Przeglądasz dokumentację Apigee Edge.
Otwórz dokumentację Apigee X. Informacje
Aby skonfigurować funkcje, które wymagają infrastruktury kluczy publicznych (TLS), musisz utworzyć magazyny kluczy i magazyny zaufania zapewniające niezbędne klucze i certyfikaty cyfrowe.
Więcej informacji:
- Informacje o TLS/SSL
- Używanie TLS w przeglądarce Edge
- Informacje o hostach wirtualnych
- Tworzenie magazynów kluczy i magazynu zaufania za pomocą interfejsu użytkownika Edge
- Tworzenie magazynów kluczy i magazynu zaufania za pomocą interfejsu Edge Management API
- Utwórz magazyny kluczy i magazyny zaufania dla Private Cloud w wersji 4.17.09 lub starszej
Informacje o magazynach kluczy i magazynach zaufania
Magazyny kluczy i magazyny zaufania definiują repozytoria certyfikatów bezpieczeństwa używane do szyfrowania TLS. Główna różnica między nimi polega na tym, gdzie są używane podczas uzgadniania połączenia TLS:
- Magazyn kluczy zawiera certyfikat TLS i klucz prywatny używane do identyfikowania jednostki podczas uzgadniania połączenia TLS.
W przypadku jednokierunkowego protokołu TLS, gdy klient łączy się z punktem końcowym TLS na serwerze, magazyn kluczy serwera przedstawia klientowi certyfikat serwera (certyfikat publiczny). Klient weryfikuje certyfikat w urzędzie certyfikacji, takim jak Symantec lub VeriSign.
W przypadku dwukierunkowego protokołu TLS zarówno klient, jak i serwer utrzymują magazyn kluczy z własnym certyfikatem i kluczem prywatnym służącym do wzajemnego uwierzytelniania. - W truststore znajdują się certyfikaty używane do weryfikacji certyfikatów otrzymanych w ramach hakowania połączeń TLS.
W przypadku jednokierunkowego protokołu TLS magazyn zaufania nie jest wymagany, jeśli certyfikat jest podpisany przez ważny urząd certyfikacji. Jeśli certyfikat odebrany przez klienta TLS jest podpisany przez ważny urząd certyfikacji, klient wysyła do urzędu certyfikacji żądanie uwierzytelnienia certyfikatu. Klient TLS zazwyczaj używa magazynu zaufania do weryfikacji certyfikatów podpisanych samodzielnie z serwera TLS lub certyfikatów, które nie są podpisane przez zaufany urząd certyfikacji. W tym scenariuszu klient wypełnia swój magazyn zaufanych certyfikatów zaufanymi certyfikatami. Następnie, gdy klient otrzyma certyfikat serwera, przychodzący certyfikat jest sprawdzany pod kątem zgodności z certyfikatami w jego magazynie zaufania.
Na przykład klient TLS łączy się z serwerem TLS, na którym serwer używa certyfikatu podpisanego samodzielnie. Ponieważ jest to certyfikat podpisany samodzielnie, klient nie może go zweryfikować w urzędzie certyfikacji. Zamiast tego klient wczytuje samodzielnie podpisany certyfikat serwera do magazynu zaufanych certyfikatów. Następnie, gdy klient próbuje połączyć się z serwerem, korzysta z magazynu zaufania do weryfikowania certyfikatu otrzymanego z serwera.
W przypadku dwukierunkowego protokołu TLS zarówno klient TLS, jak i serwer TLS mogą korzystać z magazynu zaufania. Magazyn zaufania jest wymagany w przypadku wykonywania dwukierunkowego protokołu TLS, gdy Edge działa jako serwer TLS.
Certyfikaty mogą być wystawiane przez urząd certyfikacji (CA) lub samodzielnie podpisane przez Ciebie. Jeśli masz dostęp do urzędu certyfikacji, postępuj zgodnie z podanymi przez niego instrukcjami generowania kluczy i wystawiania certyfikatów. Jeśli nie masz dostępu do urzędu certyfikacji, możesz wygenerować certyfikat podpisany samodzielnie za pomocą jednego z wielu publicznie dostępnych bezpłatnych narzędzi, takich jak openssl.
Korzystanie z bezpłatnego certyfikatu i klucza Apigee w wersji próbnej
Dla wszystkich organizacji korzystających z bezpłatnego okresu próbnego Apigee zapewnia bezpłatny certyfikat i klucz wersji próbnej. Organizacje korzystające z bezpłatnego okresu próbnego mogą używać tego domyślnego certyfikatu i klucza do testowania interfejsów API, a nawet przenosić interfejsy API do środowiska produkcyjnego.
Organizacje korzystające z bezpłatnego okresu próbnego nie mogą używać własnych certyfikatów ani kluczy. Muszą używać certyfikatu i klucza Apigee. Możesz używać własnych certyfikatów i kluczy tylko po przejściu na płatne konto.
Edge dla klienta Cloud z płatnym kontem może utworzyć hosty wirtualne w organizacji. Wszystkie hosty wirtualne muszą obsługiwać TLS, co oznacza, że musisz mieć certyfikat i klucz oraz przesłać je do magazynu kluczy. Jeśli jednak masz płatne konto i nie masz jeszcze certyfikatu ani klucza TLS, możesz utworzyć hosta wirtualnego, który będzie używał bezpłatnego certyfikatu próbnego i klucza Apigee. Więcej informacji znajdziesz w artykule Konfigurowanie hostów wirtualnych dla chmury.
Certyfikatu dostarczonego przez Apigee nie można używać w dwukierunkowym protokole TLS z backendem. Aby skonfigurować dwukierunkowy protokół TLS z backendem, po przejściu na płatne konto musisz przesłać własne certyfikaty.
Różnice między chmurą a chmurą prywatną
Wersje Cloud Edge i Private Cloud w wersji 4.18.01 i nowszych mają rozszerzone możliwości pracy z magazynami kluczy i magazynami zaufania, które nie są dostępne w Private Cloud w wersji 4.17.09 i starszych. Na przykład możesz:
- Tworzenie magazynów kluczy i magazynów zaufania w interfejsie Edge
- Użyj nowego zestawu interfejsów API do zarządzania magazynami kluczy i magazynami zaufania
Podczas pracy z magazynami kluczy i magazynami zaufania sprawdź, czy używasz właściwej sekcji dokumentacji: