Opcje konfiguracji TLS

Przeglądasz dokumentację Apigee Edge.
Przejdź do Dokumentacja Apigee X. informacje.

Ten dokument zawiera opis sposobu konfigurowania TLS w Edge dla 2 funkcjonalności obszary:

  1. Dostęp do serwerów proxy interfejsu API przez klienty interfejsu API. Używanie hostów wirtualnych na urządzeniu Edge Router do konfigurowania TLS.
  2. Dostęp do usług backendu przy użyciu Edge. Użyj docelowych punktów końcowych i celu w procesorze obsługi wiadomości na brzegu, aby skonfigurować TLS.

Oba te typy dostępu są wymienione poniżej:

Informacje ustawianie opcji TLS na hoście wirtualnym lub w docelowym punkcie końcowym albo na serwerze docelowym

Host wirtualny może być reprezentowany przez obiekt XML w postaci:

<VirtualHost name="secure">
    ...
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>true</ClientAuthEnabled> 
        <KeyStore>ref://myKeystoreRef</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
        <TrustStore>ref://myTruststoreRef</TrustStore> 
        <IgnoreValidationErrors>false</IgnoreValidationErrors>
    </SSLInfo>
</VirtualHost>

Obszar hosta wirtualnego, który zmieniasz, aby skonfigurować TLS, jest definiowany przez tag &lt;SSLInfo&gt;. Korzystasz z ten sam tag &lt;SSLInfo&gt;, aby skonfigurować docelowego punktu końcowego lub serwera docelowego.

W tabeli poniżej opisujemy elementy konfiguracji TLS używane przez tag &lt;SSLInfo&gt;:

Element Opis
&lt;Enabled&gt;

Włącza jednokierunkową komunikację TLS między Edge a klientem interfejsu API lub między Edge a miejscem docelowym z backendem.

W przypadku hosta wirtualnego musisz zdefiniować magazyn kluczy zawierający certyfikat i prywatne .
&lt;ClientAuthEnabled&gt;

Włącza dwukierunkową komunikację TLS między Edge a klientem interfejsu API lub między Edge a miejscem docelowym z backendem.

Włączenie dwukierunkowego protokołu TLS zwykle wymaga skonfigurowania magazynu zaufania na Edge.
&lt;KeyStore&gt; Magazyn kluczy.
&lt;KeyAlias&gt; Alias określony podczas przesyłania certyfikatu i klucza prywatnego do magazynu kluczy.
&lt;TrustStore&gt; w magazynie zaufania.
&lt;IgnoreValidationErrors&gt;

Jeśli ustawiona jest wartość prawda, Edge ignoruje błędy certyfikatu TLS. Prawidłowy w przypadku konfigurowania TLS dla serwerów docelowych i docelowych punktów końcowych, a także przy konfigurowaniu hostów wirtualnych korzystających z dwukierunkowej transmisji danych. TLS. Wartość domyślna to false (fałsz).

Używanie z docelowym punktem końcowym/serwerem docelowym, jeśli system backendu korzysta z rozszerzenia SNI i zwraca certyfikat z nazwą wyróżniającą podmiotu, która nie jest zgodna z nazwą hosta, nie ma możliwości , aby zignorować błąd, co spowoduje błąd połączenia.
&lt;CommonName&gt;

Jeśli została określona, jest to wartość, pod kątem której sprawdzana jest powszechna nazwa certyfikatu docelowego. Ta wartość jest prawidłowa tylko w przypadku konfiguracji TargetEndpoint i TargetServer. Nie jest poprawna dla konfiguracji VirtualHost.

Domyślnie podana wartość jest dopasowywana dokładnie do wspólnej nazwy certyfikatu docelowego. Możesz na przykład użyć *.myhost.com jako wartości rozszerzenia <CommonName>. będą pasować tylko i Sprawdź poprawność docelowej nazwy hosta, jeśli dokładna wartość *.myhost.com jest określona jako imię i nazwisko w certyfikat docelowy.

Opcjonalnie Apigee może przeprowadzić dopasowanie za pomocą symboli wieloznacznych, korzystając z atrybutu wildcardMatch.

