TLS yapılandırma seçenekleri

Apigee Edge belgelerini görüntülüyorsunuz.
Apigee X belgelerine gidin.
bilgi

Bu belgede, iki işlevsel alan için Edge'de TLS'yi nasıl yapılandıracağınıza dair bir genel bakış yer almaktadır:

  1. API istemcilerinden API proxy'lerinize erişim. TLS'yi yapılandırmak için Uç Yönlendirici'de sanal ana makineleri kullanın.
  2. Edge üzerinden arka uç hizmetlerinize erişim. TLS'yi yapılandırmak için Edge Mesaj İşleyici'de hedef uç noktaları ve hedef sunucuları kullanın.

Bu erişim türlerinin her ikisi de aşağıda gösterilmiştir:

Sanal ana makine veya hedef uç nokta/hedef sunucuda TLS seçeneklerini ayarlama hakkında

Sanal bir ana makine, şu biçimde bir XML nesnesiyle temsil edilebilir:

<VirtualHost name="secure">
    ...
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>true</ClientAuthEnabled> 
        <KeyStore>ref://myKeystoreRef</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
        <TrustStore>ref://myTruststoreRef</TrustStore> 
        <IgnoreValidationErrors>false</IgnoreValidationErrors>
    </SSLInfo>
</VirtualHost>

TLS'yi yapılandırmak için değiştirdiğiniz sanal ana makinenin alanı, <SSLInfo> etiketiyle tanımlanır. Bir hedef uç noktası veya hedef sunucuyu yapılandırmak için aynı <SSLInfo> etiketini kullanırsınız.

Aşağıdaki tabloda, <SSLInfo> etiketi tarafından kullanılan TLS yapılandırma öğeleri açıklanmaktadır:

Öğe Açıklama
<Etkin>

Edge ile API istemcisi veya Edge ile hedef arka uç arasında tek yönlü TLS'yi etkinleştirir.

Sanal ana makine için sertifikayı ve özel anahtarı içeren bir anahtar deposu tanımlamanız gerekir.

<ClientAuthEnabled>

Edge ve API istemcisi veya Edge ile hedef arka uç arasında iki yönlü TLS'yi etkinleştirir.

İki yönlü TLS'yi etkinleştirmek için genellikle Edge'de bir güven deposu oluşturmanız gerekir.

<KeyStore> Anahtar deposu.
<KeyAlias> Anahtar deposuna sertifika ve özel anahtar yüklediğinizde belirtilen takma ad.
<TrustStore> Güven deposu.
<IgnoreValidationErrors>

Doğru değerine ayarlanırsa Edge, TLS sertifikası hatalarını yoksayar. Hedef sunucular ve hedef uç noktalar için TLS'yi yapılandırırken ve 2 yönlü TLS kullanan sanal ana makineleri yapılandırırken geçerlidir. Varsayılan değer, false (yanlış) değeridir.

Bir hedef uç nokta/hedef sunucu ile birlikte kullanıldığında, arka uç sistemi SNI kullanıyorsa ve ana makine adıyla eşleşmeyen konu Ayırt Edici Adı (DN) içeren bir sertifika döndürürse hatayı yoksaymak mümkün olmaz ve bağlantı başarısız olur.

<CommonName>

Belirtilirse hedef sertifikanın ortak adının doğrulandığı bir değerdir. Bu değer yalnızca TargetEndpoint ve TargetServer yapılandırmaları için geçerlidir. VirtualHost yapılandırmaları için geçerli değildir.

Varsayılan olarak, belirtilen değer hedef sertifikanın ortak adıyla tam olarak eşleştirilir. Örneğin, <CommonName> için *.myhost.com değeri kullanıldığında hedef ana makine adı yalnızca, *.myhost.com tam değeri hedef sertifikadaki ortak ad olarak belirtilirse eşleştirilir ve doğrulanır.

İsteğe bağlı olarak Apigee, wildcardMatch özelliğini kullanarak joker karakterlerle eşleşme gerçekleştirebilir.

Örneğin, hedef sertifikada abc.myhost.com olarak belirtilen ortak bir ad, <CommonName> öğesi aşağıdaki gibi belirtilirse eşleştirilir ve doğrulanır:

<CommonName wildcardMatch="true">*.myhost.com</CommonName>

<KeyStore> ve <TrustStore> öğelerini ayarlama hakkında

Yukarıdaki sanal ana makine örneğinde, anahtar deposu ve güven deposu, references kullanılarak şu biçimde belirtilir:

<KeyStore>ref://myKeystoreRef</KeyStore>
<TrustStore>ref://myTruststoreRef</TrustStore>

Apigee, her zaman anahtar deposu ve güven deposu referansları kullanmanızı önemle tavsiye eder. Referans, anahtar deposu adını doğrudan belirtmek yerine anahtar deposu veya güven deposunun adını içeren bir değişkendir. Bu örnekte:

  • myKeystoreRef, anahtar deposunun adını içeren bir referanstır. Bu örnekte, anahtar deposunun adı myKeystore'dur.
  • myTruststoreRef, güven deposunun adını içeren bir referanstır. Bu örnekte, güven deposunun adı myTruststore'dur.

Bir sertifikanın süresi dolduğunda, yeni sertifikayı içeren anahtar deposunu veya güven deposunu belirtmek için sanal ana makineyi veya hedef uç nokta/hedef sunucuyu güncellemeniz gerekir. Referansın avantajı, sanal ana makineyi veya hedef uç nokta/hedef sunucunun kendisini değiştirmek zorunda kalmadan anahtar deposunu ya da güven deposunu değiştirmek için referansın değerini değiştirebilmenizdir:

  • Cloud müşterileri için: Referansın değerini değiştirmek, Apigee Edge Destek Ekibi ile iletişime geçmeniz gerekmez.
  • Private Cloud müşterileri için: Referans değerini değiştirmek, Yönlendiriciler ve Mesaj İşleyiciler gibi Edge bileşenlerini yeniden başlatmanızı gerektirmez.

Alternatif olarak, anahtar deposu adını ve güven deposu adını doğrudan belirtebilirsiniz:

<KeyStore>myKeystore</KeyStore>
<TrustStore>myTruststore</TrustStore> 

Anahtar deposu veya güven deposunun adını doğrudan belirtirseniz Cloud müşterileri Apigee Edge Destek Ekibi ile iletişime geçmelidir ve Private Cloud müşterilerinin sertifikayı güncellemek için belirli Edge bileşenlerini yeniden başlatması gerekir.

Üçüncü bir seçenek, hedef uç noktalar/yalnızca hedef sunucu için akış değişkenleri kullanmaktır:

<KeyStore>{ssl.keystore}</KeyStore>
<TrustStore>{ssl.truststore}</TrustStore> 

Akış değişkenleri hedef uç noktalar/hedef sunucular için çalışır ve anahtar deposu veya güven deposu gibi referansları güncellemenize olanak tanır. Ancak sanal ana makinelerle çalışmazlar ve her istekte anahtar deposu, takma ad ve güven deposu hakkında bilgi iletmenizi gerektirir.

Anahtar depoları ve güven deposu referanslarını kullanmayla ilgili kısıtlamalar

Ücretli Cloud müşterileri ve TLS'yi yapılandıran tüm Private Cloud müşterileri, anahtar depoları ve güven depoları referanslarını kullanırken aşağıdaki kısıtlamayı dikkate almalıdır:

  • Apigee Yönlendiricilerde TLS'yi sonlandırırsanız yalnızca sanal ana makinelerde anahtar deposu ve güven deposu referanslarını kullanabilirsiniz.
  • Apigee Yönlendiricilerinin önünde bir yük dengeleyiciniz varsa ve yük dengeleyicide TLS'yi sonlandırırsanız sanal ana makinelerde anahtar deposu ve güven deposu referanslarını kullanamazsınız.

Mevcut sanal ana makineniz sabit anahtar deposu veya güven deposu adı kullanıyorsa

Edge'deki mevcut sanal ana makineler, anahtar depoları ve güven depoları için referanslar kullanacak şekilde yapılandırılmamış olabilir. Bu durumda, sanal ana makineyi bir referans kullanacak şekilde güncelleyebilirsiniz.

  1. Edge for the Cloud

    Sanal ana makineyi, anahtar deposu referansı kullanacak şekilde değiştirmek için Apigee Edge Desteği ile çalışmanız gerekir.

  2. Private Cloud sınırı

    Sanal ana makineyi referans kullanacak şekilde dönüştürmek için:

    1. Referans kullanmak için sanal ana makineyi güncelleyin.
    2. Yönlendiricileri yeniden başlatın.
    Daha fazla bilgi edinmek için Private Cloud için bir API'ye TLS erişimini yapılandırma başlıklı makalenin "Anahtar deposu ve güven deposu referanslarını kullanmak için sanal ana makineyi değiştirme" bölümüne bakın.

Apigee ücretsiz deneme sertifikasının ve anahtarının kullanımı hakkında

Cloud for Cloud için ücretli bir hesabınız varsa ve henüz TLS sertifikası ile anahtarınız yoksa Apigee ücretsiz deneme sertifikasını ve anahtarını kullanan bir sanal ana makine oluşturabilirsiniz. Bu da, önce anahtar deposu oluşturmadan sanal ana makineyi oluşturabileceğiniz anlamına gelir.

