استخدام إشارة اسم الخادم (SNI) مع Edge

أنت تعرض مستندات Apigee Edge.
انتقل إلى مستندات Apigee X. معلومات

يسمح مؤشر اسم الخادم (SNI) بعرض أهداف HTTPS متعددة خارج عنوان IP نفسه. العنوان والمنفذ بدون أن تطلب من هذه الأهداف استخدام شهادة بروتوكول أمان طبقة النقل (TLS) نفسها. عندما تكون إشارة اسم الخادم (SNI) هي على جهاز العميل، يمرر العميل اسم المضيف لنقطة النهاية المستهدفة كجزء من تأكيد الاتصال من خلال بروتوكول أمان طبقة النقل (TLS) يسمح ذلك لخادم بروتوكول أمان طبقة النقل (TLS) بتحديد شهادة بروتوكول أمان طبقة النقل (TLS) التي يجب استخدامها للتحقق من صحة الشهادة. الطلب.

على سبيل المثال، إذا كان هدف الطلب هو https://example.com/request/path، سيضيف برنامج بروتوكول أمان طبقة النقل (TLS) الإضافة server_name إلى تأكيد الاتصال من خلال بروتوكول أمان طبقة النقل (TLS). طلبك، كما هو موضح أدناه:

تتوافق شبكة Edge مع إشارة اسم الخادم (SNI) لما يلي:

• الطلبات من تطبيق عميل إلى خادم وكيل لواجهة برمجة التطبيقات في هذا السيناريو، يعمل Edge كبروتوكول أمان طبقة النقل (TLS) خادم
• الطلبات من Edge إلى الخلفية. في هذا السيناريو، تعمل شبكة Edge كعميل TLS.

ولمزيد من المعلومات عن إشارة اسم الخادم (SNI)، يمكنك الاطّلاع على:

• https://en.wikipedia.org/wiki/Server_Name_Indication
• http://blog.layershift.com/sni-ssl-production-ready/

توفير إشارة اسم الخادم (SNI) لطلب الوصول إلى الخادم الوكيل لواجهة برمجة التطبيقات على الحافة

يتم التحكم في إتاحة إشارة اسم الخادم (SNI) للطلبات المقدمة إلى الخوادم الوكيلة لواجهة برمجة التطبيقات من خلال الأسماء المستعارة للمضيفين المضيفين.

لمحة عن الألعاب الافتراضية المضيفين والأسماء المستعارة للمضيفين

باستخدام Edge، يحدّد المضيف الافتراضي عنوان IP والمنفذ أو اسم نظام أسماء النطاقات والمنفذ على الذي يتم الكشف عنه الخادم الوكيل لواجهة برمجة التطبيقات، وبالتالي، عنوان URL الذي تستخدمه التطبيقات للوصول إلى الخادم الوكيل لواجهة برمجة التطبيقات. يتوافق عنوان IP/اسم نظام أسماء النطاقات مع جهاز توجيه Edge، ورقم المنفذ هو منفذ مفتوح على جهاز التوجيه.

عند إنشاء المضيف الظاهري، يمكنك أيضًا تحديد الاسم المستعار للمضيف للمضيف الظاهري. ويكون عادةً هذا الاسم هو اسم نظام أسماء النطاقات (DNS) للمضيف الظاهري. وكجزء من تحديد الخادم الوكيل لواجهة برمجة التطبيقات الذي معالجة الطلب، يقارن جهاز التوجيه عنوان Host للطلب الوارد قائمة بأسماء المضيفين المستعارة المتاحة التي تحددها جميع المضيفات الظاهرية.

يجب أن يكون الجمع بين اسم المضيف المستعار ورقم المنفذ للمضيف الظاهري فريدًا للجميع المضيفين الظاهريين في تثبيت Edge. وهذا يعني أنه يمكن للعديد من المضيفين الظاهريين استخدام رقم المنفذ نفسه إذا كان لهما أسماء مستعارة مختلفة للمضيف.

ويحدد المضيف الظاهري أيضًا ما إذا كان يمكن الوصول إلى خادم وكيل واجهة برمجة التطبيقات باستخدام بروتوكول HTTP، أو بواسطة بروتوكول HTTPS المشفّر باستخدام بروتوكول أمان طبقة النقل (TLS). عند إعداد مضيف افتراضي لاستخدام HTTPS، إقران المضيف الظاهري بمخزن مفاتيح يحتوي على الشهادة والمفتاح الخاص الذي يستخدمه المضيف الظاهري أثناء المصافحة عبر بروتوكول أمان طبقة النقل (TLS).

للحصول على معلومات إضافية حول المضيفات الظاهرية، يُرجى الاطلاع على:

• لمحة عن المضيفات الافتراضية
• تهيئة بروتوكول أمان طبقة النقل (TLS) الوصول إلى واجهة برمجة تطبيقات خاصة بالسحابة الإلكترونية الخاصة
• تخزين المفاتيح Truststores

آلية عمل إشارة اسم الخادم (SNI) مع الأسماء المستعارة للمضيف

تُتيح لك إشارة اسم الخادم (SNI) وجود عدة مضيفات ظاهرية محددة على المنفذ نفسه، لكل مضيف مختلف شهادات ومفاتيح بروتوكول أمان طبقة النقل (TLS) ثم تحدد شبكة Edge المضيف الظاهري، وتحدد زوج المفتاح/الشهادة المستخدم بواسطة بروتوكول أمان طبقة النقل (TLS)، استنادًا إلى server_name في طلب تأكيد الاتصال من خلال بروتوكول أمان طبقة النقل (TLS).

يقرأ جهاز توجيه Edge الإضافة server_name في تأكيد الاتصال من خلال بروتوكول أمان طبقة النقل (TLS). ثم يستخدمها للبحث من الأسماء المستعارة للمضيفين من جميع المضيفين. إذا اكتشف جهاز التوجيه تطابقًا مع اسم مضيف بديل، يستخدم جهاز التوجيه شهادة ومفتاح بروتوكول أمان طبقة النقل (TLS) من المضيف الظاهري المرتبط بالاسم المستعار للمضيف. وفي حال عدم العثور على أي تطابق، لن تنجح تأكيد اتصال بروتوكول أمان طبقة النقل (TLS).

فبدلاً من أن تفشل عملية تأكيد اتصال بروتوكول أمان طبقة النقل (TLS)، يمكنك تحديد زوج مفاتيح شهادة/مفتاح افتراضي، الموضحة في الأقسام التالية.

تحديد زوج مفاتيح أو شهادة تلقائية في Edge for the Cloud

توفّر Apigee شهادة بروتوكول أمان طبقة النقل (TLS) ومفتاح خاص لدعم بروتوكول HTTPS. في حين أن الكثير من العملاء أو يفضلون استخدام شهادتهم الخاصة ومفتاحهم الخاص في وقت النشر، يمكنك نشر واجهات برمجة التطبيقات باستخدام شهادة ومفتاح Apigee.

في Edge for the Cloud، إذا لم يتمكن جهاز التوجيه من مطابقة رأس إشارة اسم الخادم (SNI) مع اسم مستعار للمضيف أو إذا كانت العميل لا يدعم إشارة اسم الخادم (SNI)، يستخدم جهاز التوجيه الشهادة التلقائية التي يوفّرها Apigee، وهي *.apigee.net.

تحديد زوج مفاتيح أو شهادة تلقائية في Edge للسحابة الإلكترونية الخاصة

في Edge على السحابة الإلكترونية الخاصة، إذا لم يتم العثور على أي تطابق بين الإضافة server_name والعناوين البديلة للمضيف من جميع المضيفات الظاهرية، أو إذا كان العميل صاحب الطلب لا يدعم إشارة اسم الخادم (SNI)، يمكنك تهيئة جهاز التوجيه لاستخدام الشهادة/المفتاح من مضيف افتراضي افتراضي على المنفذ. المضيف الظاهري الافتراضي هو محددة من خلال مجموعة من اسم المؤسسة واسم البيئة واسم المضيف الظاهري، في النموذج:

orgName_envName_vhName

يستخدم جهاز التوجيه الشهادة أو المفتاح من مجموعة orgName_envName_vhName التي يأتي في المرتبة الأولى بترتيب أبجدي. على سبيل المثال، يأتي الطلب عبر المنفذ 443، وهناك تم تحديد مضيفَين افتراضيَين للمؤسسة example في البيئة prod:

• اسم المضيف الظاهري = default
• اسم المضيف الظاهري = test

في هذا المثال، يستخدم جهاز التوجيه الشهادة أو المفتاح من المضيف الافتراضي المُسمّى default. لأن example_prod_default تأتي أبجديًا قبل example_prod_test.

لتفعيل المضيف الافتراضي التلقائي:

1. في أول عقدة Router، عدِّل /opt/apigee/customer/application/router.properties. إذا لم يكن هذا الملف متوفّرًا، أنشئه.
2. أضف السمة التالية إلى الملف لتتمكن من تحديد مضيف افتراضي افتراضي:

   conf_load_balancing_load.balancing.driver.nginx.fallback.conf.enabled=true

3. أعِد تشغيل جهاز التوجيه:

   /opt/apigee/apigee-service/bin/apigee-service edge-router restart

4. كرِّر هذه الخطوات على كل أجهزة التوجيه المتبقية.

