Apigee Edge belgelerini görüntülüyorsunuz.
.
Git:
Apigee X belgeleri. bilgi
Bu dokümanda, iki işlevsel ağ için Edge'de TLS'yi nasıl yapılandıracağınıza dair bir genel bakış alanlar:
- API istemcileri üzerinden API proxy'lerinize erişim. Uçta sanal ana makineleri kullanma TLS'yi yapılandıracak yönlendirici.
- Arka uç hizmetlerinize Edge'den erişin. Hedef uç noktaları ve hedefleri kullanın. sunucu'yu kullanarak TLS'yi yapılandırın.
Bu erişim türlerinin ikisi de aşağıda gösterilmiştir:
Hakkında sanal ana makinede veya hedef uç nokta/hedef sunucuda TLS seçeneklerini ayarlama
Sanal ana makine, aşağıdaki biçimde bir XML nesnesiyle temsil edilebilir:
<VirtualHost name="secure"> ... <SSLInfo> <Enabled>true</Enabled> <ClientAuthEnabled>true</ClientAuthEnabled> <KeyStore>ref://myKeystoreRef</KeyStore> <KeyAlias>myKeyAlias</KeyAlias> <TrustStore>ref://myTruststoreRef</TrustStore> <IgnoreValidationErrors>false</IgnoreValidationErrors> </SSLInfo> </VirtualHost>
TLS'yi yapılandırmak için değiştirdiğiniz sanal ana makine alanı, <SSLInfo> etiketi tarafından tanımlanır. Önce aynı <SSLInfo> etiketini kullanarak bir ya da hedef sunucuya gitmesini sağlar.
Aşağıdaki tabloda <SSLInfo> etiketi tarafından kullanılan TLS yapılandırma öğeleri açıklanmaktadır:
Öğe | Açıklama |
---|---|
<Enabled> |
Edge ile API istemcisi arasında veya Edge ile hedef arasında tek yönlü TLS'yi etkinleştirir arka uçta olması gerekir. Sanal ana makine için sertifikayı ve gizli anahtarı içeren bir anahtar deposu tanımlamanız gerekir tuşuna basın. |
<ClientAuthEnabled> |
Edge ile API istemcisi arasında veya Edge ile hedef arasında iki yönlü TLS'yi etkinleştirir arka uçta olması gerekir. İki yönlü TLS'yi etkinleştirmek için genellikle Edge'de bir güven deposu oluşturmanız gerekir. |
<KeyStore> | Anahtar deposu. |
<KeyAlias> | Anahtar deposuna sertifika ve özel anahtar yüklerken belirtilen takma ad. |
<TrustStore> | Truststore. |
<IgnoreValidationErrors> | Doğru değerine ayarlanırsa Edge, TLS sertifika hatalarını yoksayar. TLS'yi şunun için yapılandırırken geçerlidir: iki yönlü veri akışı kullanan sanal ana makineleri yapılandırırken TLS. Varsayılan değer false'tur. Arka uç sistemi SNI kullanıyorsa ve bir sertifika döndürürse hedef uç nokta/hedef sunucuyla kullanıldığında ana makine adıyla eşleşmeyen bir konuya sahip Ayırt Edici Adı (DN) varsa, seçeneğini belirleyin. |
<CommonName> | Belirtilmişse hedef sertifikanın ortak adının doğrulandığı bir değer. Bu değer yalnızca TargetEndpoint ve TargetServer yapılandırmaları için geçerlidir. değil VirtualHost yapılandırmaları için geçerlidir. Varsayılan olarak, belirtilen değer hedef sertifikanın ortak adıyla tam olarak eşleştirilir.
Örneğin, <CommonName> için Apigee, isteğe bağlı olarak Örneğin, hedef sertifikada <CommonName wildcardMatch="true">*.myhost.com</CommonName> |
<KeyStore> ve <TrustStore> öğeler
Yukarıdaki sanal ana makine örneğinde anahtar deposu ve güven deposu, referanslar ile ilgili bilgileri şu biçimde gönderebilirsiniz:
<KeyStore>ref://myKeystoreRef</KeyStore> <TrustStore>ref://myTruststoreRef</TrustStore>
Apigee, her zaman anahtar deposu ve güven deposu referanslarını kullanmanızı önemle tavsiye eder. CEVAP referans, anahtar deposu adını doğrudan belirtir. Bu örnekte:
myKeystoreRef
, anahtar deposuna gidin. Bu örnekte, anahtar deposunun adı myKeystore'dur.myTruststoreRef
, güven deposu. Bu örnekte, güven deposunun adı myTruststore'dur.
Bir sertifikanın süresi dolduğunda sanal ana makineyi veya hedef uç noktayı/hedef sunucuyu yeni sertifikayı içeren anahtar deposunu veya güven deposunu belirtin. Referansın avantajı, anahtar deposunu veya güven deposunu değiştirmek zorunda kalmadan referansın değerini değiştirebilirsiniz. sanal ana makineyi veya hedef uç noktayı/hedef sunucunun kendisini değiştirin:
- Cloud müşterileri için: Referansın değerini değiştirmek için herhangi bir işlem gerekmez Apigee Edge Destek Ekibi ile iletişime geçmenizi öneririz.
- Private Cloud müşterileri için: Referansın değerini değiştirmek Yönlendiriciler ve İleti İşlemcileri gibi Edge bileşenlerini yeniden başlatmanızı gerektirir.
Alternatif olarak, anahtar deposu adını ve güven deposu adını doğrudan belirtebilirsiniz:
<KeyStore>myKeystore</KeyStore> <TrustStore>myTruststore</TrustStore>
Anahtar deposunun veya güven deposunun adını doğrudan belirtirseniz Cloud müşterileri Apigee Edge Destek Ekibi ile iletişime geçin Private Cloud müşterilerinin, sertifikayı güncellemek için belirli Edge bileşenlerini yeniden başlatması gerekir.
Yalnızca hedef uç noktalar/hedef sunucu için üçüncü bir seçenek de akış değişkenleridir:
<KeyStore>{ssl.keystore}</KeyStore> <TrustStore>{ssl.truststore}</TrustStore>
Akış değişkenleri, hedef uç noktalar/hedef sunucular için çalışır ve anahtar deposunu veya güven deposu olarak kullanabilirsiniz. Ancak sanal ana makinelerde çalışmazlar ve anahtar deposu, takma ad ve güven deposu hakkındaki bilgileri iletmenize olanak tanır.
Kullanım kısıtlamaları anahtar depoları ve güven deposu referansları
Ücretli Cloud müşterileri ve TLS'yi yapılandıran tüm Private Cloud müşterileri anahtar depolarına ve güven depolarına referanslar kullanırken şu kısıtlamayı uygulayın:
- Sanal ana makinelerde anahtar deposu ve güven deposu referanslarını yalnızca TLS'yi sonlandırırsanız kullanabilirsiniz üzerinde çalıştım.
- Apigee Yönlendiricilerinin önünde bir yük dengeleyiciniz varsa ve bu yönlendiricide TLS'yi sonlandırırsanız sanal ana makinelerde anahtar deposu ve güven deposu referanslarını kullanamazsınız.
Mevcut sanal ana makineniz değişmez anahtar deposu veya güven deposu adı kullanıyorsa
Edge'deki mevcut sanal ana makineler, anahtar depoları ve güven depoları. Bu durumda, sanal ana makineyi bir referans kullanacak şekilde güncelleyebilirsiniz.
Bulut için Uç
Sanal ana makineyi, birlikte çalışmanız gereken anahtar deposu referansını kullanacak şekilde değiştirmek için Apigee Edge Desteği.
Private Cloud için uç
Sanal ana makineyi referans kullanacak şekilde dönüştürmek için:
- Referans kullanmak için sanal ana makineyi güncelleyin.
- Yönlendiricileri yeniden başlatın.
Apigee ücretsiz deneme sertifikasını ve anahtarını kullanma hakkında
Cloud hesabınız için ücretli bir Edge kullanıyorsanız ve henüz TLS sertifikası ve anahtarınız yoksa Apigee ücretsiz deneme sertifikasını ve anahtarını kullanan bir sanal ana makine. Bu, sanal makineyi kendi oluşturduğunuz oluşturduğunuzdan emin olun.
Apigee ücretsiz deneme sertifikasını ve anahtarını kullanarak sanal ana makineyi tanımlayan bir XML nesnesi
<KeyStore>
ve <KeyAlias>
öğelerini belirleyip bunları
<UseBuiltInFreeTrialCert>
öğesi, aşağıda gösterildiği gibi:
<VirtualHost name="myTLSVHost"> <HostAliases> <HostAlias>myapi.apigee.net</HostAlias> </HostAliases> <Port>443</Port> <SSLInfo> <Enabled>true</Enabled> <ClientAuthEnabled>false</ClientAuthEnabled> </SSLInfo> <UseBuiltInFreeTrialCert>true</UseBuiltInFreeTrialCert> </VirtualHost>
İki yönlü TLS gerçekleştiriyorsanız <ClientAuthEnabled>
öğesini yine de
true
ve <TrustStore>
öğesiyle bir referans kullanarak güven deposu belirtin.
Cloud için sanal ana makineleri yapılandırma başlıklı makaleyi inceleyin .
TLS'yi yapılandırma hakkında
TLS yapılandırmasını nasıl gerçekleştireceğinizi iki ana faktör belirler:
- Edge Cloud veya Private Cloud müşterisi misiniz?
- Süresi dolmuş veya süresi dolan sertifikaları nasıl güncelleyeceksiniz?
Cloud ve Private Cloud yapılandırması seçenekler
Aşağıdaki tabloda Cloud ve Private Cloud için farklı yapılandırma seçenekleri gösterilmektedir müşteriler:
Private Cloud | Bulut | |
---|---|---|
Sanal ana makine | Tam kontrol | Yalnızca ücretli hesaplar için tam kontrol |
Hedef uç nokta/hedef sunucu | Tam kontrol | Tam kontrol |
Private Cloud müşterileri, hem sanal ana makinelerin hem de uç noktalar/hedef sunucular. Bu denetim, sanal makineler oluşturmak için sanal ana makinelerde tüm özellikleri ayarlayabilirsiniz.
Hem ücretli hem de değerlendirmeli tüm Cloud müşterileri, uç noktalar/hedef sunucular. Ayrıca, ücretli Cloud müşterileri aşağıdakilerin sanal ana makineler (TLS özellikleri dahil).
Süresi dolmuş sertifikaları işleme
Bir TLS sertifikasının süresi dolarsa veya sistem yapılandırmanız, sertifika artık geçerli değilse sertifikayı güncellemeniz gerekir. TLS'yi şunun için yapılandırırken: bir sanal ana makine veya hedef uç nokta/hedef sunucu kullanıyorsanız nasıl performans yapmanız gerekir.
Sertifikanın süresi dolduğunda
Edge'de sertifikaları şu iki yerden birinde saklarsınız:
- Anahtar Deposu - TLS sertifikasını ve tanımlamak için kullanılan özel anahtarı içerir varlık.
- Truststore - Şu işlemler için kullanılan bir TLS istemcisinde güvenilir sertifikaları içerir: istemciye sunulan TLS sunucusunun sertifikasını doğrular. Bu sertifikalar genellikle kendinden imzalı sertifikalar, güvenilir bir CA tarafından imzalanan sertifikalar veya iki yönlü TLS.
Anahtar deposundaki bir sertifikanın süresi dolduğunda ve keystore ile anahtar deposuna yeni bir sertifika yükleyemezsiniz. Bunun yerine:
- Yeni bir anahtar deposu oluşturun.
- Yeni sertifikayı yeni anahtar deposuna yüklemek için ile aynı takma adı kullanın eski anahtar deposunu kullanabilirsiniz.
- Sanal ana makinenizdeki veya hedef sunucu/hedef uç noktanızdaki referansı yeni anahtar deposuna gidin.
Truststore'daki bir sertifikanın süresi dolduğunda ve güven deposu kullanıyorsanız:
- Yeni bir güven deposu oluşturun.
- Yeni sertifikayı yeni güven deposuna yükleyin. Takma ad adı, güven depoları için önemli değildir. Not: Sertifika, bir zincirin parçasıysa tek bir dosya oluşturmanız gerekir dosyayı tek bir takma ada yüklemeli veya zincirini her sertifika için farklı bir takma ad kullanarak güven deposuna ayrı ayrı bağlayabilirsiniz.
- Sanal ana makinenizdeki veya hedef sunucu/hedef uç noktanızdaki referansı yeni güven deposu.
Süresi dolan bir sertifika
Sanal ana makinedeki anahtar deposunun ve güven deposunun adını belirtmek için kullandığınız yöntem veya hedef uç nokta/hedef sunucu, sertifika güncellemesini nasıl gerçekleştireceğinizi belirler. Şunları kullanabilirsiniz:
- Referanslar
- Doğrudan adlar
- Akış değişkenleri
Bu yöntemlerin her biri, aşağıdaki tabloda bulabilirsiniz. Gördüğünüz gibi referanslar, hem Cloud hem de Scrum hizmetleri için Private Cloud müşterileri:
Yapılandırma türü | Sertifikayı güncelleme/değiştirme | Private Cloud | Bulut |
---|---|---|---|
Referans (Önerilen) |
Anahtar deposu için yeni bir ad ve
aynı ada sahip olmalıdır.
Truststore için yeni adla bir güven deposu oluşturun. |
Referansı anahtar deposuna veya güven deposuna güncelleyin.
Yönlendiricinin veya İleti İşlemcinin yeniden başlatılması gerekmez. |
Referansı anahtar deposuna veya güven deposuna güncelleyin.
Apigee Destek Ekibi ile iletişime geçmeniz gerekmez. |
Akış değişkenleri (yalnızca hedef uç nokta) |
Anahtar deposu için yeni bir ad ve
aynı ad veya yeni bir adla değiştirin.
Truststore için yeni adla bir güven deposu oluşturun. |
Her istekte yeni anahtar deposunun adını, takma adı veya
güven deposu.
Yönlendiricinin veya İleti İşlemcinin yeniden başlatılması gerekmez. |
Her istekte yeni anahtar deposunun adını, takma adı veya
güven deposu.
Apigee Destek Ekibi ile iletişime geçmeniz gerekmez. |
Doğrudan | Yeni bir anahtar deposu, takma ad, güven deposu oluşturun. |
Sanal ana makineyi güncelleyip Yönlendiricileri yeniden başlatın.
Truststore bir hedef uç nokta/hedef sunucu tarafından kullanılıyorsa proxy'yi yeniden dağıtın. |
Sanal ana makinelerde Yönlendiricileri yeniden başlatmak için Apigee Edge Destek Ekibi ile iletişime geçin.
Truststore, bir hedef uç nokta/hedef sunucu tarafından kullanılıyorsa proxy'yi yeniden dağıtın. |
Doğrudan | Anahtar deposunu veya güven deposunu silin ve aynı adla yeniden oluşturun. |
Sanal ana makine güncellemesi gerekmez ve yönlendiricinin yeniden başlatılması gerekmez. Ancak API istekleri başarısız olur
yeni anahtar deposu ve takma ad ayarlanana kadar bekleyin.
Anahtar deposu, Edge ile arka uç hizmeti arasındaki iki yönlü TLS için kullanılıyorsa yeniden başlatın yani Mesaj İşleyicileri var. |
Sanal ana makine güncellemesi gerekmez. Ancak API istekleri, yeni anahtar deposuna ve
belirlenmesini sağlar.
Anahtar deposu, Edge ile arka uç hizmeti arasındaki iki yönlü TLS için kullanılıyorsa Mesaj İşlemcilerini yeniden başlatmak için Apigee Edge Destek Ekibi ile iletişime geçin. |
Doğrudan | Yalnızca Trustedstore için güven deposuna yeni bir sertifika yükleyin. |
Truststore, bir sanal ana makine tarafından kullanılıyorsa Yönlendiricileri yeniden başlatın.
Truststore bir hedef uç nokta/hedef sunucu tarafından kullanılıyorsa Message İşlemciler. |
Sanal ana makinelerde Edge Yönlendiricileri yeniden başlatmak için Apigee Edge Destek Ekibi ile iletişime geçin.
Truststore bir hedef uç nokta/hedef sunucu tarafından kullanılıyorsa Mesaj İşleyicileri'ni yeniden başlatmak için Apigee Edge Destek Ekibi ile iletişime geçin. |