Kho khoá và Kho đáng tin cậy

Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến tài liệu về Apigee X. thông tin

Để định cấu hình chức năng dựa trên cơ sở hạ tầng khoá công khai (TLS), bạn cần tạo kho khoá và kho lưu trữ tin cậy cung cấp các khoá và chứng chỉ kỹ thuật số cần thiết.

Tìm hiểu thêm:

• Giới thiệu về TLS/SSL
• Sử dụng TLS với Edge
• Giới thiệu về máy chủ ảo
• Tạo kho khoá và kho tin cậy bằng giao diện người dùng Edge
• Tạo kho khoá và kho lưu trữ tin cậy bằng API Quản lý Edge
• Tạo kho khoá và kho lưu trữ tin cậy cho Đám mây riêng tư phiên bản 4.17.09 trở xuống

Giới thiệu về kho khoá và kho lưu trữ tin cậy

Kho khoá và kho khoá xác định kho lưu trữ chứng chỉ bảo mật dùng để mã hoá TLS. Điểm khác biệt chính giữa hai loại mã này là vị trí được sử dụng trong quá trình bắt tay TLS:

• Kho khoá chứa một chứng chỉ TLS và khoá riêng tư dùng để xác định thực thể trong quá trình bắt tay TLS.
  
  Trong TLS một chiều, khi một ứng dụng kết nối với điểm cuối TLS trên máy chủ, kho khoá của máy chủ sẽ hiển thị chứng chỉ của máy chủ (chứng chỉ công khai) cho ứng dụng. Sau đó, ứng dụng sẽ xác thực chứng chỉ đó qua một Tổ chức phát hành chứng chỉ (CA), chẳng hạn như Symantec hoặc VeriSign.
  
  Trong TLS hai chiều, cả ứng dụng và máy chủ đều duy trì một kho khoá có chứng chỉ và khoá riêng tư riêng dùng để xác thực lẫn nhau.
• Một truststore (kho tin cậy) chứa các chứng chỉ dùng để xác minh các chứng chỉ nhận được trong quá trình bắt tay TLS.
  
  Trong TLS một chiều, bạn không cần phải sử dụng Truststore nếu chứng chỉ được ký bởi một tổ chức phát hành chứng chỉ (CA) hợp lệ. Nếu chứng chỉ mà ứng dụng TLS nhận được được ký bởi một CA hợp lệ, thì ứng dụng sẽ gửi yêu cầu tới CA để xác thực chứng chỉ. Ứng dụng TLS thường sử dụng một kho lưu trữ tin cậy để xác thực các chứng chỉ tự ký nhận được từ máy chủ TLS hoặc các chứng chỉ không do một CA đáng tin cậy ký. Trong trường hợp này, ứng dụng sẽ điền sẵn các chứng chỉ mà ứng dụng tin tưởng vào kho lưu trữ tin cậy của mình. Sau đó, khi ứng dụng nhận được một chứng chỉ máy chủ, chứng chỉ đến sẽ được xác thực theo các chứng chỉ trong kho tin cậy của chứng chỉ đó.
  
  Ví dụ: ứng dụng TLS kết nối với máy chủ TLS (Bảo mật tầng truyền tải) trong đó máy chủ sử dụng chứng chỉ tự ký. Vì đây là chứng chỉ tự ký nên máy khách không thể xác thực chứng chỉ đó bằng CA. Thay vào đó, ứng dụng sẽ tải trước chứng chỉ tự ký của máy chủ vào kho lưu trữ tin cậy. Sau đó, khi ứng dụng cố gắng kết nối với máy chủ, ứng dụng sẽ sử dụng Truststore để xác thực chứng chỉ nhận được từ máy chủ.
  
  Đối với TLS hai chiều, cả ứng dụng TLS và máy chủ TLS đều có thể sử dụng kho lưu trữ tin cậy. Bạn cần phải có một kho lưu trữ tin cậy khi thực hiện TLS hai chiều khi Edge đóng vai trò là máy chủ TLS (Bảo mật tầng truyền tải).

Chứng chỉ có thể do một tổ chức phát hành chứng chỉ (CA) cấp hoặc có thể tự ký bằng khoá riêng tư mà bạn tạo. Nếu bạn có quyền truy cập vào một CA, hãy làm theo hướng dẫn do CA của bạn cung cấp để tạo khoá và cấp chứng chỉ. Nếu không có quyền truy cập vào một CA, bạn có thể tạo chứng chỉ tự ký bằng một trong nhiều công cụ miễn phí công khai hiện có, chẳng hạn như openssl.

Sử dụng khoá và chứng chỉ dùng thử miễn phí Apigee trong nền tảng đám mây

Đối với tất cả các tổ chức dùng thử miễn phí trên Cloud, Apigee sẽ cung cấp chứng chỉ và khoá dùng thử miễn phí. Các tổ chức dùng thử miễn phí có thể sử dụng chứng chỉ và khoá mặc định này để kiểm thử API, thậm chí là đẩy API lên giai đoạn phát hành chính thức.

Các tổ chức dùng thử miễn phí không thể sử dụng chứng chỉ và khoá của riêng họ. Họ phải sử dụng chứng chỉ và khoá do Apigee cung cấp. Bạn chỉ có thể sử dụng chứng chỉ và khoá của riêng mình sau khi chuyển đổi sang tài khoản trả phí.

Một Edge dành cho khách hàng dùng dịch vụ đám mây có tài khoản trả phí có thể tạo máy chủ ảo trong tổ chức. Tất cả các máy chủ ảo đều phải hỗ trợ TLS, nghĩa là bạn phải có chứng chỉ và khoá và tải chúng lên kho khoá. Tuy nhiên, nếu có tài khoản trả phí và chưa có chứng chỉ và khoá TLS, bạn có thể tạo một máy chủ ảo có sử dụng khoá và chứng chỉ dùng thử miễn phí Apigee. Xem bài viết Định cấu hình máy chủ ảo cho Đám mây để biết thêm thông tin.

Bạn không thể sử dụng chứng chỉ do Apigee cung cấp trong TLS hai chiều với phần phụ trợ. Để định cấu hình TLS hai chiều với phần phụ trợ, bạn phải tải chứng chỉ của riêng mình lên sau khi chuyển đổi sang tài khoản có tính phí.

Điểm khác biệt giữa Đám mây và Đám mây riêng tư

Phiên bản Cloud của Edge và Private Cloud phiên bản 4.18.01 trở lên đã mở rộng những chức năng để làm việc với kho khoá và kho tin cậy không có trong Private Cloud phiên bản 4.17.09 trở về trước. Ví dụ như bạn có thể:

• Sử dụng giao diện người dùng Edge để tạo kho khoá và kho lưu trữ tin cậy
• Sử dụng một bộ API mới để quản lý kho khoá và kho lưu trữ tin cậy

Khi làm việc với kho khoá và kho lưu trữ tin cậy, hãy đảm bảo bạn sử dụng đúng phần trong tài liệu:

• Tạo kho khoá và kho tin cậy bằng giao diện người dùng Edge
• Tạo kho khoá và kho tin cậy bằng API Quản lý Edge
• Tạo kho khoá và kho lưu trữ tin cậy cho Private Cloud phiên bản 4.17.09 trở xuống