وبدلاً من استخدام الشهادة/المفتاح من المضيف الظاهري الافتراضي، يمكنك تحديد الشهادة/المفتاح الافتراضي على جهاز التوجيه. استخدِم الإجراء التالي لتحديد إعداد تلقائي صريح زوج المفتاح/الشهادة:

1. في عقدة Router الأولى، انسخ الشهادة والمفتاح الخاص إلى موقع على عقدة جهاز التوجيه التي يمكن لمستخدم واجهة برمجة التطبيقات الوصول إليها. مثلاً: /opt/apigee/customer/application
2. غيّر ملكية الملفات إلى "واجهة برمجة التطبيقات". المستخدم:

   chown apigee:apigee /opt/apigee/customer/application/myCert.pem

   chown apigee:apigee /opt/apigee/customer/application/myKey.pem

3. تعديل /opt/apigee/customer/application/router.properties إذا لم يكن هذا الملف متوفّرًا، أنشئه.
4. أضِف السمات التالية إلى الملف لتتمكّن من تحديد الشهادة أو المفتاح التلقائيَين:
   conf_load_balancing_load.balancing.driver.nginx.fallback.server.default.ssl.template.enabled=true
conf_load_balancing_load.balancing.driver.nginx.fallback.conf.enabled=true
5. يُرجى ضبط السمات التالية في router.properties لتحديد الموقع الجغرافي. للشهادة والمفتاح:

   conf_load_balancing_load.balancing.driver.nginx.ssl.cert=/opt/apigee/customer/application/myCert.pem
   conf_load_balancing_load.balancing.driver.nginx.ssl.key=/opt/apigee/customer/application/myKey.pem

6. أعِد تشغيل جهاز التوجيه:

   /opt/apigee/apigee-service/bin/apigee-service edge-router restart

7. كرِّر هذه الخطوات على كل أجهزة التوجيه المتبقية.

توفير إشارة اسم الخادم (SNI) للطلبات من Edge إلى الخلفية

يدعم Edge استخدام إشارة اسم الخادم (SNI) من معالِجات الرسائل (SNI) لاستهداف نقاط النهاية في Apigee Edge على Google Cloud ولعمليات نشر Private Cloud يتم تفعيل إشارة اسم الخادم (SNI) تلقائيًا على معالِجات رسائل Edge للسحابة الإلكترونية وإيقافها في السحابة الإلكترونية الخاصة

استخدام إشارة اسم الخادم (SNI) إلى الخلفية في Edge for the Private Cloud

بالنسبة إلى Edge for the Private Cloud، وللتوافق مع الأنظمة القديمة مع الخلفيات المستهدفة الحالية، أوقفت Apigee إشارة اسم الخادم (SNI) تلقائيًا. في حال ضبط الواجهة الخلفية المستهدفة لتتوافق مع إشارة اسم الخادم (SNI)، يمكنك قم بتمكين هذه الميزة كما هو موضح أدناه لإصدار Edge الذي تستخدمه.

لن يُطلب منك ضبط أي إعدادات أخرى خاصة بمتصفّح Edge. إذا تم ضبط البيئة الهدف على إشارة اسم الخادم (SNI)، تدعمها شبكة Edge. يستخلص Edge اسم المضيف تلقائيًا من عنوان URL الخاص بالطلب ويضيفه. إلى طلب تأكيد اتصال بروتوكول أمان طبقة النقل (TLS).

تفعيل إشارة اسم الخادم (SNI) بين Edge والخلفية لإصدار Edge 4.15.07.0x

استخدم الإجراء التالي لتفعيل إشارة اسم الخادم (SNI):

1. في عقدة "معالج الرسائل" الأولى، افتح الملف /opt/apigee4/conf/apigee/message-processor/system.properties في المحرِّر.
2. اضبط السمة التالية على "صحيح" في system.properties:

   jsse.enableSNIExtension=true

3. إعادة تشغيل معالِجات الرسائل:

   /opt/apigee4/bin/apigee-service message-processor restart

4. كرر هذه الخطوات على كل معالِجات الرسائل المتبقية.

تفعيل إشارة اسم الخادم (SNI) بين Edge والخلفية للإصدار 4.16.01 من Edge والإصدارات الأحدث

استخدم الإجراء التالي لتفعيل إشارة اسم الخادم (SNI):

1. في العقدة الأولى لمعالجة الرسائل، عدِّل /opt/apigee/customer/application/message-processor.properties. إذا لم يكن هذا الملف متوفّرًا، أنشئه.
2. أضِف السمة التالية إلى الملف:

   conf_system_jsse.enableSNIExtension=true

3. إعادة تشغيل معالج الرسائل:

   /opt/apigee/apigee-service/bin/apigee-service edge-message-processor restart

4. كرر هذه الخطوات على كل معالِجات الرسائل المتبقية.