キーストアとトラストストア

公開鍵基盤(TLS)を利用する機能を構成するには、必要な鍵とデジタル証明書を提供するキーストアとトラストストアを作成する必要があります。

詳細:

キーストアとトラストストアについて

キーストアとトラストストアは、TLS 暗号化に使用されるセキュリティ証明書のリポジトリを定義します。2 つのストアの主な相違点は、TLS handshake プロセス内のどこで使用されるかです。

  • キーストアには、TLS handshake 時にエンティティの識別に使用される TLS 証明書と秘密鍵が含まれています。

    一方向 TLS では、クライアントがサーバーの TLS エンドポイントに接続すると、サーバーのキーストアによってサーバーの証明書(公開証明書)がクライアントに提示されます。クライアントはその証明書を、Symantec や VeriSign などの認証局(CA)で検証します。

    双方向 TLS では、クライアントとサーバーの両方が、相互認証に使用される独自の証明書と秘密鍵を含むキーストアを維持します。
  • トラストストアには、TLS handshake の一環で受け取った証明書の検証に使用される証明書が含まれています。

    一方向 TLS では、有効な CA によって証明書が署名されている場合、トラストストアは必要ありません。TLS クライアントは、受け取った証明書が有効な CA によって署名されている場合、証明書を認証するようその CA にリクエストします。TLS クライアントは通常はトラストストアを使用して、TLS サーバーから受け取った自己署名証明書や、信頼できる CA による署名のない証明書を検証します。このシナリオでは、TLS クライアントは信頼する証明書をそのトラストストアに取り込みます。TLS クライアントはサーバー証明書を受け取ると、その受信した証明書をトラストストア内の証明書と照合して検証します。

    たとえば、自己署名証明書を使用する TLS サーバーに TLS クライアントが接続するとします。自己署名証明書であるため、クライアントは CA で検証できません。代わりに、クライアントはサーバーの自己署名証明書をトラストストアにプリロードします。これにより、TLS クライアントは、TLS サーバーに接続する際にトラストストアを使用してそのサーバーから受け取った証明書を検証します。

    双方向 TLS の場合、トラストストアは TLS クライアントと TLS サーバーの両方で使用できます。トラストストアが必要になるのは、Edge が TLS サーバーとして機能する場合に、双方向 TLS を実施するときです。

証明書は認証局(CA)が発行できますが、自分で生成した秘密鍵によって証明書に自己署名することもできます。CA にアクセスできる場合、CA が示す手順に沿って鍵を生成し、証明書を発行してください。CA にアクセスできない場合は、一般公開されているさまざまな無料ツール(openssl など)のいずれかを使用して、自己署名証明書を生成できます。

Cloud の無料トライアル版組織でのデフォルトの Apigee キーストアと証明書の使用

すべての Cloud 無料トライアル版組織には、Apigee によってデフォルトのキーストアとエイリアスが作成されます。freetrial という名前のキーストアがあり、それには freetrial という名前のエイリアスが含まれています。このエイリアスには、無料トライアル アカウントに対して Apigee によって提供されたデフォルトの証明書が含まれています。無料トライアル版の組織は、このデフォルトのキーストアとエイリアスを使用して API をテストでき、API を本番環境に push することもできます。

無料トライアル版の組織は、独自の証明書を使用できません。デフォルトのキーストアと Apigee によって提供された証明書を使用する必要があります。独自の証明書は、有料アカウントに移行した後にのみ使用できます。

また、無料トライアル版の組織は、Apigee によって提供された証明書をバックエンドとの双方向 TLS で使用することはできません。バックエンドとの双方向 TLS を構成するには、有料アカウントに移行した後で独自の証明書をアップロードする必要があります。

Cloud バージョンと Private Cloud バージョンの違い

Edge の Cloud バージョンと Private Cloud バージョン 4.18.01 以降では、Private Cloud バージョン 4.17.09 以前では使用できないキーストアとトラストストアの処理機能が拡張されています。たとえば、次のことが可能です。

  • Edge UI を使用してキーストアとトラストストアを作成する
  • 新たな API 群を使用してキーストアとトラストストアを管理する

キーストアとトラストストアに関する作業を行う場合は、必ずドキュメントの適切なセクションをご覧ください。