Na przykład pospólna nazwa określona w certyfikacie docelowym jako abc.myhost.com jest dopasowywana i weryfikowana jeśli ciąg <CommonName> jest określony w następujący sposób: 

<CommonName wildcardMatch="true">*.myhost.com</CommonName>

Informacje o konfigurowaniu &lt;KeyStore&gt; i <TrustStore> elementy

W przykładzie hosta wirtualnego powyżej magazyn kluczy i magazyn zaufania są określone za pomocą polecenia referencje w formacie:

<KeyStore>ref://myKeystoreRef</KeyStore>
<TrustStore>ref://myTruststoreRef</TrustStore>

Apigee zdecydowanie zaleca, aby zawsze używać odwołań do magazynu kluczy i magazynu zaufania. O odwołanie to zmienna, która zawiera nazwę magazynu kluczy lub magazynu kluczy, a nie bezpośrednio podając nazwę magazynu kluczy. W tym przykładzie:

  • myKeystoreRef to plik referencyjny zawierający nazwę do magazynu kluczy. W tym przykładzie nazwa magazynu kluczy to myKeystore.
  • myTruststoreRef to plik referencyjny zawierający nazwę magazynu zaufania. W tym przykładzie nazwa magazynu zaufania to myTruststore.

Po wygaśnięciu certyfikatu musisz zaktualizować host wirtualny albo docelowy punkt końcowy lub serwer docelowy na wskaż magazyn kluczy lub magazyn zaufania zawierający nowy certyfikat. Zaletą pliku referencyjnego jest to, możesz zmodyfikować wartość odwołania, aby zmienić magazyn kluczy lub magazyn zaufania bez konieczności zmodyfikuj hosta wirtualnego lub docelowy punkt końcowy lub serwer docelowy:

  • W przypadku klientów Cloud: zmiana wartości pliku referencyjnego nie jest wymagana. skontaktuj się z zespołem pomocy Apigee Edge.
  • W przypadku klientów Private Cloud: zmiana wartości pliku referencyjnego nie spowoduje wymagają ponownego uruchomienia komponentów Edge, takich jak routery i procesory wiadomości.

Możesz też bezpośrednio podać nazwę magazynu kluczy i zaufanego magazynu:

<KeyStore>myKeystore</KeyStore>
<TrustStore>myTruststore</TrustStore>

Jeśli bezpośrednio podasz nazwę magazynu kluczy lub magazynu zaufania, klienci Cloud muszą skontaktuj się z zespołem pomocy Apigee Edge i klienci Private Cloud muszą ponownie uruchomić niektóre komponenty Edge, aby zaktualizować certyfikat.

Trzecią opcją (tylko w przypadku docelowych punktów końcowych lub serwera docelowego) jest użycie zmiennych przepływu:

<KeyStore>{ssl.keystore}</KeyStore>
<TrustStore>{ssl.truststore}</TrustStore>

Zmienne przepływu działają w przypadku docelowych punktów końcowych/serwerów docelowych i pozwalają aktualizować magazyn kluczy lub w takiej postaci, jak referencje. Nie działają jednak z hostami wirtualnymi i wymagają informacje o magazynie kluczy, aliasie i magazynie zaufania w przypadku każdego żądania.

Ograniczenia w korzystaniu odniesienia do magazynów kluczy i Truststore

Klienci korzystający z płatnych usług Cloud i wszyscy klienci Private Cloud konfigurujący protokół TLS muszą wziąć pod uwagę to ograniczenie w przypadku odwołań do magazynów kluczy i magazynów zaufania:

  • Możesz używać odwołań do magazynu kluczy i zaufania na hostach wirtualnych tylko w przypadku wyłączenia protokołu TLS w routerach Apigee.
  • Jeśli przed routerami Apigee masz system równoważenia obciążenia i wyłączysz protokół TLS systemu równoważenia obciążenia, nie możesz używać odwołań do magazynu kluczy i zaufania na hostach wirtualnych.

Jeśli istniejący host wirtualny używa literału lub nazwy magazynu kluczy

Istniejące hosty wirtualne na Edge mogą nie być skonfigurowane do używania odwołań dla magazynów kluczy i w magazynach zaufania. W takim przypadku możesz zaktualizować hosta wirtualnego, aby używał pliku referencyjnego.

  1. Edge dla chmury

    Aby zmienić hosta wirtualnego tak, aby używał odwołania do magazynu kluczy, z którym musisz pracować Obsługa Apigee Edge

  2. Brzegowy dla Private Cloud

    Aby przekonwertować hosta wirtualnego na plik referencyjny:

    1. Zaktualizuj hosta wirtualnego, aby używał odwołania.
    2. Uruchom ponownie routery.
    . Zapoznaj się z sekcją „Modyfikowanie hosta wirtualnego, aby używać odwołań do magazynu kluczy i magazynu zaufania” w sekcji Konfigurowanie dostępu TLS do API do Private Cloud.

Informacje o korzystaniu z bezpłatnego certyfikatu i klucza Apigee

Jeśli masz płatne konto Edge dla Cloud i nie masz jeszcze certyfikatu ani klucza TLS, możesz utworzyć hosta wirtualnego, który korzysta z bezpłatnego próbnego certyfikatu i klucza Apigee. Oznacza to, że możesz utworzyć hosta wirtualnego bez konieczności tworzenia magazynu kluczy.

