Stai visualizzando la documentazione di Apigee Edge.
Vai alla
documentazione di Apigee X. informazioni
Per configurare la funzionalità che si basa sull'infrastruttura a chiave pubblica (TLS) devi creare archivi chiavi e truststore che forniscono le chiavi e i certificati digitali necessari.
Scopri di più:
- Informazioni su TLS/SSL
- Utilizzo di TLS con Edge
- Informazioni sugli host virtuali
- Creazione di archivi chiavi e truststore utilizzando la UI Edge
- Creazione di archivi chiavi e truststore utilizzando l'API Edge Management
- Crea archivi chiavi e truststore per il cloud privato versione 4.17.09 e precedenti
Informazioni su keystore e truststore
Gli archivi chiavi e i truststore definiscono i repository dei certificati di sicurezza utilizzati per la crittografia TLS. La differenza principale tra i due è il punto in cui vengono utilizzati nel processo di handshake TLS:
- Un keystore contiene un certificato TLS e una chiave privata utilizzati per identificare l'entità durante l'handshake TLS.
Nel protocollo TLS unidirezionale, quando un client si connette all'endpoint TLS sul server, l'archivio chiavi del server presenta il certificato (certificato pubblico) del server al client. Il client convalida quindi il certificato con un'autorità di certificazione (CA), come Symantec o VeriSign.
Nel protocollo TLS a due vie, sia il client sia il server mantengono un archivio chiavi con il proprio certificato e la chiave privata utilizzati per l'autenticazione reciproca. - Un archivio attendibilità contiene i certificati utilizzati per verificare i certificati ricevuti nell'ambito dell'handshake TLS.
Nel TLS unidirezionale, un archivio di attendibilità non è richiesto se il certificato è firmato da una CA valida. Se il certificato ricevuto da un client TLS è firmato da una CA valida, il client invia alla CA una richiesta di autenticazione del certificato. In genere, un client TLS utilizza un archivio attendibilità per convalidare i certificati autofirmati ricevuti dal server TLS o i certificati non firmati da una CA attendibile. In questo scenario, il client completa il proprio archivio attendibilità con i certificati che considera attendibili. Quindi, quando il client riceve un certificato del server, il certificato in entrata viene convalidato in base ai certificati del suo archivio attendibilità.
Ad esempio, un client TLS si connette a un server TLS in cui il server utilizza un certificato autofirmato. Poiché si tratta di un certificato autofirmato, il client non può convalidarlo con una CA. Il client precarica invece il certificato autofirmato del server nel proprio archivio attendibilità. Quindi, quando il client tenta di connettersi al server, utilizza l'archivio attendibilità per convalidare il certificato ricevuto dal server.
Per TLS a due vie, sia il client TLS che il server TLS possono utilizzare un archivio attendibilità. L'archivio attendibilità è obbligatorio per l'esecuzione di TLS a due vie quando Edge funge da server TLS.
I certificati possono essere emessi da un'autorità di certificazione (CA) oppure essere autofirmati dalla chiave privata che generi. Se hai accesso a una CA, segui le istruzioni fornite dalla CA per generare chiavi e emettere certificati. Se non hai accesso a una CA, puoi generare un certificato autofirmato utilizzando uno dei numerosi strumenti senza costi disponibili pubblicamente, come openssl.
Utilizzo del certificato e della chiave di prova senza costi di Apigee nel cloud
Per tutte le organizzazioni di prova senza costi di Cloud, Apigee offre un certificato e una chiave di prova senza costi. Le organizzazioni che utilizzano la prova senza costi possono utilizzare questo certificato e questa chiave predefiniti per testare le API e persino eseguirne il push in produzione.
Le organizzazioni che utilizzano la versione di prova senza costi non possono utilizzare i propri certificati e chiavi. Deve utilizzare il certificato e la chiave forniti da Apigee. Puoi utilizzare i tuoi certificati e chiavi solo dopo la transizione a un account a pagamento.
Un cliente Edge per il cloud con un account a pagamento può creare host virtuali in un'organizzazione. Tutti gli host virtuali sono necessari per supportare TLS, il che significa che devi avere un certificato e una chiave e caricarli in un archivio chiavi. Tuttavia, se hai un account a pagamento e non hai ancora un certificato e una chiave TLS, puoi creare un host virtuale che utilizza il certificato e la chiave di prova senza costi di Apigee. Per saperne di più, consulta Configurazione degli host virtuali per il cloud.
Non puoi utilizzare il certificato fornito da Apigee in TLS a due vie con il backend. Per configurare TLS bidirezionale con il backend, devi caricare i tuoi certificati dopo la transizione a un account a pagamento.
Differenze tra Cloud e Private Cloud
La versione Cloud di Edge e Private Cloud 4.18.01 e versioni successive offre funzionalità estese per l'utilizzo di keystore e truststore che non sono disponibili in Private Cloud versione 4.17.09 e precedenti. Ad esempio, puoi:
- Utilizzo dell'interfaccia utente Edge per creare archivi chiavi e truststore
- Utilizza un nuovo set di API per gestire archivi chiavi e truststore
Quando lavori con archivi chiavi e truststore, assicurati di utilizzare la sezione corretta della documentazione: