키 저장소 및 Truststore

현재 Apigee Edge 문서가 표시되고 있습니다.
Apigee X 문서로 이동
정보

공개 키 인프라 (TLS)를 사용하는 기능을 구성하려면 필요한 키와 디지털 인증서를 제공하는 키 저장소와 트러스트 저장소를 만들어야 합니다.

자세히 알아보기:

키 저장소 및 트러스트 저장소 정보

키 저장소와 트러스트 저장소는 TLS 암호화에 사용되는 보안 인증서의 저장소를 정의합니다. 이 둘의 주요 차이점은 TLS 핸드셰이크 프로세스에서 사용되는 위치입니다.

  • 키 저장소에는 TLS 핸드셰이크 중에 항목을 식별하는 데 사용되는 TLS 인증서와 비공개 키가 포함됩니다.

    단방향 TLS에서는 클라이언트가 서버의 TLS 엔드포인트에 연결할 때 서버의 키 저장소가 서버의 인증서 (공개 인증서)를 클라이언트에 제공합니다. 그런 다음 클라이언트는 Symantec 또는 VeriSign과 같은 인증 기관 (CA)을 통해 인증서의 유효성을 검사합니다.

    양방향 TLS에서는 클라이언트와 서버 모두 상호 인증에 사용되는 자체 인증서와 비공개 키가 있는 키 저장소를 유지합니다.
  • truststore에는 TLS 핸드셰이크의 일부로 수신된 인증서를 확인하는 데 사용되는 인증서가 포함됩니다.

    단방향 TLS에서는 인증서가 유효한 CA에서 서명된 경우 트러스트 저장소가 필요하지 않습니다. TLS 클라이언트에서 수신한 인증서가 유효한 CA에 의해 서명되면 클라이언트는 인증서를 인증하도록 CA에 요청합니다. TLS 클라이언트는 일반적으로 트러스트 저장소를 사용하여 TLS 서버에서 수신한 자체 서명 인증서 또는 신뢰할 수 있는 CA에서 서명하지 않은 인증서의 유효성을 검사합니다. 이 시나리오에서 클라이언트는 신뢰할 수 있는 인증서로 트러스트 저장소를 채웁니다. 그런 다음 클라이언트가 서버 인증서를 수신하면 트러스트 저장소의 인증서와 비교하여 수신 인증서가 검증됩니다.

    예를 들어 TLS 클라이언트는 자체 서명 인증서를 사용하는 TLS 서버에 연결됩니다. 자체 서명된 인증서이므로 클라이언트에서 CA로 유효성을 검사할 수 없습니다. 대신 클라이언트는 서버의 자체 서명된 인증서를 트러스트 저장소에 미리 로드합니다. 그런 다음 클라이언트가 서버에 연결을 시도할 때 클라이언트는 트러스트 저장소를 사용하여 서버에서 수신한 인증서의 유효성을 검사합니다.

    양방향 TLS의 경우 TLS 클라이언트와 TLS 서버 모두 트러스트 저장소를 사용할 수 있습니다. Edge가 TLS 서버 역할을 할 때 양방향 TLS를 수행할 때는 트러스트 저장소가 필요합니다.

인증서는 인증 기관 (CA)에서 발급하거나 사용자가 생성한 비공개 키로 자체 서명할 수 있습니다. CA에 액세스할 수 있는 경우 CA에서 제공하는 안내에 따라 키를 생성하고 인증서를 발급하세요. CA에 액세스할 수 없는 경우 openssl과 같이 무료로 제공되는 다양한 도구 중 하나를 사용하여 자체 서명 인증서를 생성할 수 있습니다.

클라우드에서 Apigee 무료 체험판 인증서 및 키 사용

Apigee는 모든 Cloud 무료 체험판 조직에 무료 체험판 인증서와 키를 제공합니다. 무료 체험 조직에서는 이 기본 인증서 및 키를 사용하여 API를 테스트하고 API를 프로덕션에 푸시할 수도 있습니다.

무료 체험 조직에서는 자체 인증서 및 키를 사용할 수 없습니다. Apigee에서 제공하는 인증서와 키를 사용해야 합니다. 유료 계정으로 전환한 후에만 자체 인증서와 키를 사용할 수 있습니다.

유료 계정이 있는 클라우드 고객을 위한 Edge는 조직에 가상 호스트를 만들 수 있습니다. 모든 가상 호스트는 TLS를 지원해야 합니다. 즉, 인증서와 키가 있어야 하며 이를 키 저장소에 업로드해야 합니다. 하지만 유료 계정이 있지만 아직 TLS 인증서와 키가 없는 경우 Apigee 무료 체험판 인증서와 키를 사용하는 가상 호스트를 만들 수 있습니다. 자세한 내용은 클라우드용 가상 호스트 구성을 참조하세요.

Apigee 제공 인증서는 백엔드와 함께 양방향 TLS로 사용할 수 없습니다. 백엔드로 양방향 TLS를 구성하려면 유료 계정으로 전환한 후 자체 인증서를 업로드해야 합니다.

클라우드와 프라이빗 클라우드의 차이점

Cloud 버전 Edge 및 Private Cloud 버전 4.18.01 이상에서는 Private Cloud 버전 4.17.09 이하에서 사용할 수 없는 키 저장소 및 트러스트 저장소 작업을 위한 기능이 확장되었습니다. 예를 들어 다음과 같은 작업을 처리할 수 있습니다.

  • Edge UI를 사용하여 키 저장소 및 트러스트 저장소 만들기
  • 새로운 API 세트를 사용하여 키 저장소와 트러스트 저장소 관리

키 저장소와 트러스트 저장소를 사용할 때는 문서의 올바른 섹션을 사용해야 합니다.