คีย์สโตร์และ Truststore

คุณกำลังดูเอกสารประกอบของ Apigee Edge
ไปที่เอกสารประกอบของ Apigee X ข้อมูล

หากต้องการกำหนดค่าฟังก์ชันการทำงานที่ใช้โครงสร้างพื้นฐานคีย์สาธารณะ (TLS) คุณต้องสร้างคีย์สโตร์และ Truststore ที่ให้คีย์ที่จำเป็นและใบรับรองดิจิทัล

ดูข้อมูลเพิ่มเติม

เกี่ยวกับคีย์สโตร์และ Truststore

คีย์สโตร์และ Truststore จะกำหนดที่เก็บใบรับรองความปลอดภัยที่ใช้สำหรับการเข้ารหัส TLS ความแตกต่างที่สำคัญระหว่างทั้ง 2 แบบนี้คือส่วนที่ใช้ในกระบวนการแฮนด์เชค TLS ดังนี้

  • keystore มีใบรับรอง TLS และคีย์ส่วนตัวที่ใช้ระบุเอนทิตีระหว่างการแฮนด์เชค TLS

    สำหรับ TLS ทางเดียว เมื่อไคลเอ็นต์เชื่อมต่อกับปลายทาง TLS ในเซิร์ฟเวอร์ คีย์สโตร์ของเซิร์ฟเวอร์จะแสดงใบรับรองของเซิร์ฟเวอร์ (ใบรับรองสาธารณะ) แก่ไคลเอ็นต์ จากนั้นไคลเอ็นต์จะตรวจสอบใบรับรองกับผู้ออกใบรับรอง (CA) เช่น Symantec หรือ VeriSign

    ใน TLS แบบ 2 ทาง ทั้งไคลเอ็นต์และเซิร์ฟเวอร์จะเก็บรักษาคีย์สโตร์โดยมีใบรับรองของตนเองและคีย์ส่วนตัวที่ใช้สำหรับการตรวจสอบสิทธิ์ร่วมกัน
  • truststore มีใบรับรองที่ใช้ยืนยันใบรับรองที่ได้รับซึ่งเป็นส่วนหนึ่งของการจับมือ TLS

    สำหรับ TLS ทางเดียว ไม่จำเป็นต้องใช้ Truststore หากใบรับรองได้รับการลงนามโดย CA ที่ถูกต้อง หากใบรับรองที่ไคลเอ็นต์ TLS ได้รับลงชื่อโดย CA ที่ถูกต้อง ไคลเอ็นต์จะส่งคำขอไปยัง CA เพื่อตรวจสอบสิทธิ์ใบรับรอง โดยปกติแล้วไคลเอ็นต์ TLS จะใช้ Truststore เพื่อตรวจสอบใบรับรองแบบ Self-signed ที่ได้รับจากเซิร์ฟเวอร์ TLS หรือใบรับรองที่ไม่ได้ลงชื่อโดย CA ที่เชื่อถือได้ ในสถานการณ์นี้ ไคลเอ็นต์จะสร้าง Truststore ด้วยใบรับรองที่ไคลเอ็นต์เชื่อถือ จากนั้น เมื่อไคลเอ็นต์ได้รับใบรับรองเซิร์ฟเวอร์ ระบบจะตรวจสอบใบรับรองขาเข้ากับใบรับรองใน Truststore

    เช่น ไคลเอ็นต์ TLS จะเชื่อมต่อกับเซิร์ฟเวอร์ TLS ที่เซิร์ฟเวอร์จะใช้ใบรับรองแบบ Self-signed เนื่องจากเป็นใบรับรองแบบ Self-signed ไคลเอ็นต์ตรวจสอบความถูกต้องกับ CA ไม่ได้ แต่ไคลเอ็นต์จะโหลดใบรับรองที่ลงชื่อด้วยตนเองของเซิร์ฟเวอร์ไว้ใน Truststore แทน จากนั้นเมื่อไคลเอ็นต์พยายามเชื่อมต่อกับเซิร์ฟเวอร์ ไคลเอ็นต์จะใช้ Truststore เพื่อตรวจสอบใบรับรองที่ได้รับจากเซิร์ฟเวอร์

