Trang này được dịch bởi Cloud Translation API.

Tùy chọn định cấu hình TLS

Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến Tài liệu về Apigee X. thông tin

Tài liệu này trình bày thông tin tổng quan về cách bạn định cấu hình TLS trên Edge cho hai chức năng vùng:

Quyền truy cập vào proxy API của bạn bằng ứng dụng API. Sử dụng máy chủ ảo trên Edge Bộ định tuyến để định cấu hình TLS.
Quyền truy cập vào các dịch vụ phụ trợ của Edge. Sử dụng điểm cuối mục tiêu và đích đến trên Edge Message Processor để định cấu hình TLS.

Cả hai loại quyền truy cập này đều xuất hiện dưới đây:

Giới thiệu đặt tuỳ chọn TLS trong máy chủ lưu trữ ảo hoặc thiết bị đầu cuối đích/máy chủ đích

Máy chủ ảo có thể được biểu thị bằng đối tượng XML, ở dạng:

<VirtualHost name="secure">
    ...
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>true</ClientAuthEnabled> 
        <KeyStore>ref://myKeystoreRef</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
        <TrustStore>ref://myTruststoreRef</TrustStore> 
        <IgnoreValidationErrors>false</IgnoreValidationErrors>
    </SSLInfo>
</VirtualHost>

Khu vực của máy chủ ảo mà bạn sửa đổi để định cấu hình TLS được xác định bằng thẻ <SSLInfo>. Bạn sử dụng cùng một thẻ <SSLInfo> để định cấu hình điểm cuối đích hoặc máy chủ mục tiêu.

Bảng sau đây mô tả các phần tử cấu hình TLS được thẻ <SSLInfo> sử dụng:

Yếu tố	Nội dung mô tả
<Enabled>	Bật TLS một chiều giữa Edge và ứng dụng API hoặc giữa Edge và mục tiêu phần phụ trợ. Đối với máy chủ lưu trữ ảo, bạn phải xác định kho khoá có chứa chứng chỉ và chế độ riêng tư .
<ClientAuthEnabled>	Bật TLS hai chiều giữa Edge và ứng dụng API hoặc giữa Edge và mục tiêu phần phụ trợ. Thông thường, để bật TLS hai chiều, bạn phải thiết lập kho tin cậy trên Edge.
<KeyStore>	Kho khoá.
<KeyAlias>	Bí danh được chỉ định khi bạn tải chứng chỉ và khoá riêng tư lên kho khoá.
<TrustStore>	Kho tin cậy.
<IgnoreValidationErrors>	Nếu là true, Edge sẽ bỏ qua lỗi chứng chỉ TLS. Hợp lệ khi định cấu hình TLS cho máy chủ đích và điểm cuối mục tiêu, cũng như khi định cấu hình máy chủ ảo sử dụng 2 chiều TLS (Bảo mật tầng truyền tải). Giá trị mặc định là false. Khi được sử dụng với điểm cuối/máy chủ mục tiêu, nếu hệ thống phụ trợ sử dụng SNI và trả về chứng chỉ có tiêu đề Tên phân biệt (DN) không khớp với tên máy chủ, không có cách nào bỏ qua lỗi và kết nối không thành công.
<CommonName>	Nếu được chỉ định, một giá trị mà tên thông thường của chứng chỉ mục tiêu sẽ được xác thực. Giá trị này chỉ hợp lệ cho các cấu hình TargetEndpoint và TargetServer. Không phải hợp lệ cho các cấu hình VirtualHost. Theo mặc định, giá trị được chỉ định sẽ khớp chính xác với tên thông thường của chứng chỉ đích. Ví dụ: dùng `.myhost.com` làm giá trị cho <CommonName> sẽ chỉ khớp và xác thực tên máy chủ mục tiêu nếu giá trị chính xác `.myhost.com` được chỉ định là tên thông dụng trong chứng chỉ đích. Nếu bạn muốn, Apigee có thể so khớp với ký tự đại diện thông qua thuộc tính `wildcardMatch`. Ví dụ: tên thông thường được chỉ định là `abc.myhost.com` trong chứng chỉ mục tiêu sẽ được so khớp và xác thực nếu <CommonName> được chỉ định như sau: <CommonName wildcardMatch="true">*.myhost.com</CommonName>

