تمت ترجمة هذه الصفحة بواسطة Cloud Translation API‏.

خيارات ضبط بروتوكول أمان طبقة النقل

يتم الآن عرض مستندات Apigee Edge.
انتقِل إلى مستند Apigee X. المعلومات

يتضمّن هذا المستند نظرة عامة حول كيفية ضبط بروتوكول أمان طبقة النقل (TLS) على Edge لمجالَين وظيفيين:

وصول عملاء واجهة برمجة التطبيقات إلى الخوادم الوكيلة لواجهة برمجة التطبيقات. استخدِم المضيفات الافتراضية على جهاز توجيه Edge لضبط بروتوكول أمان طبقة النقل (TLS).
الوصول إلى خدمات الخلفية من خلال Edge استخدِم نقاط النهاية المستهدفة والخوادم المستهدفة في "معالج رسائل Edge" لضبط بروتوكول أمان طبقة النقل (TLS).

في ما يلي نوعان من أذونات الوصول:

لمحة عن إعداد خيارات بروتوكول أمان طبقة النقل (TLS) في مضيف افتراضي أو خادم نقطة نهاية/هدف مستهدف

يمكن تمثيل المضيف الظاهري بكائن XML على النحو التالي:

<VirtualHost name="secure">
    ...
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>true</ClientAuthEnabled> 
        <KeyStore>ref://myKeystoreRef</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
        <TrustStore>ref://myTruststoreRef</TrustStore> 
        <IgnoreValidationErrors>false</IgnoreValidationErrors>
    </SSLInfo>
</VirtualHost>

يتم تحديد منطقة المضيف الافتراضي التي تعدِّلها لضبط بروتوكول أمان طبقة النقل (TLS) من خلال العلامة <SSLInfo>. ويمكنك استخدام العلامة <SSLInfo> نفسها لضبط نقطة النهاية المستهدفة أو الخادم الهدف.

يوضِّح الجدول التالي عناصر ضبط بروتوكول أمان طبقة النقل (TLS) التي تستخدمها العلامة <SSLInfo>:

العنصر	الوصف
<مفعّل>	يتم تفعيل بروتوكول أمان طبقة النقل (TLS) الأحادي الاتجاه بين Edge وبرنامج واجهة برمجة التطبيقات، أو بين Edge والخلفية المستهدفة. بالنسبة إلى المضيف الظاهري، يجب تحديد ملف تخزين مفاتيح يحتوي على الشهادة والمفتاح الخاص.
<ClientAuthEnabled>	يتم تفعيل بروتوكول أمان طبقة النقل (TLS) الثنائي الاتجاه بين Edge وعميل واجهة برمجة التطبيقات، أو بين Edge والخلفية المستهدفة. عادةً ما يتطلب تفعيل بروتوكول أمان طبقة النقل (TLS) الثنائي الاتجاه إعداد مخزن الثقة على Edge.
<KeyStore>	ملف تخزين المفاتيح.
<KeyAlias>	الاسم المستعار الذي تم تحديده عندما حمّلت شهادة ومفتاحًا خاصًا إلى ملف تخزين المفاتيح.
<TrustStore>	متجر الثقة.
<IgnoreValidationErrors>	في حال اختيار القيمة "صحيح"، يتجاهل Edge أخطاء شهادة TLS. هذه الميزة صالحة عند ضبط بروتوكول أمان طبقة النقل (TLS) للخوادم الهدف ونقاط النهاية المستهدفة، وعند ضبط المضيفات الافتراضية التي تستخدم بروتوكول أمان طبقة النقل (TLS) الثنائي الاتجاه. القيمة التلقائية هي false. عند استخدام هذه الميزة مع نقطة نهاية/خادم مستهدف، إذا كان نظام الخلفية يستخدم إشارة اسم الخادم (SNI) وأرجع شهادة ذات اسم مميز لا يتطابق مع اسم المضيف (DN)، لن تكون هناك طريقة لتجاهل الخطأ وتعذُّر الاتصال.
<CommonName>	إذا تم تحديدها، يتم التحقق من الاسم الشائع للشهادة المستهدفة. هذه القيمة صالحة فقط لعمليات ضبط TargetEndpoint وTargetServer. وهو غير صالح لتهيئة VirtualHost. تتم تلقائيًا مطابقة القيمة المحدّدة تمامًا مع الاسم الشائع للشهادة المستهدفة. على سبيل المثال، سيؤدي استخدام `.myhost.com` كقيمة للحقل <CommonName> إلى مطابقة اسم المضيف الهدف والتحقق منه فقط إذا تم تحديد القيمة الدقيقة `.myhost.com` كاسم شائع في الشهادة الهدف. ويمكن لخدمة Apigee إجراء المطابقة باستخدام أحرف البدل اختياريًا باستخدام السمة `wildcardMatch`. على سبيل المثال، ستتم مطابقة اسم شائع تم تحديده على أنه `abc.myhost.com` في شهادة هدف والتحقق من صحته إذا تم تحديد العنصر <CommonName> على النحو التالي: <CommonName wildcardMatch="true">*.myhost.com</CommonName>