    สำหรับ TLS แบบ 2 ทาง ทั้งไคลเอ็นต์ TLS และเซิร์ฟเวอร์ TLS จะใช้ Truststore ได้ จำเป็นต้องใช้ Truststore เมื่อดำเนินการ TLS แบบ 2 ทางเมื่อ Edge ทำหน้าที่เป็นเซิร์ฟเวอร์ TLS

ใบรับรองอาจออกโดยผู้ออกใบรับรอง (CA) หรือจะลงนามด้วยตนเองด้วยคีย์ส่วนตัวที่คุณสร้างก็ได้ หากคุณมีสิทธิ์เข้าถึง CA โปรดทำตามวิธีการที่ CA ระบุไว้เพื่อสร้างคีย์และออกใบรับรอง หากไม่มีสิทธิ์เข้าถึง CA คุณอาจสร้างใบรับรองแบบ Self-signed โดยใช้เครื่องมือฟรีที่เผยแพร่ต่อสาธารณะได้หลายรายการ เช่น openssl

การใช้ใบรับรองและคีย์ช่วงทดลองใช้ Apigee ฟรีในระบบคลาวด์

Apigee คือองค์กรที่ทดลองใช้ฟรีบน Cloud ทั้งหมด Apigee คือใบรับรองและคีย์ช่วงทดลองใช้ฟรี องค์กรที่ทดลองใช้ฟรีจะใช้ใบรับรองและคีย์เริ่มต้นนี้เพื่อทดสอบ API หรือแม้แต่พุช API เป็นเวอร์ชันที่ใช้งานจริงก็ได้

องค์กรที่ทดลองใช้ฟรีจะใช้ใบรับรองและคีย์ของตนเองไม่ได้ โดยต้องใช้ใบรับรองและคีย์ที่ Apigee เป็นผู้จัดหา คุณจะใช้ใบรับรองและคีย์ของตนเองได้หลังจากเปลี่ยนไปใช้บัญชีแบบชำระเงินแล้วเท่านั้น

Edge สำหรับลูกค้า Cloud ที่มีบัญชีแบบชำระเงินสามารถสร้างโฮสต์เสมือนในองค์กรได้ โฮสต์เสมือนทั้งหมดต้องรองรับ TLS ซึ่งหมายความว่าคุณต้องมีใบรับรองและคีย์ รวมถึงอัปโหลดไปยังคีย์สโตร์ อย่างไรก็ตาม หากคุณมีบัญชีที่เสียค่าใช้จ่ายและยังไม่มีใบรับรองและคีย์ TLS คุณอาจสร้างโฮสต์เสมือนที่ใช้ใบรับรองและคีย์ช่วงทดลองใช้ Apigee ฟรีได้ โปรดดูการกำหนดค่าโฮสต์เสมือนสำหรับระบบคลาวด์สำหรับข้อมูลเพิ่มเติม

คุณจะใช้ใบรับรองที่ได้รับจาก Apigee ใน TLS แบบ 2 ทางกับแบ็กเอนด์ไม่ได้ หากต้องการกำหนดค่า TLS แบบ 2 ทางด้วยแบ็กเอนด์ คุณต้องอัปโหลดใบรับรองของตนเองหลังจากเปลี่ยนไปใช้บัญชีแบบชำระเงิน

ความแตกต่างระหว่าง Cloud กับ Private Cloud

Edge และ Private Cloud เวอร์ชัน 4.18.01 ขึ้นไปของ Cloud ได้เพิ่มความสามารถในการทำงานกับคีย์สโตร์และ Truststore ที่ไม่พร้อมใช้งานใน Private Cloud เวอร์ชัน 4.17.09 และเวอร์ชันก่อนหน้า ตัวอย่างเช่น คุณจะดำเนินการต่อไปนี้ได้

  • ใช้ Edge UI เพื่อสร้างคีย์สโตร์และ Truststore
  • ใช้ API ชุดใหม่เพื่อจัดการคีย์สโตร์และ Truststore

เมื่อทำงานกับคีย์สโตร์และ Truststores โปรดใช้ส่วนที่ถูกต้องของเอกสารประกอบดังนี้