Хранилища ключей и доверенные хранилища

Вы просматриваете документацию Apigee Edge .
Перейдите к документации Apigee X. информация

Чтобы настроить функциональные возможности, основанные на инфраструктуре открытых ключей (TLS), необходимо создать хранилища ключей и хранилища доверенных сертификатов, которые предоставляют необходимые ключи и цифровые сертификаты.

Узнать больше:

• О TLS/SSL
• Использование TLS с Edge
• О виртуальных хостах
• Создание хранилищ ключей и хранилищ доверенных сертификатов с помощью пользовательского интерфейса Edge
• Создание хранилищ ключей и хранилищ доверенных сертификатов с помощью API управления Edge
• Создайте хранилища ключей и доверенные хранилища для частного облака версии 4.17.09 и более ранних версий.

О хранилищах ключей и хранилищах доверенных сертификатов

Хранилища ключей и хранилища доверенных сертификатов определяют хранилища сертификатов безопасности, используемых для шифрования TLS. Основное различие между ними заключается в том, где они используются в процессе установления связи TLS:

• Хранилище ключей содержит сертификат TLS и закрытый ключ, используемый для идентификации объекта во время установления связи TLS.
  
  В одностороннем TLS, когда клиент подключается к конечной точке TLS на сервере, хранилище ключей сервера предоставляет клиенту сертификат сервера (публичный сертификат). Затем клиент проверяет этот сертификат в центре сертификации (CA), например Symantec или VeriSign.
  
  В двустороннем TLS и клиент, и сервер поддерживают хранилище ключей со своим собственным сертификатом и закрытым ключом, используемым для взаимной аутентификации.
• Хранилище доверенных сертификатов содержит сертификаты, используемые для проверки сертификатов, полученных в ходе установления связи TLS.
  
  В одностороннем TLS хранилище доверенных сертификатов не требуется, если сертификат подписан действительным центром сертификации. Если сертификат, полученный клиентом TLS, подписан действительным центром сертификации, клиент отправляет запрос в центр сертификации для проверки подлинности сертификата. Клиент TLS обычно использует хранилище доверенных сертификатов для проверки самозаверяющих сертификатов, полученных от сервера TLS, или сертификатов, не подписанных доверенным центром сертификации. В этом сценарии клиент заполняет свое хранилище доверенных сертификатов сертификатами, которым он доверяет. Затем, когда клиент получает сертификат сервера, входящий сертификат проверяется на соответствие сертификатам в его хранилище доверенных сертификатов.
  
  Например, клиент TLS подключается к серверу TLS, где сервер использует самозаверяющий сертификат. Поскольку это самозаверяющий сертификат, клиент не может проверить его в центре сертификации. Вместо этого клиент предварительно загружает самозаверяющий сертификат сервера в свое хранилище доверенных сертификатов. Затем, когда клиент пытается подключиться к серверу, клиент использует хранилище доверенных сертификатов для проверки сертификата, полученного от сервера.
  
  Для двустороннего TLS и клиент TLS, и сервер TLS могут использовать хранилище доверенных сертификатов. Хранилище доверенных сертификатов требуется при выполнении двустороннего TLS, когда Edge выступает в качестве сервера TLS.

Сертификаты могут быть выданы центром сертификации (CA) или они могут быть самоподписанными с помощью сгенерированного вами закрытого ключа. Если у вас есть доступ к центру сертификации, следуйте инструкциям вашего центра сертификации по созданию ключей и выдаче сертификатов. Если у вас нет доступа к центру сертификации, вы можете создать самозаверяющий сертификат с помощью одного из многих общедоступных бесплатных инструментов, таких как openssl .

Использование бесплатного пробного сертификата Apigee и ключа в облаке

Всем организациям с бесплатной пробной версией Cloud Apigee предоставляет бесплатный сертификат и ключ пробной версии. Организации с бесплатной пробной версией могут использовать этот сертификат и ключ по умолчанию для тестирования API и даже запуска API в рабочую среду.

Организации, использующие бесплатную пробную версию, не могут использовать собственные сертификаты и ключи. Им необходимо использовать сертификат и ключ, предоставленные Apigee. Вы сможете использовать собственные сертификаты и ключи только после перехода на платный аккаунт.

Клиент Edge for the Cloud с платной учетной записью может создавать виртуальные хосты в организации. Все виртуальные хосты должны поддерживать TLS, то есть вам необходимо иметь сертификат и ключ и загрузить их в хранилище ключей. Однако если у вас есть платная учетная запись и еще нет сертификата и ключа TLS, вы можете создать виртуальный хост, который использует сертификат и ключ бесплатной пробной версии Apigee. Дополнительную информацию см. в разделе Настройка виртуальных хостов для облака .

Вы не можете использовать сертификат, предоставленный Apigee, в двустороннем TLS с серверной частью. Чтобы настроить двусторонний TLS с серверной частью, вам необходимо загрузить собственные сертификаты после перехода на платную учетную запись.

Различия между облаком и частным облаком

Облачная версия Edge и Private Cloud версии 4.18.01 и более поздних имеют расширенные возможности по работе с хранилищами ключей и доверенными хранилищами, которые недоступны в версии Private Cloud 4.17.09 и более ранних версиях. Например, вы можете:

• Используйте пользовательский интерфейс Edge для создания хранилищ ключей и хранилищ доверенных сертификатов.
• Используйте новый набор API для управления хранилищами ключей и хранилищами доверенных сертификатов.

При работе с хранилищами ключей и доверенными хранилищами убедитесь, что вы используете правильный раздел документации:

• Создание хранилищ ключей и хранилищ доверенных сертификатов с помощью пользовательского интерфейса Edge
• Создание хранилищ ключей и хранилищ доверенных сертификатов с помощью API управления Edge
• Создайте хранилища ключей и доверенные хранилища для частного облака 4.17.09 и более ранних версий.