لمحة عن إعداد العنصرَين <KeyStore> و <TrustStore>

في مثال المضيف الافتراضي أعلاه، يتم تحديد ملف تخزين المفاتيح وملف Truststore باستخدام references، بالصيغة التالية:

<KeyStore>ref://myKeystoreRef</KeyStore>
<TrustStore>ref://myTruststoreRef</TrustStore>

تنصح Apigee بشدة باستخدام المراجع إلى ملف تخزين المفاتيح وTruststore دائمًا. المرجع هو متغيّر يحتوي على اسم ملف تخزين المفاتيح أو ملف تخزين الثقة، بدلاً من تحديد اسم ملف تخزين المفاتيح مباشرةً. في هذا المثال:

myKeystoreRef هو مرجع يحتوي على اسم ملف تخزين المفاتيح. في هذا المثال، يكون اسم ملف تخزين المفاتيح هو myKeystore.
إنّ myTruststoreRef هي مرجع يحتوي على اسم Truststore. في هذا المثال، يكون اسم متجر Truststore هو myTruststore.

عند انتهاء صلاحية الشهادة، يجب تعديل المضيف الافتراضي أو خادم نقطة النهاية/الهدف المستهدف لتحديد ملف تخزين المفاتيح أو ملف تخزين الثقة الذي يحتوي على الشهادة الجديدة. وتكمن ميزة المرجع في أنّه يمكنك تعديل قيمة المرجع لتغيير ملف تخزين المفاتيح أو ملف تخزين الثقة بدون الحاجة إلى تعديل المضيف الافتراضي أو نقطة النهاية/الخادم المستهدف نفسه:

بالنسبة إلى عملاء Cloud: لا يتطلب تغيير قيمة المرجع التواصل مع فريق دعم Apigee Edge.
بالنسبة إلى عملاء Private Cloud: لا يتطلب تغيير قيمة المرجع إعادة تشغيل مكوّنات Edge، مثل أجهزة التوجيه ومعالجات الرسائل.

بدلاً من ذلك، يمكنك تحديد اسم ملف تخزين المفاتيح واسم ملف الثقة مباشرةً:

<KeyStore>myKeystore</KeyStore>
<TrustStore>myTruststore</TrustStore>

إذا حددت بشكل مباشر اسم ملف تخزين المفاتيح أو ملف تخزين الثقة، على عملاء Cloud التواصل مع فريق دعم Apigee Edge، وعلى عملاء Private Cloud إعادة تشغيل بعض مكوّنات Edge لتعديل الشهادة.

هناك الخيار الثالث، بالنسبة إلى نقاط النهاية المستهدفة/الخادم المستهدف فقط، هو استخدام متغيرات التدفق:

<KeyStore>{ssl.keystore}</KeyStore>
<TrustStore>{ssl.truststore}</TrustStore>

تعمل متغيّرات التدفق مع نقاط النهاية/الخوادم المستهدفة وتتيح لك تعديل ملف تخزين المفاتيح أو ملف الثقة مثل المراجع. ومع ذلك، فإنّ هذه البرامج لا تعمل مع المضيفات الافتراضية وتطلب منك تقديم معلومات حول ملف تخزين المفاتيح والاسم المستعار ومخزن الثقة في كل طلب.

القيود المفروضة على استخدام الإشارات إلى ملفات تخزين المفاتيح وتخزين الثقة

على عملاء السحابة الإلكترونية المدفوعة وجميع عملاء Private Cloud الذين يضبطون بروتوكول أمان طبقة النقل (TLS)، مراعاة القيود التالية عند استخدام مراجع لملفات تخزين المفاتيح ومخازن الثقة:

لا يمكنك استخدام مراجع ملف تخزين المفاتيح وملف تخزين الثقة في المضيفات الافتراضية إلا في حال إنهاء بروتوكول أمان طبقة النقل (TLS) في أجهزة توجيه Apigee.

إذا كان لديك جهاز موازنة التحميل أمام أجهزة توجيه Apigee، وتم إنهاء بروتوكول أمان طبقة النقل (TLS) على جهاز موازنة التحميل، لن تتمكّن من استخدام مراجع ملف تخزين المفاتيح وملف Truststore في المضيفات الافتراضية.

إذا كان المضيف الافتراضي الحالي يستخدم اسمًا حرفيًا لملف تخزين المفاتيح أو ملف موثوق به

قد لا يتم ضبط المضيفات الافتراضية الحالية على Edge لاستخدام مراجع لملفات تخزين المفاتيح ومخازن الثقة. في هذه الحالة، يمكنك تحديث المضيف الظاهري لاستخدام مرجع.

شبكة الحافة للسحابة الإلكترونية

لتغيير المضيف الافتراضي لاستخدام مرجع إلى ملف تخزين المفاتيح، يجب العمل مع فريق دعم Apigee Edge.
الحد الأقصى للسحابة الإلكترونية الخاصة

لتحويل المضيف الافتراضي إلى مرجع:
1. يُرجى تعديل المضيف الظاهري لاستخدام مرجع.
2. أعِد تشغيل أجهزة التوجيه.
يمكنك الاطّلاع على "تعديل مضيف افتراضي لاستخدام مراجع إلى ملف تخزين المفاتيح وملف Truststore" في ضبط الوصول عبر بروتوكول أمان طبقة النقل (TLS) إلى واجهة برمجة تطبيقات في السحابة الإلكترونية الخاصة لمزيد من المعلومات.

لمحة عن استخدام مفتاح وشهادة الفترة التجريبية المجانية من Apigee

إذا كان لديك حساب مدفوع على Edge على Cloud ولم يكن لديك حتى الآن شهادة ومفتاح TLS، يمكنك إنشاء مضيف افتراضي يستخدم شهادة ومفتاح الفترة التجريبية المجانية من Apigee. وهذا يعني أنّه يمكنك إنشاء المضيف الافتراضي بدون إنشاء ملف تخزين أولاً.

إنّ عنصر XML الذي يحدّد المضيف الافتراضي باستخدام مفتاح وشهادة الإصدار التجريبي المجاني من Apigee يتم استبعاد العنصرَين <KeyStore> و<KeyAlias> واستبدالهما بالعنصر <UseBuiltInFreeTrialCert>، كما هو موضّح أدناه:

<VirtualHost name="myTLSVHost">
    <HostAliases>
        <HostAlias>myapi.apigee.net</HostAlias>
    </HostAliases>
    <Port>443</Port>
    <SSLInfo>
        <Enabled>true</Enabled>
        <ClientAuthEnabled>false</ClientAuthEnabled>
    </SSLInfo>
    <UseBuiltInFreeTrialCert>true</UseBuiltInFreeTrialCert>
</VirtualHost>

إذا كنت تنفّذ بروتوكول أمان طبقة النقل (TLS) الثنائي الاتجاه، يجب ضبط العنصر <ClientAuthEnabled> على true، وتحديد مخزن الثقة باستخدام مرجع مع العنصر <TrustStore>.

راجع إعداد المضيفات الافتراضية في السحابة الإلكترونية لمزيد من المعلومات.

لمحة عن ضبط بروتوكول أمان طبقة النقل (TLS)

هناك عاملان رئيسيان يحدّدان كيفية تنفيذ ضبط بروتوكول أمان طبقة النقل (TLS):

هل أنت عميل Edge Cloud أو Private Cloud؟
كيف سيتم تعديل الشهادات المنتهية الصلاحية أو المنتهية الصلاحية؟

خيارات إعداد Cloud و Private Cloud

يعرض الجدول التالي خيارات الضبط المختلفة لعملاء Cloud و Private Cloud الخاصَّين:

	السحابة الإلكترونية الخاصة	Google Cloud
المضيف الافتراضي	التحكّم الكامل	التحكّم الكامل للحسابات المدفوعة فقط
نقطة النهاية المستهدَفة/خادم الاستهداف	التحكّم الكامل	التحكّم الكامل

يمكن لعملاء Private Cloud التحكّم بشكل كامل في إعدادات كل من المضيفين الافتراضيين والخوادم المستهدفة/النقاط النهائية. ويشمل عنصر التحكم هذا إمكانية إنشاء مضيفات افتراضية وحذفها، وتعيين كل الخصائص على مضيف افتراضي.

يتحكّم جميع عملاء Cloud، سواء كانت مدفوعة أو تقييمية، في ضبط إعدادات نقاط النهاية/الخوادم المستهدفة. بالإضافة إلى ذلك، يتمتع عملاء Cloud الذين يدفعون مقابل الخدمة بالتحكم الكامل في المضيفات الافتراضية، بما في ذلك مواقع بروتوكول أمان طبقة النقل (TLS).

التعامل مع الشهادات المنتهية الصلاحية

إذا انتهت صلاحية شهادة بروتوكول أمان طبقة النقل (TLS)، أو إذا تغيّرت إعدادات النظام ولم تعُد الشهادة صالحة، عليك تعديل الشهادة. عند ضبط بروتوكول أمان طبقة النقل لمضيف افتراضي أو خادم نقطة نهاية/هدف مستهدف، يجب أن تحدّد طريقة تنفيذ هذا التحديث قبل ضبط أي إعدادات.

ملاحظة: لا يمكنك تعديل ملف تخزين مفاتيح تشفير حالي أو ملف تخزين موثوق به لإضافة شهادة جديدة. يجب إنشاء ملف تخزين مفاتيح/ملف تخزين موثوق به جديد عند تعديل إحدى الشهادات. عليك عادةً إنشاء ملف تخزين المفاتيح أو ملف تخزين موثوق به جديد وتحميل الشهادة الجديدة قبل انتهاء صلاحية ملف تخزين المفاتيح القديم/المخزن القديم. يتيح لك هذا الإجراء اختبار ملف تخزين المفاتيح/ملف تخزين المفاتيح الموثوق به الجديد والعودة إلى ملف تخزين المفاتيح القديم/ملف تخزين موثوق به في حال حدوث أي مشاكل.

عند انتهاء صلاحية الشهادة

على Edge، يتم تخزين الشهادات في مكان من مكانين:

ملف تخزين المفاتيح: يحتوي على شهادة بروتوكول أمان طبقة النقل (TLS) والمفتاح الخاص اللذان يُستخدمان لتحديد الكيان أثناء عملية تأكيد الاتصال من خلال بروتوكول أمان طبقة النقل (TLS).
Truststore: يحتوي على شهادات موثوق بها على عميل بروتوكول أمان طبقة النقل (TLS) يتم استخدامه للتحقّق من صحة شهادة خادم بروتوكول أمان طبقة النقل (TLS) المقدّمة للعميل. وتكون هذه الشهادات عادةً شهادات موقَّعة ذاتيًا أو شهادات موقَّعة من مرجع تصديق موثوق به أو شهادات يتم استخدامها كجزء من بروتوكول أمان طبقة النقل (TLS) الثنائي الاتجاه.

عندما تنتهي صلاحية شهادة في ملف تخزين المفاتيح، وكنت تستخدم مرجعًا إلى ملف تخزين المفاتيح، لا يمكنك تحميل شهادة جديدة إلى ملف تخزين المفاتيح. بدلاً من ذلك، يمكنك:

أنشِئ ملف تخزين مفاتيح جديدًا.
حمِّل الشهادة الجديدة إلى ملف تخزين المفاتيح الجديد باستخدام الاسم البديل نفسه لملف تخزين المفاتيح القديم.
عدِّل المرجع في المضيف الافتراضي أو الخادم الهدف/نقطة النهاية المستهدفة لاستخدام ملف تخزين المفاتيح الجديد.

عندما تنتهي صلاحية شهادة في Truststore وكنت تستخدم مرجعًا إلى Truststore، عليك:

أنشِئ متجرًا موثوقًا به جديدًا.
حمِّل الشهادة الجديدة إلى Truststore الجديد. لا يُعدّ الاسم المستعار للبريد الإلكتروني مهمًا لمتاجر الثقة. ملاحظة: إذا كانت الشهادة جزءًا من سلسلة، عليك إما إنشاء ملف واحد يحتوي على جميع الشهادات وتحميل هذا الملف إلى اسم مستعار واحد، أو تحميل جميع الشهادات الموجودة في السلسلة بشكل منفصل إلى Truststore باستخدام اسم مستعار مختلف لكل شهادة.
عدِّل المرجع في المضيف الافتراضي أو الخادم الهدف/نقطة النهاية المستهدفة لاستخدام Truststore الجديد.

ملخّص طرق تعديل شهادة منتهية الصلاحية

إنّ الطريقة التي تستخدمها لتحديد اسم ملف تخزين المفاتيح وملف Truststore في المضيف الافتراضي أو خادم نقطة النهاية/الوجهة المستهدفة تحدِّد طريقة إجراء تحديث الشهادة. يمكنك استخدام:

المراجع
الأسماء المباشرة
متغيرات التدفق

لكل طريقة من هذه الطرق تداعيات مختلفة على عملية التحديث، كما هو موضّح في الجدول التالي. كما يتّضح مما سبق، توفّر المراجع أكبر قدر من المرونة لعملاء Cloud و Private Cloud:

نوع الإعداد	كيفية تعديل الشهادة أو استبدالها	السحابة الإلكترونية الخاصة	Google Cloud
المرجع (يُنصح به)	بالنسبة إلى ملف تخزين المفاتيح، عليك إنشاء ملف تخزين جديد باستخدام اسم جديد واسم مستعار يحمل الاسم نفسه كاسم مستعار قديم. بالنسبة إلى المتاجر الموثوق بها، أنشِئ متجرًا موثوقًا به باسم جديد.	عدِّل المرجع إلى ملف تخزين المفاتيح أو ملف تخزين الثقة. لا يلزم إعادة تشغيل جهاز التوجيه أو معالج الرسائل.	عدِّل المرجع إلى ملف تخزين المفاتيح أو ملف تخزين الثقة. لا حاجة إلى التواصل مع فريق دعم Apigee.
متغيرات التدفق (نقطة النهاية المستهدفة فقط)	بالنسبة إلى ملف تخزين المفاتيح، يجب إنشاء ملف تخزين جديد باسم جديد واسم مستعار يحمل الاسم نفسه أو باسم جديد. بالنسبة إلى المتاجر الموثوق بها، أنشِئ متجرًا موثوقًا به باسم جديد.	مرِّر تغيير التدفق المُعدَّل في كل طلب باستخدام اسم ملف تخزين المفاتيح الجديد أو العنوان البديل أو مخزن الثقة. لا يلزم إعادة تشغيل جهاز التوجيه أو معالج الرسائل.	مرِّر تغيير التدفق المُعدَّل في كل طلب باستخدام اسم ملف تخزين المفاتيح الجديد أو العنوان البديل أو مخزن الثقة. لا حاجة إلى التواصل مع فريق دعم Apigee.
مباشرة	أنشِئ ملف تخزين مفاتيح جديدًا أو اسم مستعار أو ملف Truststore.	يُرجى تحديث المضيف الظاهري وإعادة تشغيل أجهزة التوجيه. إذا كان خادم Truststore يستخدم نقطة نهاية/خادم مستهدف، عليك إعادة نشر الخادم الوكيل.	بالنسبة إلى المضيفات الافتراضية، يُرجى التواصل مع فريق دعم Apigee Edge لإعادة تشغيل أجهزة التوجيه. إذا كان خادم Truststore يستخدم نقطة نهاية/خادم مستهدف، عليك إعادة نشر الخادم الوكيل.
مباشرة	احذف ملف تخزين المفاتيح أو ملف تخزين الثقة وأعِد إنشائه بالاسم نفسه.	لا حاجة إلى تحديث المضيف الظاهري ولا حاجة إلى إعادة تشغيل جهاز التوجيه. ومع ذلك، تتعذّر طلبات البيانات من واجهة برمجة التطبيقات إلى أن يتم ضبط ملف تخزين المفاتيح الجديد والعنوان البديل. إذا تم استخدام ملف تخزين المفاتيح مع بروتوكول أمان طبقة النقل (TLS) الثنائي الاتجاه بين Edge وخدمة الخلفية، أعِد تشغيل معالجات الرسائل.	ليس عليك تحديث المضيف الظاهري. ومع ذلك، تتعذّر طلبات البيانات من واجهة برمجة التطبيقات إلى أن يتم تحديد ملف تخزين المفاتيح الجديد والاسم المستعار الجديد. إذا تم استخدام ملف تخزين المفاتيح مع بروتوكول أمان طبقة النقل (TLS) الثنائي الاتجاه بين Edge وخدمة الخلفية، تواصَل مع فريق دعم Apigee Edge لإعادة تشغيل معالِجات الرسائل.
مباشرة	بالنسبة إلى Truststore فقط، حمِّل شهادة جديدة إلى Truststore.	إذا كان مضيف افتراضي يستخدم المخزن الموثوق به، أعِد تشغيل أجهزة التوجيه. إذا كان Truststore يستخدم خادم نقطة نهاية/خادم مستهدف، أعِد تشغيل معالِجات الرسائل.	بالنسبة إلى المضيفات الافتراضية، يُرجى التواصل مع فريق دعم Apigee Edge لإعادة تشغيل أجهزة توجيه Edge. في حال استخدام Truststore لنقطة نهاية أو خادم مستهدف، يُرجى التواصل مع فريق دعم Apigee Edge لإعادة تشغيل معالِجات الرسائل.