Apigee ücretsiz deneme sertifikasını ve anahtarını kullanarak sanal ana makineyi tanımlayan bir XML nesnesi, <KeyStore> ve <KeyAlias> öğelerini atlayıp aşağıda gösterildiği gibi bunları <UseBuiltInFreeTrialCert> öğesiyle değiştirir:

<VirtualHost name="myTLSVHost">
    <HostAliases>
        <HostAlias>myapi.apigee.net</HostAlias>
    </HostAliases>
    <Port>443</Port>
    <SSLInfo>
        <Enabled>true</Enabled>
        <ClientAuthEnabled>false</ClientAuthEnabled>
    </SSLInfo>
    <UseBuiltInFreeTrialCert>true</UseBuiltInFreeTrialCert>
</VirtualHost>

İki yönlü TLS gerçekleştiriyorsanız <ClientAuthEnabled> öğesini yine de true olarak ayarlamanız ve <TrustStore> öğesine sahip bir referans kullanarak bir güven deposu belirtmeniz gerekir.

Daha fazla bilgi için Cloud için sanal ana makineleri yapılandırma sayfasını inceleyin.

TLS'yi yapılandırma hakkında

TLS yapılandırmasını nasıl gerçekleştireceğinizi iki ana faktör belirler:

  • Edge Cloud veya Private Cloud müşterisi misiniz?
  • Süresi dolan veya süresi dolan sertifikaları nasıl güncelleyeceksiniz?

Cloud ve Private Cloud yapılandırma seçenekleri

Aşağıdaki tabloda Cloud ve Private Cloud müşterileri için farklı yapılandırma seçenekleri gösterilmektedir:

Private Cloud Bulut
Sanal ana makine Tam kontrol Yalnızca ücretli hesaplar için tam kontrol
Hedef uç nokta/hedef sunucu Tam kontrol Tam kontrol

Private Cloud müşterileri hem sanal ana makinelerin hem de hedef uç noktaların/hedef sunucuların yapılandırması üzerinde tam denetime sahiptir. Bu denetim, sanal ana makineler oluşturup silme ve sanal ana makinedeki tüm özellikleri ayarlama özelliklerini içerir.

Ücretli ve değerlendirme dahil tüm Cloud müşterileri, hedef uç noktaların/hedef sunucuların yapılandırması üzerinde tam kontrol sahibidir. Ayrıca, ücretli Cloud müşterileri, TLS mülkleri dahil sanal ana makineler üzerinde tam kontrole sahiptir.

Süresi dolan sertifikaları işleme

Bir TLS sertifikasının süresi dolarsa veya sistem yapılandırmanız, sertifikanın artık geçerli olmayacağı şekilde değişirse sertifikayı güncellemeniz gerekir. Bir sanal ana makine veya hedef uç nokta/hedef sunucu için TLS'yi yapılandırırken, herhangi bir yapılandırma gerçekleştirmeden önce bu güncellemeyi nasıl gerçekleştireceğinize karar vermeniz gerekir.

Bir sertifikanın süresi dolduğunda

Edge'de, sertifikaları iki yerden birinde depolarsınız:

  • Anahtar deposu: TLS el sıkışması sırasında varlığı tanımlamak için kullanılan TLS sertifikasını ve özel anahtarı içerir.
  • Truststore: İstemciye sunulan TLS sunucusunun sertifikasını doğrulamak için kullanılan bir TLS istemcisindeki güvenilir sertifikaları içerir. Bu sertifikalar genellikle kendinden imzalı, güvenilir bir CA tarafından imzalanan veya iki yönlü TLS'nin parçası olarak kullanılan sertifikalardır.

Bir anahtar deposundaki sertifikanın süresi dolduğunda ve anahtar deposuna bir referans kullanıyorsanız anahtar deposuna yeni bir sertifika yükleyemezsiniz. Bunun yerine:

  1. Yeni bir anahtar deposu oluşturun.
  2. Yeni sertifikayı, eski anahtar deposuyla aynı takma ad adını kullanarak yeni anahtar deposuna yükleyin.
  3. Yeni anahtar deposunu kullanmak için sanal ana makinenizdeki veya hedef sunucu/hedef uç noktanızdaki referansı güncelleyin.

Bir güven deposundaki sertifikanın süresi dolduğunda ve güven deposuna bir referans kullandığınızda:

  1. Yeni bir güven deposu oluşturun.
  2. Yeni sertifikayı yeni güven deposuna yükleyin. Takma ad, güven depoları için önemli değildir. Not: Bir sertifika, bir zincirin parçasıysa tüm sertifikaları içeren tek bir dosya oluşturup bu dosyayı tek bir takma ada yüklemeniz veya zincirdeki tüm sertifikaları, her sertifika için farklı bir takma ad kullanarak güven deposuna ayrı olarak yüklemeniz gerekir.
  3. Yeni güven deposunu kullanmak için sanal ana makinenizdeki veya hedef sunucu/hedef uç noktanızdaki referansı güncelleyin.

Süresi dolmuş bir sertifikayı güncelleme yöntemlerinin özeti

Sanal ana makine veya hedef uç nokta/hedef sunucuda anahtar deposu ve güven deposunun adını belirtmek için kullandığınız yöntem, sertifika güncellemesini nasıl gerçekleştireceğinizi belirler. Şunları kullanabilirsiniz:

  • Referanslar
  • Doğrudan adlar
  • Akış değişkenleri

Aşağıdaki tabloda açıklandığı gibi bu yöntemlerin her birinin güncelleme sürecinde farklı sonuçları vardır. Gördüğünüz gibi, referanslar hem Cloud hem de Private Cloud müşterileri için en büyük esnekliği sağlıyor:

Yapılandırma türü Sertifikayı güncelleme/değiştirme Private Cloud Bulut
Referans (Önerilen) Anahtar deposu için yeni bir ad ve eski takma adla aynı ada sahip bir takma adla yeni anahtar deposu oluşturun.

Truststore için yeni ada sahip bir güven deposu oluşturun.

Referansı anahtar deposu veya güven deposu olarak güncelleyin.

Yönlendirici veya Mesaj İşlemci'nin yeniden başlatılması gerekmez.

Referansı anahtar deposu veya güven deposu olarak güncelleyin.

Apigee Desteği ile iletişime geçmeniz gerekmez.

Akış değişkenleri (yalnızca hedef uç nokta) Anahtar deposu için yeni bir ad ve aynı ada veya yeni bir takma ada sahip yeni bir anahtar deposu oluşturun.

Truststore için yeni ada sahip bir güven deposu oluşturun.

Her istekte yeni anahtar deposunun, takma adın veya güven deposunun adıyla güncellenmiş akış var aracını iletin.

Yönlendirici veya Mesaj İşlemci'nin yeniden başlatılması gerekmez.

Her istekte yeni anahtar deposunun, takma adın veya güven deposunun adıyla güncellenmiş akış var aracını iletin.

Apigee Desteği ile iletişime geçmeniz gerekmez.

Doğrudan Yeni bir anahtar deposu, takma ad veya güven deposu oluşturun. Sanal ana makineyi güncelleyin ve Yönlendiricileri yeniden başlatın.

Truststore bir hedef uç nokta/hedef sunucu tarafından kullanılıyorsa proxy'yi yeniden dağıtın.

Sanal ana makineler için Apigee Edge Destek Ekibi ile iletişime geçerek Yönlendiricileri yeniden başlatın.

Truststore bir hedef uç nokta/hedef sunucu tarafından kullanılıyorsa proxy'yi yeniden dağıtın.

Doğrudan Anahtar deposunu veya güven deposunu silin ve aynı adla yeniden oluşturun. Sanal ana makine güncellemesi ve yönlendiricinin yeniden başlatılması gerekmez. Ancak yeni anahtar deposu ve takma ad ayarlanana kadar API istekleri başarısız olur.

Anahtar deposu, Edge ile arka uç hizmeti arasında iki yönlü TLS için kullanılıyorsa Mesaj İşleyicileri'ni yeniden başlatın.

Sanal ana makine güncellemesi gerekmez. Ancak yeni anahtar deposu ve takma ad belirlenene kadar API istekleri başarısız olur.

Anahtar deposu, Edge ile arka uç hizmeti arasında iki yönlü TLS için kullanılıyorsa Mesaj İşlemcileri yeniden başlatmak için Apigee Edge Destek Ekibi ile iletişime geçin.

Doğrudan Yalnızca güven deposu için güven deposuna yeni bir sertifika yükleyin. Truststore, bir sanal ana makine tarafından kullanılıyorsa Yönlendiricileri yeniden başlatın.

Truststore bir hedef uç nokta/hedef sunucu tarafından kullanılıyorsa Mesaj İşleyicileri'ni yeniden başlatın.

Sanal ana makineler için Apigee Edge Destek Ekibi ile iletişime geçerek Uç Yönlendiricileri yeniden başlatın.

Truststore, bir hedef uç nokta/hedef sunucu tarafından kullanılıyorsa Mesaj İşleyicileri yeniden başlatmak için Apigee Edge Destek Ekibi ile iletişime geçin.