KeyStore 和 Truststore

您正在查看 Apigee Edge 說明文件。
查看 Apigee X 說明文件
資訊

如要設定仰賴公開金鑰基礎架構 (TLS) 的功能,您必須建立提供必要金鑰和數位憑證的 KeyStore 和信任儲存庫。

瞭解詳情:

關於 KeyStore 和 Truststore

KeyStore 和 Truststore 會定義用於 TLS 加密的安全性憑證存放區。兩者的主要差異在於,兩者在傳輸層安全標準 (TLS) 握持程序中使用的位置:

  • KeyStore 包含傳輸層安全標準 (TLS) 憑證和私密金鑰,可在傳輸層安全標準 (TLS) 握持期間用於識別實體。

    在單向傳輸層安全標準 (TLS) 中,當用戶端連線至伺服器上的傳輸層安全標準 (TLS) 端點時,伺服器的 KeyStore 會向用戶端提供伺服器的憑證 (公開憑證)。接著,用戶端會透過憑證授權單位 (CA) (例如 Symantec 或 VeriSign) 驗證憑證。

    在雙向傳輸層安全標準 (TLS) 中,用戶端和伺服器會維護 KeyStore,其中包含自己的憑證和用於雙向驗證的私密金鑰。
  • truststore 包含用於驗證傳輸層安全標準 (TLS) 握手程序所收到憑證的憑證。

    在單向傳輸層安全標準 (TLS) 中,如果憑證是由有效的 CA 簽署,則不需要信任儲存庫。如果 TLS 用戶端收到的憑證由有效的 CA 簽署,則用戶端會向 CA 要求驗證憑證。TLS 用戶端通常會使用信任儲存庫來驗證從 TLS 伺服器收到的自行簽署憑證,或是不是由受信任 CA 簽署的憑證。在這種情況下,用戶端會將自己信任的憑證填入其信任儲存庫。然後,當用戶端收到伺服器憑證時,系統會根據其信任儲存庫中的憑證驗證傳入的憑證。

    舉例來說,TLS 用戶端會連線至傳輸層安全標準 (TLS) 伺服器,而伺服器會使用自行簽署的憑證。因為這是自行簽署的憑證,用戶端無法使用 CA 進行驗證。 用戶端改為將伺服器的自行簽署憑證預先載入至其信任儲存庫。接著,用戶端嘗試連線至伺服器時,用戶端會使用信任儲存庫來驗證從伺服器收到的憑證。

    如果是雙向傳輸層安全標準 (TLS),TLS 用戶端和 TLS 伺服器都可以使用信任儲存庫。如果 Edge 做為 TLS 伺服器,在執行雙向 TLS 時,必須使用信任儲存庫。

憑證可由憑證授權單位 (CA) 核發,也可以由您產生的私密金鑰自行簽署。如果您具備 CA 的存取權,請按照 CA 提供的操作說明產生金鑰及核發憑證。如果您無法存取 CA,可以使用眾多公開的免費工具 (例如 openssl) 產生自行簽署憑證。

在 Cloud 中使用 Apigee 免費試用憑證和金鑰

凡是採用 Cloud 免費試用的機構,Apigee 都會提供免費試用憑證和金鑰。 免費試用的機構可以使用這個預設憑證和金鑰來測試 API,甚至可以將 API 推送至實際工作環境。

免費試用的機構無法使用自己的憑證和金鑰。並且必須使用 Apigee 提供的憑證和金鑰。 轉換至付費帳戶後,您只能使用自己的憑證和金鑰。

使用付費帳戶的 Cloud 客戶邊緣可在機構中建立虛擬主機。 所有虛擬主機都必須支援傳輸層安全標準 (TLS),這表示您必須要有憑證和金鑰,並上傳至 KeyStore。不過,如果您有付費帳戶,但尚未擁有 TLS 憑證和金鑰,則可以建立使用 Apigee 免費試用憑證和金鑰的虛擬主機。詳情請參閱「設定雲端的虛擬主機」。

您無法在後端以雙向傳輸層安全標準 (TLS) 使用 Apigee 提供的憑證。如要為後端設定雙向傳輸層安全標準 (TLS),您必須在轉換至付費帳戶後自行上傳憑證。

Cloud 與私有雲之間的差異

Edge 和 Private Cloud 4.18.01 以上版本提供更強大的功能,支援使用 4.17.09 以下版本的 Private Cloud 不支援的 KeyStore 和 Truststore 功能。使用範例如下:

  • 使用 Edge UI 建立 KeyStore 和 Truststore
  • 使用一組新的 API 管理 KeyStore 和 Truststore

使用 KeyStore 和 Truststore 時,請務必採用說明文件中的正確章節: