تمت ترجمة هذه الصفحة بواسطة Cloud Translation API‏.

خيارات ضبط بروتوكول أمان طبقة النقل

أنت تعرض مستندات Apigee Edge.
انتقل إلى مستندات Apigee X. معلومات

يحتوي هذا المستند على نظرة عامة حول كيفية تهيئة بروتوكول أمان طبقة النقل (TLS) على Edge لاثنين من الوظائف المناطق:

وصول عملاء واجهة برمجة التطبيقات إلى الخوادم الوكيلة لواجهة برمجة التطبيقات استخدام المضيفات الافتراضية على Edge جهاز التوجيه لضبط بروتوكول أمان طبقة النقل (TLS)
الوصول إلى خدماتك الخلفية من خلال Edge استخدام نقاط النهاية المستهدفة والهدف الخوادم على معالج الرسائل Edge لضبط بروتوكول أمان طبقة النقل (TLS).

يتم توضيح كلا نوعَي الوصول هذين أدناه:

لمحة عامة إعداد خيارات بروتوكول أمان طبقة النقل (TLS) في مضيف افتراضي أو نقطة نهاية/خادم مستهدف

يمكن تمثيل المضيف الظاهري بواسطة كائن XML بالصيغة:

<VirtualHost name="secure">
    ...
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>true</ClientAuthEnabled> 
        <KeyStore>ref://myKeystoreRef</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
        <TrustStore>ref://myTruststoreRef</TrustStore> 
        <IgnoreValidationErrors>false</IgnoreValidationErrors>
    </SSLInfo>
</VirtualHost>

ويتم تحديد منطقة المضيف الظاهري التي تعدّلها لتكوين بروتوكول أمان طبقة النقل (TLS) من خلال العلامة <SSLInfo>. يمكنك استخدام نفس العلامة <SSLInfo> لتهيئة نقطة النهاية المستهدفة أو الخادم الهدف.

يصف الجدول التالي عناصر تهيئة بروتوكول أمان طبقة النقل (TLS) التي تستخدمها العلامة <SSLInfo>:

العنصر	الوصف
<Enabled>	تفعِّل بروتوكول أمان طبقة النقل (TLS) أحادي الاتجاه بين Edge وعميل واجهة برمجة التطبيقات، أو بين Edge والهدف الخلفية. بالنسبة إلى المضيف الظاهري، يجب تحديد ملف تخزين مفاتيح يتضمن شهادة المفتاح والمفتاح الخاص المفتاح.
<ClientAuthEnabled>	تفعِّل بروتوكول أمان طبقة النقل (TLS) ثنائي الاتجاه بين Edge وعميل واجهة برمجة التطبيقات، أو بين Edge والهدف الخلفية. عادةً ما يتطلب تفعيل بروتوكول أمان طبقة النقل (TLS) الثنائي الاتجاه إعداد متجر موثوق به على Edge.
<KeyStore>	ملف تخزين المفاتيح.
<KeyAlias>	الاسم المستعار الذي تم تحديده عند تحميل شهادة ومفتاح خاص إلى ملف تخزين المفاتيح.
<TrustStore>	Truststore.
<IgnoreValidationErrors>	في حال الضبط على "صحيح"، يتجاهل متصفّح Edge أخطاء شهادة بروتوكول أمان طبقة النقل (TLS). صالحة عند تهيئة بروتوكول أمان طبقة النقل (TLS) لـ الخوادم المستهدفة ونقاط النهاية المستهدفة، وعند تهيئة المضيفات الافتراضية التي تستخدم ثنائية الاتجاه بروتوكول أمان طبقة النقل (TLS). القيمة التلقائية هي false. عند الاستخدام مع نقطة نهاية مستهدفة/خادم مستهدف، إذا كان نظام الخلفية يستخدم إشارة اسم الخادم (SNI) ويعرض شهادة على أن يكون الاسم المميز (DN) للموضوع لا يتطابق مع اسم المضيف، فلا توجد طريقة لتجاهل الخطأ وإخفاق الاتصال.
<CommonName>	إذا تم تحديد قيمة، يتم التحقّق من صحة الاسم الشائع للشهادة الهدف بناءً عليها. هذه القيمة صالحة فقط لإعدادات ضبط TargetEndpoint وTargetServer. لا صالحة لتهيئات VirtualHost. بشكلٍ تلقائي، تتم مطابقة القيمة المحدّدة تمامًا مع الاسم الشائع للشهادة الهدف. على سبيل المثال، استخدام `.myhost.com` كقيمة لـ <CommonName> سوف تطابق فقط التحقق من صحة اسم المضيف المستهدف إذا تم تحديد القيمة الدقيقة `.myhost.com` كاسم شائع في الشهادة المستهدفة. اختياريًا، يمكن في Apigee تنفيذ المطابقة باستخدام أحرف البدل باستخدام السمة `wildcardMatch`. على سبيل المثال، ستتم مطابقة اسم شائع محدّد على أنه `abc.myhost.com` في شهادة هدف والتحقّق من صحته. إذا كانت <CommonName> على النحو التالي: <CommonName wildcardMatch="true">*.myhost.com</CommonName>

نبذة عن إعداد <KeyStore> و<TrustStore> العناصر

في مثال المضيف الظاهري أعلاه، يتم تحديد ملف تخزين المفاتيح والمخزن الموثوق به باستخدام المراجع بالشكل:

<KeyStore>ref://myKeystoreRef</KeyStore>
<TrustStore>ref://myTruststoreRef</TrustStore>

تنصح Apigee بشدة بأن تستخدم دائمًا الإشارات إلى ملف تخزين المفاتيح وملف تخزين الثقة. حاسمة المرجع هو متغير يحتوي على اسم ملف تخزين المفاتيح أو ملف تخزين الثقة، بدلاً من وتحديد اسم ملف تخزين المفاتيح مباشرةً. في هذا المثال:

إنّ myKeystoreRef هو مرجع يحتوي على اسم ملف تخزين المفاتيح. في هذا المثال، يكون اسم ملف تخزين المفاتيح هو myKeystore.
إنّ myTruststoreRef هو مرجع يحتوي على اسم Truststore. في هذا المثال، يكون اسم Truststore هو myTruststore.

عند انتهاء صلاحية شهادة، يجب تعديل المضيف الافتراضي أو نقطة النهاية المستهدفة/خادم الهدف إلى تحديد ملف تخزين المفاتيح أو ملف تخزين الثقة الذي يحتوي على الشهادة الجديدة. تتمثل ميزة المرجع في أنه يمكنك تعديل قيمة المرجع لتغيير ملف تخزين المفاتيح أو المخزن الموثوق بدون الحاجة إلى تعديل المضيف الظاهري أو نقطة النهاية المستهدفة/خادم الهدف نفسه:

بالنسبة إلى عملاء Cloud: لا يتطلب تغيير قيمة المرجع للتواصل مع فريق دعم Apigee Edge.
بالنسبة إلى عملاء Private Cloud: لن يؤدي تغيير قيمة المرجع تتطلب منك إعادة تشغيل مكونات Edge، مثل أجهزة التوجيه ومعالجات الرسائل.

يمكنك بدلاً من ذلك تحديد اسم ملف تخزين المفاتيح واسم Truststore مباشرةً:

<KeyStore>myKeystore</KeyStore>
<TrustStore>myTruststore</TrustStore>

في حال تحديد اسم ملف تخزين المفاتيح أو ملف التخزين الموثوق به مباشرةً، على عملاء Google Cloud التواصل مع فريق دعم Apigee Edge وعلى عملاء Private Cloud إعادة تشغيل بعض مكونات Edge لتحديث الشهادة.

هناك خيار ثالث، لنقاط النهاية المستهدفة/الخادم الهدف فقط، وهو استخدام متغيرات التدفق:

<KeyStore>{ssl.keystore}</KeyStore>
<TrustStore>{ssl.truststore}</TrustStore>

تعمل متغيرات التدفق لنقاط النهاية المستهدفة/الخوادم المستهدفة وتتيح لك تحديث ملف تخزين المفاتيح أو Truststore مثل المراجع. إلا أنها لا تعمل مع المضيفات الافتراضية، وتطلب منك أن تجتازها معلومات حول ملف تخزين المفاتيح والاسم المستعار وملف تخزين الثقة في كل طلب.

قيود الاستخدام مراجع لملفات تخزين المفاتيح وTruststore

على عملاء السحابة الإلكترونية المدفوعة وجميع عملاء السحابة الإلكترونية الخاصة الذين يضبطون بروتوكول أمان طبقة النقل (TLS) مراعاة القيد التالي عند استخدام مراجع ملفات تخزين المفاتيح والمستودعات الموثوقة:

لا يمكنك استخدام مراجع تخزين المفاتيح ومكتبة Truststore في المضيفات الافتراضية إلا في حال إنهاء بروتوكول أمان طبقة النقل (TLS). على أجهزة توجيه Apigee.

إذا كان لديك جهاز موازنة حمل أمام أجهزة Apigee Router، وقمت بإنهاء بروتوكول أمان طبقة النقل (TLS) على جهاز موازنة الحمل، لن تتمكّن من استخدام مراجع تخزين المفاتيح والمخزن الموثوق بها في المضيفات الافتراضية.

في حال كان المضيف الظاهري الحالي يستخدم اسم ملف تخزين مفاتيح حرفي أو اسم تخزين موثوق به

قد لا يتم ضبط المضيفين الافتراضيين الحاليين على Edge لاستخدام مراجع تخزين المفاتيح المتاجر الموثوقة. في هذه الحالة، يمكنك تحديث المضيف الظاهري لاستخدام مرجع.

استكشاف السحابة الإلكترونية

لتغيير المضيف الافتراضي لاستخدام مرجع إلى ملف تخزين المفاتيح الذي يجب عليك العمل معه دعم Apigee Edge
حافة للسحابة الخاصة

لتحويل المضيف الظاهري إلى استخدام مرجع:
1. يُرجى تحديث المضيف الافتراضي لاستخدام مرجع.
2. أعِد تشغيل أجهزة التوجيه.
يُرجى الاطّلاع على قسم "تعديل مضيف افتراضي لاستخدام مراجع تخزين المفاتيح والمخزن الموثوق به". في تهيئة الدخول إلى TLS إلى واجهة برمجة التطبيقات الخاصة بالسحابة الإلكترونية الخاصة (API) لمزيد من المعلومات.

لمحة عن استخدام مفتاح وشهادة الفترة التجريبية المجانية في Apigee

إذا كان لديك حساب مدفوع على Edge for Cloud ولم يكن لديك بعد شهادة ومفتاح لبروتوكول أمان طبقة النقل (TLS)، يمكنك إنشاء مضيف افتراضي يستخدم مفتاح وشهادة الفترة التجريبية المجانية في Apigee. وهذا يعني أنه يمكنك إنشاء المضيف الظاهري بدون إنشاء ملف تخزين مفاتيح أولاً.

يشير كائن XML الذي يعرّف المضيف الافتراضي باستخدام شهادة الفترة التجريبية المجانية في Apigee إلى حذف المفتاح <KeyStore> و<KeyAlias>، مع استبدالها بـ العنصر <UseBuiltInFreeTrialCert>، كما هو موضح أدناه:

<VirtualHost name="myTLSVHost">
    <HostAliases>
        <HostAlias>myapi.apigee.net</HostAlias>
    </HostAliases>
    <Port>443</Port>
    <SSLInfo>
        <Enabled>true</Enabled>
        <ClientAuthEnabled>false</ClientAuthEnabled>
    </SSLInfo>
    <UseBuiltInFreeTrialCert>true</UseBuiltInFreeTrialCert>
</VirtualHost>

إذا كنت تستخدم بروتوكول أمان طبقة النقل (TLS) ثنائي الاتجاه، يجب مع ذلك ضبط العنصر <ClientAuthEnabled> على true وحدِّد مخزنًا موثوقًا به باستخدام مرجع مع العنصر <TrustStore>.

يُرجى الاطِّلاع على ضبط المضيفات الافتراضية للسحابة الإلكترونية. لمعرفة المزيد.

لمحة عن ضبط بروتوكول أمان طبقة النقل (TLS)

هناك عاملان رئيسيان يحدّدان كيفية إجراء ضبط بروتوكول أمان طبقة النقل (TLS):

هل أنت من عملاء Edge Cloud أو Private Cloud؟
كيف تنوي تحديث الشهادات المنتهية الصلاحية أو المنتهية الصلاحية؟

إعدادات السحابة الإلكترونية والسحابة الإلكترونية الخاصة الخيارات

يعرض الجدول التالي خيارات الضبط المختلفة للسحابة الإلكترونية والسحابة الإلكترونية الخاصة العملاء:

	السحابة الإلكترونية الخاصة	Google Cloud
المضيف الافتراضي	تحكُّم كامل	تحكم كامل للحسابات المدفوعة فقط
نقطة النهاية المستهدفة/خادم الهدف	تحكُّم كامل	تحكُّم كامل

يمكن لعملاء السحابة الإلكترونية الخاصة التحكم بشكل كامل في ضبط كل من خدمات الاستضافة الافتراضية نقاط النهاية المستهدفة/الخوادم المستهدفة. ويشمل عنصر التحكم هذا القدرة على إنشاء بيانات افتراضية وحذفها المضيفين، وتعيين جميع الخصائص على مضيف افتراضي.

يتمتع جميع عملاء Cloud، سواء أكانوا مدفوعين أم بالتقييم، بالتحكم الكامل في تهيئة نقاط النهاية المستهدفة/الخوادم المستهدفة. بالإضافة إلى ذلك، يتمتع عملاء Cloud المدفوعون بالتحكم الكامل في المضيفات الظاهرية، بما في ذلك خصائص TLS.

التعامل مع الشهادات المنتهية الصلاحية

وفي حال انتهاء صلاحية شهادة بروتوكول أمان طبقة النقل (TLS) أو تغيير إعدادات النظام بحيث لا لم تعد الشهادة صالحة، فسينبغي لك تحديث الشهادة. عند تهيئة بروتوكول أمان طبقة النقل (TLS) لـ مضيف افتراضي أو خادم نقطة نهاية/خادم مستهدف، يجب أن تقرر كيفية أدائك هذا التحديث قبل إجراء أي تهيئة.

ملاحظة: لا يمكنك تحديث ملف تخزين مفاتيح حالي أو ملف تخزين موثوق به لإضافة ملف الشهادة الجديدة. عليك إنشاء ملف تخزين مفاتيح أو متجر موثوق جديد عند تعديل شهادة. يمكنك في العادة إنشاء ملف تخزين المفاتيح/الثقة الجديد وتحميل الشهادة الجديدة قبل الشهادة في انتهاء صلاحية ملف تخزين المفاتيح القديم/المتجر الموثوق به. يتيح لك هذا الاختبار اختبار ملف تخزين المفاتيح الجديد/الموثوق به والعودة إلى ملف تخزين المفاتيح القديم أو متجر الثقة في حال حدوث أي مشاكل.

عند انتهاء صلاحية شهادة

على Edge، يمكنك تخزين الشهادات في مكان من مكانين:

ملف تخزين المفاتيح: يحتوي على شهادة بروتوكول أمان طبقة النقل (TLS) والمفتاح الخاص المستخدَم لتحديد الكيان أثناء المصافحة عبر بروتوكول أمان طبقة النقل (TLS).
Truststore: يحتوي على الشهادات الموثوق بها على برنامج يستخدم بروتوكول أمان طبقة النقل (TLS) التحقق من صحة شهادة خادم بروتوكول أمان طبقة النقل (TLS) المقدمة إلى العميل. عادةً ما تكون هذه الشهادات الشهادات الموقعة ذاتيًا، أو الشهادات الموقعة من مرجع تصديق موثوق به، أو الشهادات المستخدمة كجزء من المستند الثنائي بروتوكول أمان طبقة النقل (TLS).

عند انتهاء صلاحية شهادة في ملف تخزين المفاتيح، وكنت تستخدم مرجعًا ملف تخزين المفاتيح، لا يمكنك تحميل شهادة جديدة إلى ملف تخزين المفاتيح. بدلاً من ذلك، يمكنك:

أنشِئ ملف تخزين مفاتيح جديدًا.
حمّل الشهادة الجديدة إلى ملف تخزين المفاتيح الجديد باستخدام الاسم المستعار نفسه كما في ملف تخزين المفاتيح القديم.
يُرجى تعديل المرجع في المضيف الافتراضي أو الخادم الهدف/نقطة النهاية المستهدفة لاستخدام السمة الجديدة ملف تخزين المفاتيح.

عند انتهاء صلاحية شهادة في Truststore، وكنت تستخدم مرجعًا إلى Truststore، عليك:

أنشِئ مخزنًا ائتمانيًا جديدًا.
حمِّل الشهادة الجديدة إلى Truststore الجديد. ولا يُعدّ اسم الاسم المستعار مهمًا بالنسبة إلى المخازن الموثوق بها. ملاحظة: إذا كانت الشهادة جزءًا من سلسلة، عليك إنشاء ملف واحد. الذي يحتوي على جميع الشهادات وتحميل هذا الملف إلى اسم مستعار واحد، أو تحميل جميع الشهادات في بشكل منفصل إلى Truststore باستخدام اسم مستعار مختلف لكل شهادة.
يُرجى تعديل المرجع في المضيف الافتراضي أو الخادم الهدف/نقطة النهاية المستهدفة لاستخدام السمة الجديدة Truststore.

ملخص طرق تحديث تاريخ انتهاء صلاحية شهادة

الطريقة التي تستخدمها لتحديد اسم ملف تخزين المفاتيح والمخزن الموثوق به في المضيف الظاهري نقطة النهاية المستهدفة أو الخادم المستهدف كيفية إجراء تحديث الشهادة. يمكنك استخدام:

المراجع
الأسماء المباشرة
متغيّرات التدفق

لكل طريقة من هذه الطرق آثار مختلفة على عملية التحديث، كما هو موضح في الجدول التالي. كما ترى، توفر المراجع أكبر قدر من المرونة لكل من Cloud عملاء Private Cloud:

نوع الإعداد	كيفية تعديل أو استبدال الشهادة	السحابة الإلكترونية الخاصة	Google Cloud
مرجع (مقترَح)	بالنسبة إلى ملف تخزين مفاتيح، يمكنك إنشاء ملف تخزين مفاتيح جديد باسم جديد واسم مستعار باستخدام نفس الاسم للاسم المستعار القديم. بالنسبة إلى Truststore، يجب إنشاء Truststore باستخدام اسم جديد.	عليك تعديل المرجع إلى ملف تخزين المفاتيح أو ملف تخزين الثقة. لا يلزم إعادة تشغيل جهاز التوجيه أو معالج الرسائل.	عليك تعديل المرجع إلى ملف تخزين المفاتيح أو ملف تخزين الثقة. لا داعي للتواصل مع فريق دعم Apigee.
متغيرات التدفق (نقطة النهاية المستهدفة فقط)	بالنسبة إلى ملف تخزين مفاتيح، يمكنك إنشاء ملف تخزين مفاتيح جديد باسم جديد واسم مستعار باستخدام بالاسم نفسه أو باسم جديد. بالنسبة إلى Truststore، يجب إنشاء Truststore باستخدام اسم جديد.	تمرير متغير التدفق المحدّث في كل طلب باسم ملف تخزين المفاتيح أو الاسم المستعار أو Truststore. لا يلزم إعادة تشغيل جهاز التوجيه أو معالج الرسائل.	تمرير متغير التدفق المحدّث في كل طلب باسم ملف تخزين المفاتيح أو الاسم المستعار أو Truststore. لا داعي للتواصل مع فريق دعم Apigee.
مباشرة	عليك إنشاء ملف تخزين مفاتيح أو اسم مستعار أو مخزن شهادات جديد.	عليك تحديث المضيف الافتراضي وإعادة تشغيل أجهزة التوجيه. في حال كانت نقطة النهاية المستهدفة أو خادم مستهدف يستخدم نظام Truststore، عليك إعادة نشر الخادم الوكيل.	بالنسبة إلى المضيفات الافتراضية، يُرجى التواصل مع Apigee Edge Support لإعادة تشغيل أجهزة التوجيه. في حال كانت نقطة النهاية المستهدفة أو خادم مستهدف يستخدم نظام Truststore، عليك إعادة نشر الخادم الوكيل.
مباشرة	احذف ملف تخزين المفاتيح أو ملف تخزين الثقة وأعِد إنشاؤه بالاسم نفسه.	لا يلزم تحديث المضيف الافتراضي، ولا يلزم إعادة تشغيل جهاز التوجيه. مع ذلك، يتعذّر تنفيذ طلبات البيانات من واجهة برمجة التطبيقات حتى يتم تعيين ملف تخزين المفاتيح والاسم المستعار الجديد. في حال استخدام ملف تخزين المفاتيح مع بروتوكول أمان طبقة النقل (TLS) ثنائي الاتجاه بين Edge وخدمة الخلفية، يُرجى إعادة التشغيل. معالِجات الرسائل.	لا يلزم تحديث المضيف الافتراضي. ومع ذلك، تخفق طلبات واجهة برمجة التطبيقات حتى لا يتم دمج ملف تخزين المفاتيح الجديد الاسم المستعار. إذا تم استخدام ملف تخزين المفاتيح مع بروتوكول أمان طبقة النقل (TLS) ثنائي الاتجاه بين Edge وخدمة الخلفية، يُرجى التواصل مع Apigee Edge Support لإعادة تشغيل معالِجات الرسائل.
مباشرة	بالنسبة إلى Truststore فقط، يجب تحميل شهادة جديدة إلى Truststore.	في حال كان هناك مضيف افتراضي يستخدم Truststore، يُرجى إعادة تشغيل أجهزة التوجيه. في حال كانت Truststore تُستخدم بواسطة نقطة نهاية/خادم مستهدف مستهدف، يُرجى إعادة تشغيل الرسالة المعالِجات:	بالنسبة إلى المضيفات الافتراضية، يُرجى التواصل مع Apigee Edge Support لإعادة تشغيل أجهزة توجيه Edge. في حال كانت نقطة النهاية المستهدفة أو خادم هدف يستخدم Truststore، يُرجى التواصل مع فريق Apigee Edge Support لإعادة تشغيل معالِجات الرسائل.