Giới thiệu về việc đặt <KeyStore> và <TrustStore> phần tử

Trong ví dụ về máy chủ ảo ở trên, kho khoá và kho tin cậy được chỉ định bằng cách sử dụng tham chiếu, ở dạng:

<KeyStore>ref://myKeystoreRef</KeyStore>
<TrustStore>ref://myTruststoreRef</TrustStore>

Apigee đặc biệt khuyến khích bạn luôn sử dụng tệp tham chiếu đến kho khoá và kho tin cậy. Đáp tham chiếu là một biến chứa tên của kho khoá hoặc kho tin cậy, thay vì chỉ định trực tiếp tên kho khoá. Trong ví dụ này:

myKeystoreRef là tham chiếu chứa tên của kho khoá. Trong ví dụ này, tên của kho khoá là myKeystore.
myTruststoreRef là tham chiếu chứa tên của kho tin cậy. Trong ví dụ này, tên của cửa hàng tin cậy là myTruststore.

Khi một chứng chỉ hết hạn, bạn phải cập nhật máy chủ ảo hoặc thiết bị đầu cuối/máy chủ mục tiêu để chỉ định kho khoá hoặc kho tin cậy chứa chứng chỉ mới. Ưu điểm của tệp đối chiếu là bạn có thể sửa đổi giá trị của tham chiếu để thay đổi kho khoá hoặc kho tin cậy mà không cần phải sửa đổi máy chủ ảo hoặc điểm cuối đích/máy chủ đích:

Đối với khách hàng sử dụng Cloud: Bạn không cần phải thay đổi giá trị của tệp đối chiếu bạn liên hệ với Bộ phận hỗ trợ Apigee Edge.
Đối với khách hàng sử dụng Cloud riêng tư: Việc thay đổi giá trị của tệp đối chiếu không ảnh hưởng yêu cầu bạn khởi động lại các thành phần Edge, chẳng hạn như Bộ định tuyến và Bộ xử lý thư.

Ngoài ra, bạn có thể chỉ định trực tiếp tên kho khoá và tên kho tin cậy:

<KeyStore>myKeystore</KeyStore>
<TrustStore>myTruststore</TrustStore>

Nếu bạn trực tiếp chỉ định tên của kho khoá hoặc kho tin cậy, thì khách hàng của Cloud phải liên hệ với Bộ phận hỗ trợ Apigee Edge và khách hàng Private Cloud phải khởi động lại một số thành phần Edge để cập nhật chứng chỉ.

Lựa chọn thứ ba (chỉ dành cho thiết bị đầu cuối/máy chủ mục tiêu) là sử dụng các biến luồng:

<KeyStore>{ssl.keystore}</KeyStore>
<TrustStore>{ssl.truststore}</TrustStore>

Biến luồng hoạt động với điểm cuối mục tiêu/máy chủ mục tiêu và cho phép bạn cập nhật kho khoá hoặc kho tin cậy như tham chiếu. Tuy nhiên, chúng không hoạt động với máy chủ ảo và yêu cầu bạn chuyển thông tin về kho khoá, bí danh và cửa hàng tin cậy đối với mọi yêu cầu.

Các hạn chế khi sử dụng thông tin tham chiếu đến kho khoá và kho lưu trữ tin cậy

Những khách hàng sử dụng Cloud có tính phí và tất cả khách hàng sử dụng Cloud riêng tư định cấu hình TLS phải xem xét hạn chế sau đây khi sử dụng tệp tham chiếu đến kho khoá và kho lưu trữ uy tín:

Bạn chỉ có thể sử dụng các tệp tham chiếu kho khoá và kho tin cậy trong máy chủ ảo nếu chấm dứt TLS trên bộ định tuyến Apigee.

Nếu bạn có một trình cân bằng tải ở trước Bộ định tuyến Apigee và bạn chấm dứt TLS trên thì bạn không thể sử dụng các tham chiếu kho khoá và Truststore trong máy chủ ảo.

Nếu máy chủ lưu trữ ảo hiện có của bạn sử dụng kho khoá bằng chữ hoặc tên kho tin cậy

Các máy chủ ảo hiện có trên Edge có thể không được định cấu hình để sử dụng tệp tham chiếu cho kho khoá và kho tin cậy. Trong trường hợp này, bạn có thể cập nhật máy chủ ảo để sử dụng tệp tham chiếu.

Lợi thế cho công nghệ đám mây

Để thay đổi máy chủ lưu trữ ảo nhằm sử dụng tệp tham chiếu đến kho khoá, bạn phải làm việc với Hỗ trợ Apigee Edge.
Lợi ích dành cho đám mây riêng tư

Cách chuyển đổi máy chủ ảo để sử dụng tệp tham chiếu:
1. Cập nhật máy chủ ảo để sử dụng tệp tham chiếu.
2. Khởi động lại Bộ định tuyến.
Xem phần "Sửa đổi máy chủ lưu trữ ảo để sử dụng thông tin tham chiếu đến kho khoá và kho tin cậy" trong Định cấu hình truy cập TLS vào một API dành cho Đám mây riêng tư để biết thêm thông tin.

Giới thiệu về việc sử dụng khoá và chứng chỉ dùng thử miễn phí Apigee

Nếu có tài khoản Edge trả phí dành cho Cloud nhưng chưa có chứng chỉ và khoá TLS, thì bạn có thể tạo một máy chủ ảo sử dụng khoá và chứng chỉ dùng thử miễn phí Apigee. Điều đó có nghĩa là bạn có thể tạo máy chủ ảo mà không cần tạo kho khoá trước.

Đối tượng XML xác định máy chủ ảo bằng cách sử dụng khoá và chứng chỉ dùng thử miễn phí Apigee, bỏ qua Các phần tử <KeyStore> và <KeyAlias> rồi thay thế bằng các phần tử Phần tử <UseBuiltInFreeTrialCert>, như minh hoạ dưới đây:

<VirtualHost name="myTLSVHost">
    <HostAliases>
        <HostAlias>myapi.apigee.net</HostAlias>
    </HostAliases>
    <Port>443</Port>
    <SSLInfo>
        <Enabled>true</Enabled>
        <ClientAuthEnabled>false</ClientAuthEnabled>
    </SSLInfo>
    <UseBuiltInFreeTrialCert>true</UseBuiltInFreeTrialCert>
</VirtualHost>

Nếu đang thực hiện TLS hai chiều, bạn vẫn phải đặt phần tử <ClientAuthEnabled> thành true rồi chỉ định kho tin cậy bằng cách sử dụng tham chiếu với phần tử <TrustStore>.

Xem Định cấu hình máy chủ ảo cho Đám mây để tìm hiểu thêm.

Giới thiệu về cách định cấu hình TLS

Hai yếu tố chính quyết định cách bạn thực hiện cấu hình TLS:

Bạn là khách hàng của Edge Cloud hay Private Cloud?
Làm cách nào để cập nhật các chứng chỉ đã hết hạn hoặc hết hạn?

Cấu hình Đám mây và Đám mây riêng tư lựa chọn

Bảng sau đây trình bày các lựa chọn cấu hình cho Đám mây và Đám mây riêng tư khách hàng:

	Đám mây riêng tư	Đám mây
Tổ chức sự kiện trực tuyến	Toàn quyền kiểm soát	Toàn quyền kiểm soát chỉ dành cho các tài khoản trả phí
Máy chủ mục tiêu/điểm cuối	Toàn quyền kiểm soát	Toàn quyền kiểm soát

Khách hàng Private Cloud có toàn quyền kiểm soát cấu hình của cả máy chủ ảo và thiết bị đầu cuối/máy chủ mục tiêu. Quyền kiểm soát đó bao gồm cả khả năng tạo và xoá tài khoản ảo máy chủ lưu trữ và đặt tất cả thuộc tính trên máy chủ ảo.

