Stai visualizzando la documentazione di Apigee Edge.
Vai alla documentazione di Apigee X.
informazioni

Per configurare funzionalità che si basano sull'infrastruttura a chiavi pubbliche (TLS) devi creare archivi chiavi e truststore che forniscono le chiavi e i certificati digitali necessari.

Scopri di più:

Informazioni su archivi chiavi e truststore

Gli archivi chiavi e gli archivi di attendibilità definiscono i repository di certificati di sicurezza utilizzati per la crittografia TLS. La differenza principale tra i due sta nel punto in cui vengono utilizzati nel processo di handshake TLS:

  • Un keystore contiene un certificato TLS e una chiave privata utilizzati per identificare l'entità durante l'handshake TLS.

    Nel protocollo TLS unidirezionale, quando un client si connette all'endpoint TLS sul server, l'archivio chiavi del server presenta il certificato del server (certificato pubblico) al client. Il client convalida quindi tale certificato con un'autorità di certificazione (CA), come Symantec o VeriSign.

    Nella crittografia TLS bidirezionale, sia il client sia il server mantengono un archivio chiavi con il proprio certificato e la propria chiave privata utilizzata per l'autenticazione reciproca.
  • Un archivio attendibilità contiene certificati utilizzati per verificare i certificati ricevuti nell'ambito dell'handshake TLS.

    Nella crittografia TLS unidirezionale, non è necessario un archivio attendibilità se il certificato è firmato da una CA valida. Se il certificato ricevuto da un client TLS è firmato da una CA valida, il client invia alla CA una richiesta di autenticazione del certificato. In genere, un client TLS utilizza un archivio attendibilità per convalidare i certificati autofirmati ricevuti dal server TLS o i certificati non firmati da una CA attendibile. In questo scenario, il client completa il proprio archivio attendibilità con certificati che considera attendibili. Poi, quando il client riceve un certificato del server, il certificato in entrata viene convalidato in base ai certificati nel suo archivio attendibilità.

    Ad esempio, un client TLS si connette a un server TLS in cui il server utilizza un certificato autofirmato. Poiché si tratta di un certificato autofirmato, il client non può convalidarlo con una CA. Al contrario, il client precarica il certificato autofirmato del server nel proprio archivio attendibilità. Quindi, quando il client tenta di connettersi al server, utilizza l'archivio attendibilità per convalidare il certificato ricevuto dal server.

    Per il protocollo TLS a due vie, sia il client TLS sia il server TLS possono utilizzare un archivio attendibilità. È richiesto un archivio attendibilità per l'esecuzione di TLS bidirezionale quando Edge agisce come server TLS.

I certificati possono essere emessi da un'autorità di certificazione (CA) o essere autofirmati dalla chiave privata generata da te. Se hai accesso a una CA, segui le istruzioni fornite da quest'ultima per generare chiavi e emettere certificati. Se non hai accesso a una CA, puoi generare un certificato autofirmato utilizzando uno dei numerosi strumenti senza costi disponibili pubblicamente, ad esempio openssl.

Utilizzo del certificato e della chiave della prova senza costi di Apigee nel cloud

Per tutte le organizzazioni che utilizzano la prova senza costi di Cloud, Apigee offre un certificato e una chiave di prova senza costi. Le organizzazioni in prova senza costi possono utilizzare questo certificato e questa chiave predefiniti per testare le API e persino eseguirne il push in produzione.

Le organizzazioni che partecipano alla prova senza costi non possono utilizzare i propri certificati e chiavi. Devono utilizzare il certificato e la chiave forniti da Apigee. Puoi utilizzare i tuoi certificati e chiavi solo dopo la transizione a un account a pagamento.

Un cliente Edge per il cloud con un account a pagamento può creare host virtuali in un'organizzazione. Tutti gli host virtuali devono supportare TLS, il che significa che devi avere un certificato e una chiave e caricarli in un archivio chiavi. Tuttavia, se hai un account a pagamento e non disponi ancora di un certificato e di una chiave TLS, puoi creare un host virtuale che utilizza il certificato e la chiave della prova senza costi di Apigee. Per saperne di più, consulta Configurazione degli host virtuali per il cloud.

Non puoi utilizzare il certificato fornito da Apigee in TLS bidirezionale con il backend. Per configurare TLS bidirezionale con il backend, devi caricare i tuoi certificati dopo la transizione a un account a pagamento.

Differenze tra Cloud e Private Cloud

La versione Cloud di Edge e Private Cloud versioni 4.18.01 e successive offre funzionalità ampliate per l'utilizzo di archivi chiavi e truststore che non sono disponibili in Private Cloud versione 4.17.09 e precedenti. Ad esempio, puoi:

  • Utilizzo dell'UI Edge per creare archivi chiavi e truststore
  • Usa un nuovo set di API per gestire archivi chiavi e truststore

Quando lavori con archivi chiavi e truststore, assicurati di utilizzare la sezione corretta della documentazione: