Przeglądasz dokumentację Apigee Edge.
Otwórz dokumentację Apigee X. Informacje
Ten dokument zawiera omówienie sposobu konfigurowania protokołu TLS w przeglądarce Edge w 2 obszarach funkcjonalnych:
- Dostęp do serwerów proxy interfejsu API przez klienty interfejsu API. Aby skonfigurować TLS, użyj hostów wirtualnych w routerze brzegowym.
- Dostęp do usług backendu przez Edge. Skonfiguruj protokół TLS za pomocą docelowych punktów końcowych i serwerów docelowych w procesorze wiadomości brzegowych.
Poniżej przedstawiamy oba te typy dostępu:
Informacje o konfigurowaniu opcji TLS na hoście wirtualnym lub docelowym punkcie końcowym bądź serwerze docelowym
Host wirtualny może być reprezentowany przez obiekt XML w postaci:
<VirtualHost name="secure">
...
<SSLInfo>
<Enabled>true</Enabled>
<ClientAuthEnabled>true</ClientAuthEnabled>
<KeyStore>ref://myKeystoreRef</KeyStore>
<KeyAlias>myKeyAlias</KeyAlias>
<TrustStore>ref://myTruststoreRef</TrustStore>
<IgnoreValidationErrors>false</IgnoreValidationErrors>
</SSLInfo>
</VirtualHost>
Obszar hosta wirtualnego, który zmodyfikujesz w celu skonfigurowania TLS, jest definiowany przez tag <SSLInfo>. Do skonfigurowania docelowego punktu końcowego lub serwera docelowego możesz użyć tego samego tagu <SSLInfo>.
Tabela poniżej zawiera opis elementów konfiguracji TLS używanych przez tag <SSLInfo>:
| Element | Opis |
|---|---|
| <Włączone> |
Umożliwia jednokierunkową transmisję TLS między Edge a klientem interfejsu API lub między brzegiem a docelowym backendem. W przypadku hosta wirtualnego musisz zdefiniować magazyn kluczy zawierający certyfikat i klucz prywatny. |
| <ClientAuthEnabled> |
Umożliwia dwukierunkową komunikację TLS między Edge a klientem interfejsu API lub między brzegiem a docelowym backendem. Włączenie dwukierunkowego protokołu TLS zwykle wymaga skonfigurowania magazynu zaufania w Edge. |
| <KeyStore> | Magazyn kluczy. |
| <KeyAlias> | Alias określony podczas przesyłania certyfikatu i klucza prywatnego do magazynu kluczy. |
| <TrustStore> | Magazyn zaufania. |
| <IgnoreValidationErrors> | Jeśli ma wartość true (prawda), Edge ignoruje błędy certyfikatów TLS. Obowiązuje przy konfigurowaniu TLS w przypadku serwerów docelowych i docelowych punktów końcowych oraz przy konfigurowaniu hostów wirtualnych używających dwukierunkowego protokołu TLS. Wartość domyślna to false (fałsz). Jeżeli jest używany razem z docelowym punktem końcowym lub serwerem docelowym, a system backendu używa rozszerzenia SNI i zwraca certyfikat z nazwą wyróżniającą podmiotu, która nie jest zgodna z nazwą hosta, nie ma sposobu, aby zignorować błąd i nawiązać połączenie. |
Informacje o ustawianiu elementów <KeyStore> i <TrustStore>
W podanym wyżej przykładzie hosta wirtualnego magazyn kluczy i magazyn zaufanych certyfikatów są określone przy użyciu references w postaci:
<KeyStore>ref://myKeystoreRef</KeyStore> <TrustStore>ref://myTruststoreRef</TrustStore>
Apigee zdecydowanie zaleca, aby zawsze używać odwołań do magazynu kluczy i magazynu zaufanych certyfikatów. Odwołanie to zmienna, która zawiera nazwę magazynu kluczy lub zaufanego magazynu, zamiast wskazywać bezpośrednio nazwę magazynu kluczy. W tym przykładzie:
myKeystoreRefto odwołanie zawierające nazwę magazynu kluczy. W tym przykładzie nazwa magazynu kluczy to myKeystore.myTruststoreRefto odwołanie zawierające nazwę magazynu zaufania. W tym przykładzie nazwa magazynu zaufania to myTruststore.
Gdy certyfikat wygaśnie, musisz zaktualizować hosta wirtualnego albo docelowy punkt końcowy/serwer docelowy, aby określić magazyn kluczy lub magazyn zaufania zawierający nowy certyfikat. Zaletą pliku referencyjnego jest to, że możesz zmodyfikować wartość odniesienia, aby zmienić magazyn kluczy lub magazyn zaufania bez konieczności modyfikowania hosta wirtualnego, docelowego punktu końcowego/serwera docelowego:
- Dla klientów korzystających z Cloud: zmiana wartości pliku referencyjnego nie wymaga kontaktowania się z zespołem pomocy Apigee Edge.
- Dla klientów korzystających z chmury prywatnej: zmiana wartości pliku referencyjnego nie wymaga ponownego uruchamiania komponentów Edge, takich jak routery i procesory wiadomości.
Możesz też bezpośrednio określić nazwę i nazwę magazynu kluczy:
<KeyStore>myKeystore</KeyStore> <TrustStore>myTruststore</TrustStore>
Jeśli podasz bezpośrednio nazwę magazynu kluczy lub magazynu zaufanych, klienci Cloud będą musieli skontaktować się z zespołem pomocy Apigee Edge, a klienci Private Cloud będą musieli ponownie uruchomić określone komponenty Edge, aby zaktualizować certyfikat.
Trzecia opcja, tylko w przypadku docelowych punktów końcowych/serwera docelowego, to użycie zmiennych przepływu:
<KeyStore>{ssl.keystore}</KeyStore>
<TrustStore>{ssl.truststore}</TrustStore>
Zmienne przepływu działają w przypadku docelowych punktów końcowych/serwerów docelowych i pozwalają aktualizować magazyn kluczy lub magazyn zaufania, podobnie jak odwołania. Nie działają one jednak z hostami wirtualnymi i wymagają przekazywania informacji o magazynie kluczy, aliasie i magazynie zaufania w każdym żądaniu.
Ograniczenia dotyczące korzystania z odwołań do magazynów kluczy i magazynu zaufania
Podczas używania odwołań do magazynów kluczy i magazynów zaufania klienci korzystający z płatnej wersji Cloud i wszyscy klienci Private Cloud konfigurujący TLS muszą wziąć pod uwagę to ograniczenie:
- Odwołań do magazynu kluczy i magazynu zaufania możesz używać na hostach wirtualnych tylko wtedy, gdy wyłączysz protokół TLS w routerach Apigee.
- Jeśli masz system równoważenia obciążenia przed routerami Apigee i wyłączysz protokół TLS w systemie równoważenia obciążenia, nie możesz używać odwołań do magazynu kluczy ani magazynu zaufanych certyfikatów na hostach wirtualnych.
Jeśli istniejący host wirtualny używa nazwy magazynu kluczy lub magazynu zaufania
Istniejące hosty wirtualne w Edge mogą nie być skonfigurowane do używania odwołań do magazynów kluczy i magazynów zaufania. W takim przypadku możesz zaktualizować hosta wirtualnego, aby używać odwołania.
Edge Cloud
Aby zmienić hosta wirtualnego na odniesienie do magazynu kluczy, musisz skontaktować się z zespołem pomocy Apigee Edge.
Brzegowy Private Cloud
Aby przekonwertować hosta wirtualnego na plik referencyjny:
- Zaktualizuj hosta wirtualnego, aby używać odwołania.
- Ponownie uruchom routery.
Informacje o korzystaniu z bezpłatnego testu certyfikatu i klucza Apigee
Jeśli masz płatne konto Edge dla Cloud, ale nie masz jeszcze certyfikatu ani klucza TLS, możesz utworzyć hosta wirtualnego, który będzie używał bezpłatnego certyfikatu i klucza wersji próbnej Apigee. Oznacza to, że możesz utworzyć hosta wirtualnego bez wcześniejszego tworzenia magazynu kluczy.
Obiekt XML określający hosta wirtualnego za pomocą certyfikatu próbnego i klucza Apigee pomija elementy <KeyStore> i <KeyAlias> i zastępuje je elementem <UseBuiltInFreeTrialCert>, jak w przykładzie poniżej:
<VirtualHost name="myTLSVHost">
<HostAliases>
<HostAlias>myapi.apigee.net</HostAlias>
</HostAliases>
<Port>443</Port>
<SSLInfo>
<Enabled>true</Enabled>
<ClientAuthEnabled>false</ClientAuthEnabled>
</SSLInfo>
<UseBuiltInFreeTrialCert>true</UseBuiltInFreeTrialCert>
</VirtualHost>
Nawet jeśli korzystasz z dwukierunkowego protokołu TLS, musisz ustawić element <ClientAuthEnabled> na true i określić magazyn zaufania za pomocą odwołania z elementem <TrustStore>.
Więcej informacji znajdziesz w artykule Konfigurowanie hostów wirtualnych dla chmury.
Informacje o konfigurowaniu protokołu TLS
Sposób konfiguracji TLS zależy od 2 głównych czynników:
- Czy jesteś klientem Edge Cloud lub Private Cloud?
- Jak będzie aktualizować certyfikaty, które utraciły ważność lub wkrótce wygasną?
Opcje konfiguracji chmury i chmury prywatnej
W tabeli poniżej znajdziesz różne opcje konfiguracji dla klientów Cloud i Private Cloud:
| Private Cloud | Cloud | |
|---|---|---|
| Host wirtualny | Pełna kontrola | Pełna kontrola tylko na kontach płatnych |
| Docelowy punkt końcowy/serwer docelowy | Pełna kontrola | Pełna kontrola |
Klienci Private Cloud mają pełną kontrolę nad konfiguracją zarówno hostów wirtualnych, jak i docelowych punktów końcowych/serwerów docelowych. To ustawienie obejmuje możliwość tworzenia i usuwania hostów wirtualnych oraz ustawiania wszystkich właściwości na hoście wirtualnym.
Wszyscy klienci Cloud (płatni i oceniani) mają pełną kontrolę nad konfiguracją docelowych punktów końcowych/serwerów docelowych. Dodatkowo klienci korzystający z płatnej wersji Cloud mają pełną kontrolę nad hostami wirtualnymi, w tym nad właściwościami TLS.
Obsługa wygasłych certyfikatów
Jeśli certyfikat TLS wygaśnie lub konfiguracja systemu ulegnie zmianie, w wyniku czego certyfikat stracił ważność, musisz go zaktualizować. W przypadku konfigurowania protokołu TLS dla hosta wirtualnego lub docelowego punktu końcowego bądź serwera docelowego przed rozpoczęciem konfiguracji musisz zdecydować, jak chcesz przeprowadzić tę aktualizację.
Po wygaśnięciu certyfikatu
W Edge możesz przechowywać certyfikaty w jednym z dwóch miejsc:
- Magazyn kluczy – zawiera certyfikat TLS i klucz prywatny używane do identyfikowania jednostki podczas uzgadniania połączenia TLS.
- Truststore – zawiera zaufane certyfikaty na kliencie TLS używane do weryfikowania certyfikatu serwera TLS przedstawianego klientowi. Są to zwykle certyfikaty podpisane samodzielnie, certyfikaty podpisane przez zaufany urząd certyfikacji lub certyfikaty używane w ramach dwukierunkowego protokołu TLS.
Jeśli certyfikat w magazynie kluczy utraci ważność i używasz odwołania do magazynu kluczy, nie możesz przesłać do niego nowego certyfikatu. Zamiast tego:
- Utwórz nowy magazyn kluczy.
- Prześlij nowy certyfikat do nowego magazynu kluczy z użyciem tej samej nazwy aliasu co w starym magazynie kluczy.
- Zaktualizuj odniesienie na hoście wirtualnym lub serwerze docelowym/docelowym punkcie końcowym, aby używać nowego magazynu kluczy.
Gdy certyfikat w magazynie zaufania utraci ważność i używasz odwołania do niego:
- Utwórz nowy magazyn zaufanych certyfikatów.
- Prześlij nowy certyfikat do nowego magazynu zaufanych certyfikatów. Nazwa aliasu nie ma znaczenia w przypadku magazynów zaufania. Uwaga: jeśli certyfikat jest częścią łańcucha, musisz utworzyć jeden plik zawierający wszystkie certyfikaty i przesłać go do jednego aliasu lub przesłać wszystkie certyfikaty w łańcuchu oddzielnie do magazynu zaufania, używając osobnego aliasu dla każdego certyfikatu.
- Aby używać nowego magazynu zaufania, zaktualizuj plik referencyjny na hoście wirtualnym lub serwerze docelowym/docelowym punkcie końcowym.
Podsumowanie metod aktualizowania wygasłego certyfikatu
Sposób aktualizacji certyfikatu zależy od metody, której używasz do określenia nazwy magazynu kluczy i magazynu zaufanych certyfikatów na hoście wirtualnym lub docelowym punkcie końcowym/serwerze docelowym. Możesz użyć:
- Odniesienia
- Nazwy bezpośrednie
- Zmienne przepływu
Każda z tych metod ma inny wpływ na proces aktualizacji, co opisano w tabeli poniżej. Jak widać, pliki referencyjne zapewniają największą elastyczność zarówno klientom Cloud, jak i Private Cloud:
| Typ konfiguracji | Jak zaktualizować lub zastąpić certyfikat | Private Cloud | Cloud |
|---|---|---|---|
| Materiały referencyjne (zalecane) |
W przypadku magazynu kluczy utwórz nowy magazyn kluczy o nowej nazwie i aliasie o tej samej nazwie co stary alias.
W przypadku magazynu zaufania utwórz go o nowej nazwie. |
Zaktualizuj odwołanie do magazynu kluczy lub magazynu zaufania.
Nie jest konieczne ponowne uruchamianie routera ani procesora wiadomości. |
Zaktualizuj odwołanie do magazynu kluczy lub magazynu zaufania.
Nie musisz kontaktować się z zespołem pomocy Apigee. |
| Zmienne przepływu (tylko docelowy punkt końcowy) |
W przypadku magazynu kluczy utwórz nowy magazyn kluczy o nowej nazwie i aliasie o tej samej lub nowej nazwie.
W przypadku magazynu zaufania utwórz go o nowej nazwie. |
Przekazuj zaktualizowaną zmienną przepływu w każdym żądaniu z nazwą nowego magazynu kluczy, aliasu lub magazynu zaufanych.
Nie jest konieczne ponowne uruchamianie routera ani procesora wiadomości. |
Przekazuj zaktualizowaną zmienną przepływu w każdym żądaniu z nazwą nowego magazynu kluczy, aliasu lub magazynu zaufanych.
Nie musisz kontaktować się z zespołem pomocy Apigee. |
| Bezpośrednie | Utwórz nowy magazyn kluczy, alias i magazyn zaufania. |
Zaktualizuj hosta wirtualnego i uruchom ponownie routery.
Jeśli magazyn zaufania jest używany przez docelowy punkt końcowy lub serwer docelowy, wdróż ponownie serwer proxy. |
W przypadku hostów wirtualnych skontaktuj się z zespołem pomocy Apigee Edge, aby ponownie uruchomić routery.
Jeśli magazyn zaufania jest używany przez docelowy punkt końcowy lub serwer docelowy, wdróż ponownie serwer proxy. |
| Bezpośrednie | Usuń magazyn kluczy lub magazyn zaufania i utwórz go ponownie pod tą samą nazwą. |
Nie jest wymagana aktualizacja hosta wirtualnego. Nie jest konieczne ponowne uruchamianie routera. Żądania do interfejsu API kończą się jednak niepowodzeniem, dopóki nie zostanie ustawiony nowy magazyn kluczy i alias.
Jeśli magazyn kluczy jest używany do dwukierunkowego protokołu TLS między brzegiem sieci a usługą backendu, uruchom ponownie procesory wiadomości. |
Nie jest wymagana aktualizacja hosta wirtualnego. Żądania do interfejsu API kończą się jednak niepowodzeniem, dopóki nie ustawisz nowego magazynu kluczy i aliasu.
Jeśli magazyn kluczy jest używany do dwukierunkowego protokołu TLS między Edge a usługą backendu, skontaktuj się z zespołem pomocy Apigee Edge, aby ponownie uruchomić procesory wiadomości. |
| Bezpośrednie | W przypadku magazynu zaufanych certyfikatów prześlij do niego nowy certyfikat. |
Jeśli magazyn zaufania jest używany przez hosta wirtualnego, uruchom ponownie routery.
Jeśli magazyn zaufania jest używany przez docelowy punkt końcowy lub serwer docelowy, uruchom ponownie procesory wiadomości. |
W przypadku hostów wirtualnych skontaktuj się z zespołem pomocy Apigee Edge, aby ponownie uruchomić routery brzegowe.
Jeśli magazyn zaufania jest używany przez docelowy punkt końcowy lub serwer docelowy, skontaktuj się z zespołem pomocy Apigee Edge, aby ponownie uruchomić procesory wiadomości. |