Obiekt XML, który definiuje hosta wirtualnego przy użyciu bezpłatnego certyfikatu próbnego Apigee, pomijając w kluczu <KeyStore> i <KeyAlias>, i zastępuje je elementem <UseBuiltInFreeTrialCert>, jak pokazano poniżej:

<VirtualHost name="myTLSVHost">
    <HostAliases>
        <HostAlias>myapi.apigee.net</HostAlias>
    </HostAliases>
    <Port>443</Port>
    <SSLInfo>
        <Enabled>true</Enabled>
        <ClientAuthEnabled>false</ClientAuthEnabled>
    </SSLInfo>
    <UseBuiltInFreeTrialCert>true</UseBuiltInFreeTrialCert>
</VirtualHost>

Jeśli korzystasz z dwukierunkowego protokołu TLS, i tak musisz ustawić dla elementu <ClientAuthEnabled> wartość true i określ magazyn zaufania za pomocą atrybutu reference, który zawiera element <TrustStore>.

Zobacz Konfigurowanie hostów wirtualnych dla chmury. aby dowiedzieć się więcej.

Informacje o konfigurowaniu TLS

Sposób konfiguracji TLS zależy od 2 głównych czynników:

  • Jesteś klientem Edge Cloud lub Private Cloud?
  • Jak zamierzasz aktualizować certyfikaty, które wygasły?

Konfiguracja chmury i chmury prywatnej opcje

W tabeli poniżej znajdziesz różne opcje konfiguracji Cloud i Private Cloud klienci:

Private Cloud Cloud
Host wirtualny Pełna kontrola Pełna kontrola tylko na kontach płatnych
Docelowy punkt końcowy/serwer docelowy Pełna kontrola Pełna kontrola

Klienci Private Cloud mają pełną kontrolę nad konfiguracją hostów wirtualnych docelowe punkty końcowe/serwery docelowe. Ta opcja obejmuje możliwość tworzenia i usuwania i ustaw wszystkie właściwości na hoście wirtualnym.

Wszyscy klienci Cloud, zarówno płacący, jak i oceniani, mają pełną kontrolę nad konfiguracją docelowe punkty końcowe/serwery docelowe. Oprócz tego użytkownicy płatnej wersji Cloud mają pełną kontrolę hostów wirtualnych, w tym właściwości TLS.

Obsługa certyfikatów, które wygasły

Jeśli certyfikat TLS wygaśnie lub jeśli konfiguracja systemu zmieni się tak, że certyfikat jest już nieważny, musisz go zaktualizować. W przypadku konfigurowania TLS dla hosta wirtualnego lub docelowego punktu końcowego/serwera docelowego, musisz określić które są aktualizowane przed rozpoczęciem konfiguracji.

Gdy certyfikat wygasa

W Edge możesz przechowywać certyfikaty w jednym z 2 miejsc:

  • Magazyn kluczy – zawiera certyfikat TLS i klucz prywatny używany do identyfikacji. elementu podczas uzgadniania połączenia TLS.
  • Truststore – zawiera zaufane certyfikaty klienta TLS używanego do weryfikacji certyfikatu serwera TLS przedstawianego klientowi. Takie certyfikaty są zwykle samodzielnie podpisanych certyfikatów, certyfikatów podpisanych przez zaufany urząd certyfikacji ani certyfikatów, które są używane w ramach weryfikacji dwukierunkowej. TLS.

Gdy certyfikat w magazynie kluczy wygaśnie, a Ty korzystasz z odwołania do , nie możesz przesłać do niego nowego certyfikatu. Zamiast tego:

  1. Utwórz nowy magazyn kluczy.
  2. Prześlij nowy certyfikat do nowego magazynu kluczy przy użyciu tej samej nazwy aliasu co w ze starego magazynu kluczy.
  3. Zaktualizuj odniesienie na hoście wirtualnym lub serwerze docelowym/punkcie końcowym tak, aby używać nowego do magazynu kluczy.

Gdy certyfikat w magazynie zaufania wygasa, a Ty używasz odwołania do Truststore, możesz:

  1. Utwórz nowy magazyn zaufania.
  2. Prześlij nowy certyfikat do nowego magazynu zaufania. Nazwa aliasu nie ma znaczenia w przypadku magazynów zaufania. Uwaga: jeśli certyfikat jest częścią łańcucha, musisz utworzyć jeden plik. który zawiera wszystkie certyfikaty, i prześlij go na pojedynczy alias lub prześlij wszystkie certyfikaty w łańcucha oddzielnie z magazynem zaufania, używając osobnego aliasu dla każdego certyfikatu.
  3. Zaktualizuj odniesienie na hoście wirtualnym lub serwerze docelowym/punkcie końcowym tak, aby używać nowego magazynu zaufania.

Podsumowanie metod aktualizowania plików, które wygasły certyfikat

Metoda używana do określania nazwy magazynu kluczy i magazynu zaufania na hoście wirtualnym lub docelowy punkt końcowy/serwer docelowy określa sposób aktualizacji certyfikatu. Możesz użyć:

  • Pliki referencyjne
  • Bezpośrednie nazwy
  • Zmienne przepływu

Każda z tych metod ma inny wpływ na proces aktualizacji. Opisaliśmy to w tabeli. Jak widać, pliki referencyjne dają największą elastyczność zarówno w przypadku Cloud, Klienci Private Cloud:

Typ konfiguracji Jak zaktualizować/zastąpić certyfikat Private Cloud Cloud
Plik referencyjny (zalecane) Utwórz nowy magazyn kluczy o nowej nazwie i aliasie z ta sama nazwa co stary alias.

Utwórz magazyn zaufania o nowej nazwie.

 Zaktualizuj odwołanie do magazynu kluczy lub magazynu zaufania.

Ponowne uruchomienie routera ani procesora wiadomości nie jest konieczne.

 Zaktualizuj odwołanie do magazynu kluczy lub magazynu zaufania.

Nie musisz kontaktować się z zespołem pomocy Apigee.
Zmienne przepływu (tylko docelowy punkt końcowy) Utwórz nowy magazyn kluczy o nowej nazwie i aliasie z z tą samą nazwą lub z nową nazwą.

Utwórz magazyn zaufania o nowej nazwie.

 Przy każdym żądaniu przekazuj zaktualizowaną zmienną przepływu wraz z nazwą nowego magazynu kluczy, aliasem lub magazynu zaufania.

Ponowne uruchomienie routera ani procesora wiadomości nie jest konieczne.

 Przy każdym żądaniu przekazuj zaktualizowaną zmienną przepływu wraz z nazwą nowego magazynu kluczy, aliasem lub magazynu zaufania.

Nie musisz kontaktować się z zespołem pomocy Apigee.
Bezpośrednie Utwórz nowy magazyn kluczy, alias, magazyn zaufania. Zaktualizuj hosta wirtualnego i uruchom ponownie routery.

Jeśli magazyn zaufania jest używany przez docelowy punkt końcowy lub serwer docelowy, wdróż ponownie serwer proxy.

 W przypadku hostów wirtualnych skontaktuj się z zespołem pomocy Apigee Edge, aby ponownie uruchomić routery.

Jeśli magazyn zaufania jest używany przez docelowy punkt końcowy lub serwer docelowy, wdróż ponownie serwer proxy.
Bezpośrednie Usuń magazyn kluczy lub magazyn zaufania i utwórz go ponownie z tą samą nazwą. Nie jest wymagana aktualizacja hosta wirtualnego. Ponowne uruchomienie routera nie jest konieczne. Żądania do interfejsu API kończą się jednak niepowodzeniem do czasu skonfigurowania nowego magazynu kluczy i aliasu.

Jeśli magazyn kluczy jest używany do dwukierunkowego protokołu TLS między Edge a usługą backendu, uruchom ponownie z procesorami wiadomości.

 Nie jest wymagana aktualizacja hosta wirtualnego. Żądania do interfejsu API kończą się jednak niepowodzeniem, dopóki nie zostanie utworzony nowy magazyn kluczy aliasy są skonfigurowane.

Jeśli magazyn kluczy jest używany do dwukierunkowego protokołu TLS między Edge a usługą backendu, skontaktuj się z zespołem pomocy Apigee Edge, aby ponownie uruchomić procesory wiadomości.
Bezpośrednie Prześlij do niego nowy certyfikat tylko w przypadku magazynu zaufania. Jeśli magazyn zaufania jest używany przez hosta wirtualnego, uruchom ponownie routery.

Jeśli magazyn zaufania jest używany przez docelowy punkt końcowy lub serwer docelowy, uruchom ponownie komunikat Procesory.

 W przypadku hostów wirtualnych skontaktuj się z zespołem pomocy Apigee Edge, aby ponownie uruchomić routery brzegowe.

Jeśli magazyn zaufania jest używany przez docelowy punkt końcowy lub serwer docelowy, skontaktuj się z zespołem pomocy Apigee Edge, aby ponownie uruchomić procesory wiadomości.