Tất cả khách hàng sử dụng Cloud, cả trả phí lẫn đánh giá, đều có toàn quyền kiểm soát việc định cấu hình thiết bị đầu cuối/máy chủ mục tiêu. Ngoài ra, khách hàng sử dụng Cloud có tính phí có toàn quyền kiểm soát máy chủ ảo, bao gồm cả các thuộc tính TLS.

Xử lý các chứng chỉ đã hết hạn

Nếu chứng chỉ TLS hết hạn hoặc nếu cấu hình hệ thống của bạn thay đổi để chứng chỉ không còn hợp lệ, thì bạn cần cập nhật chứng chỉ. Khi định cấu hình TLS cho máy chủ ảo hoặc thiết bị đầu cuối đích/máy chủ mục tiêu, bạn nên quyết định cách mình sẽ hoạt động cập nhật đó trước khi thực hiện bất kỳ cấu hình nào.

Khi một chứng chỉ hết hạn

Trên Edge, bạn lưu trữ các chứng chỉ ở một trong hai nơi:

Kho khoá – Chứa chứng chỉ TLS và khoá riêng tư dùng để nhận dạng thực thể trong quá trình bắt tay TLS.
Truststore – Chứa các chứng chỉ đáng tin cậy trên một ứng dụng TLS dùng để xác thực chứng chỉ của máy chủ TLS được trình bày cho ứng dụng. Những chứng chỉ này thường các chứng chỉ tự ký, chứng chỉ do một CA đáng tin cậy ký hoặc các chứng chỉ được dùng theo phương thức hai chiều TLS (Bảo mật tầng truyền tải).

Khi một chứng chỉ trong kho khoá hết hạn và bạn đang sử dụng tệp tham chiếu đến kho khoá, bạn không thể tải chứng chỉ mới lên kho khoá. Thay vào đó, bạn sẽ:

Tạo kho khoá mới.
Tải chứng chỉ mới lên kho khoá mới bằng cùng một tên bí danh như trong kho khoá cũ.
Cập nhật tệp tham chiếu trong máy chủ lưu trữ ảo hoặc máy chủ mục tiêu/điểm cuối đích để sử dụng kho khoá.

Khi một chứng chỉ trong kho tin cậy hết hạn và bạn đang sử dụng tham chiếu đến đáng tin cậy, bạn:

Tạo kho tin cậy mới.
Tải chứng chỉ mới lên kho tin cậy mới. Tên bí danh không quan trọng đối với kho tin cậy. Lưu ý: Nếu chứng chỉ là một phần của chuỗi, thì bạn phải tạo một tệp duy nhất chứa tất cả các chứng chỉ và tải tệp đó lên một bí danh duy nhất hoặc tải tất cả các chứng chỉ trong chuỗi riêng biệt với kho tin cậy bằng cách sử dụng một bí danh khác nhau cho mỗi chứng chỉ.
Cập nhật tệp tham chiếu trong máy chủ lưu trữ ảo hoặc máy chủ mục tiêu/điểm cuối đích để sử dụng kho tin cậy.

Tóm tắt các phương thức cập nhật giấy tờ tuỳ thân đã hết hạn chứng chỉ

Phương thức mà bạn sử dụng để chỉ định tên của kho khoá và kho tin cậy trong máy chủ ảo hoặc điểm cuối/máy chủ mục tiêu đích xác định cách bạn thực hiện quá trình cập nhật chứng chỉ. Bạn có thể sử dụng:

Tài liệu tham khảo
Tên trực tiếp
Biến luồng

Mỗi phương pháp trong số này có các hậu quả khác nhau đối với quá trình cập nhật, như được mô tả trong bảng sau. Như bạn có thể thấy, tệp đối chiếu mang lại tính linh hoạt cao nhất cho cả Cloud và Khách hàng của Private Cloud:

