キーストアとトラストストア

公開鍵基盤（TLS）に依存する機能を構成するには、必要な鍵とデジタル証明書を提供するキーストアとトラストストアを作成する必要があります。

詳細:

• TLS / SSL について
• Edge での TLS の使用
• 仮想ホストについて
• Edge UI を使用したキーストアとトラストストアの作成
• Edge 管理 API を使用したキーストアとトラストストアの作成
• Private Cloud バージョン 4.17.09 以前でキーストアとトラストストアを作成する

キーストアとトラストストアについて

キーストアとトラストストアは、TLS 暗号化に使用されるセキュリティ証明書のリポジトリを定義します。2 つのストアの主な違いは、TLS handshake プロセス内のどこで使用されるかです。

• キーストアには、TLS handshake 中にエンティティの識別に使用される TLS 証明書と秘密鍵が含まれています。
  
  一方向 TLS では、クライアントがサーバーの TLS エンドポイントに接続するときに、サーバーのキーストアによってサーバーの証明書（公開証明書）がクライアントに提示されます。クライアントはその証明書を、Symantec や VeriSign などの認証局（CA）で検証します。
  
  双方向 TLS では、クライアントとサーバーの両方が、相互認証に使用されるそれぞれの固有の証明書と秘密鍵を含むキーストアを維持します。
• トラストストアには、TLS handshake の一環として受け取った証明書の検証に使用する証明書が含まれています。
  
  一方向 TLS では、有効な CA によって証明書が署名されている場合、トラストストアは必要ありません。受け取った証明書が有効な CA によって署名されている場合、TLS クライアントは証明書を認証するよう CA にリクエストします。通常、TLS クライアントはトラストストアを使用して、TLS サーバーから受け取った自己署名証明書、または信頼できる CA によって署名されていない証明書を検証します。このシナリオでは、クライアントは信頼できる証明書をトラストストアに格納します。クライアントはサーバー証明書を受け取ると、その証明書をトラストストア内の証明書と照合して検証します。
  
  たとえば、自己署名証明書を使用する TLS サーバーに TLS クライアントが接続するとします。自己署名証明書であるため、クライアントはこれを CA で検証できません。その代わりに、クライアントはサーバーの自己署名証明書をトラストストアにプリロードします。その後、クライアントはサーバーへの接続を試行したとき、トラストストアを使用してサーバーから受け取った証明書を検証します。
  
  双方向 TLS の場合、トラストストアは TLS クライアントと TLS サーバーの両方で使用できます。Edge を TLS サーバーとした双方向 TLS を行う場合、トラストストアは必須です。

証明書は認証局（CA）が発行できますが、自分で生成した秘密鍵によって証明書に自己署名することもできます。CA にアクセスできる場合は、CA から提供された手順に沿って鍵を生成し、証明書を発行します。CA にアクセスできない場合は、一般公開されているさまざまな無料ツール（openssl など）のいずれかを使用して、自己署名証明書を生成できます。

Cloud での Apigee 無料トライアル証明書と鍵の使用

Apigee は、Cloud のすべての無料トライアル組織のために、無料トライアル証明書と鍵を提供しています。無料トライアル組織は、このデフォルトの証明書と鍵を使用して API をテストでき、API を本番環境に push することもできます。

無料トライアル組織では、独自の証明書と鍵を使用することはできません。Apigee から提供された証明書と鍵を使用する必要があります。独自の証明書と鍵を使用できるのは、有料アカウントに移行した後のみです。

有料アカウントを持つ Edge for Cloud のお客様は、組織内に仮想ホストを作成できます。すべての仮想ホストは TLS をサポートする必要があります。つまり、お客様が証明書と鍵を所有していて、それらをキーストアにアップロードする必要があります。ただし、有料アカウントをお持ちで、まだ TLS 証明書と鍵を準備していない場合は、Apigee 無料トライアル証明書と鍵を使用する仮想ホストを作成できます。詳細については、Cloud 用仮想ホストの構成をご覧ください。

Apigee 提供の証明書をバックエンドとの双方向 TLS で使用することはできません。バックエンドとの双方向 TLS を構成するには、有料アカウントに移行した後で独自の証明書をアップロードする必要があります。

Cloud バージョンと Private Cloud バージョンの違い

Edge の Cloud バージョンと Private Cloud バージョン 4.18.01 以降では、キーストアとトラストストアの処理機能が拡張されており、Private Cloud バージョン 4.17.09 以前ではできなかったことが可能になっています。たとえば、次のことが可能です。

• Edge UI を使用してキーストアとトラストストアを作成する
• 新しい API セットを使用してキーストアとトラストストアを管理する

キーストアとトラストストアを扱うときは、必ずドキュメントの適切なセクションをご覧ください。

• Edge UI を使用したキーストアとトラストストアの作成
• Edge 管理 API を使用したキーストアとトラストストアの作成
• Private Cloud バージョン 4.17.09 以前でキーストアとトラストストアを作成する