Loại cấu hình	Cách cập nhật/thay thế chứng chỉ	Đám mây riêng tư	Đám mây
Tệp đối chiếu (Nên dùng)	Đối với kho khoá, hãy tạo kho khoá mới với tên mới và bí danh bằng cùng một tên với bí danh cũ. Đối với kho tin cậy, hãy tạo kho tin cậy với một tên mới.	Cập nhật tệp tham chiếu đến kho khoá hoặc kho tin cậy. Không cần khởi động lại Bộ định tuyến hoặc Trình xử lý thư.	Cập nhật tệp tham chiếu đến kho khoá hoặc kho tin cậy. Bạn không cần liên hệ với Nhóm hỗ trợ của Apigee.
Biến luồng (chỉ điểm cuối mục tiêu)	Đối với kho khoá, hãy tạo kho khoá mới với tên mới và bí danh bằng có cùng tên hoặc tên mới. Đối với kho tin cậy, hãy tạo kho tin cậy với một tên mới.	Truyền var luồng được cập nhật trên mỗi yêu cầu bằng tên của kho khoá, bí danh mới hoặc kho tin cậy. Không cần khởi động lại Bộ định tuyến hoặc Trình xử lý thư.	Truyền var luồng được cập nhật trên mỗi yêu cầu bằng tên của kho khoá, bí danh mới hoặc kho tin cậy. Bạn không cần liên hệ với Nhóm hỗ trợ của Apigee.
Trực tiếp	Tạo một kho khoá, bí danh, cửa hàng tin cậy mới.	Cập nhật máy chủ ảo và khởi động lại Bộ định tuyến. Nếu kho tin cậy được một điểm cuối/máy chủ mục tiêu sử dụng, hãy triển khai lại proxy.	Đối với máy chủ ảo, hãy liên hệ với Bộ phận hỗ trợ Apigee Edge để khởi động lại Bộ định tuyến. Nếu kho tin cậy được một điểm cuối/máy chủ mục tiêu sử dụng, hãy triển khai lại proxy.
Trực tiếp	Xoá kho khoá hoặc kho khoá tin cậy rồi tạo lại kho khoá hoặc kho lưu trữ đó bằng cùng một tên.	Không cần cập nhật máy chủ ảo, không cần khởi động lại Bộ định tuyến. Tuy nhiên, không gửi được các yêu cầu API cho đến khi thiết lập kho khoá và bí danh mới. Nếu kho khoá được sử dụng cho TLS hai chiều giữa Edge và dịch vụ phụ trợ, hãy khởi động lại Trình xử lý tin nhắn.	Không cần cập nhật máy chủ ảo. Tuy nhiên, các yêu cầu API sẽ không thực hiện được cho đến khi có kho khoá mới và bí danh đã được đặt. Nếu kho khoá được sử dụng cho TLS hai chiều giữa Edge và dịch vụ phụ trợ, liên hệ với Bộ phận hỗ trợ Apigee Edge để khởi động lại Bộ xử lý thư.
Trực tiếp	(Chỉ đối với kho tin cậy), hãy tải chứng chỉ mới lên kho tin cậy.	Nếu kho tin cậy được một máy chủ ảo sử dụng, hãy khởi động lại Bộ định tuyến. Nếu kho tin cậy được một điểm cuối mục tiêu/máy chủ mục tiêu sử dụng, hãy khởi động lại ứng dụng Message Bộ xử lý.	Đối với máy chủ ảo, hãy liên hệ với Bộ phận hỗ trợ Apigee Edge để khởi động lại Bộ định tuyến Edge. Nếu kho tin cậy được một điểm cuối mục tiêu/máy chủ mục tiêu sử dụng, hãy liên hệ với Bộ phận hỗ trợ Apigee Edge để khởi động lại Bộ xử lý thư.