使用參考資料

您正在查看 Apigee Edge 說明文件。
查看 Apigee X 說明文件 資訊

設定支援傳輸層安全標準 (TLS) 的虛擬主機時,需使用參照來指定 KeyStore 或 TrustStore。參照是一種包含 KeyStore 或 Truststore 名稱的變數,而不是直接指定 KeyStore 或信任儲存庫名稱,如下所示:

    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>false</ClientAuthEnabled> 
        <KeyStore>ref://myTestKeystoreRef</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
    </SSLInfo>

使用參照的優點是,您可以變更參照的值來變更虛擬主機使用的 KeyStore,原因通常是因為目前 KeyStore 中的憑證將於近期到期。變更參照值時,不需要重新啟動邊緣路由器。

您只能使用 KeyStore 和 Truststore 的參照,不能使用別名的參照。當您變更 KeyStore 的參照時,請確認憑證的別名名稱與舊的 KeyStore 相同。

使用 KeyStore 和 Truststore 的參照限制

使用 KeyStore 和信任儲存庫的參照時,必須考量下列限制:

  • 您必須支援 SNI,並在 Apigee 路由器上終止 SSL,才能在虛擬主機中使用 KeyStore 和 Truststore 參照。
  • 如果 Apigee 路由器前方有負載平衡器,且您在負載平衡器上終止 TLS,您就無法在虛擬主機中使用 KeyStore 和 Truststore 參照。

建立參考檔案

如何在 Edge UI 中建立參照:

  1. 前往 https://enterprise.apigee.com 登入 Edge 管理 UI。
  2. 在 Edge Management UI 選單中,選取貴機構名稱。
  3. 視您的 Edge UI 版本而定:
    1. 如果您使用的是傳統邊緣 UI,請依序選取「API」>「環境設定」
    2. 如果您使用的是「New Edge UI」,請依序選取「Admin」>「Environments」
  4. 選取環境 (通常為 prodtest)
  5. 選取 [參考資料] 分頁標籤。
  6. 選取「+ 參考資料」按鈕。畫面上會顯示下列彈出式視窗:
  7. 指定:
    1. 參考檔案的名稱
    2. 參照的實體,也就是 KeyStore 或 Truststore 名稱。
    3. 選取「儲存」

或者,使用 Create Reference API 呼叫建立名稱為 keystoreref 的參照:

curl -X POST  -H "Content-Type:application/xml" https://api.enterprise.apigee.com/v1/o/{org_name}/e/{env_name}/references \
-d '<ResourceReference name="keystoreref">
    <Refers>myTestKeystore</Refers>
    <ResourceType>KeyStore</ResourceType>
</ResourceReference>' -u orgAdminEmail:password

參照會指定 KeyStore 的名稱及其類型。請使用相同的 API 呼叫來建立信任儲存庫的參照。

修改參照

如何在 Edge UI 中修改參照的值:

  1. 前往 https://enterprise.apigee.com 登入 Edge 管理 UI。
  2. 在 Edge Management UI 選單中,選取貴機構名稱。
  3. 視您的 Edge UI 版本而定:
    1. 如果您使用的是傳統邊緣 UI,請依序選取「API」>「環境設定」
    2. 如果您使用的是「New Edge UI」,請依序選取「Admin」>「Environments」
  4. 選取環境 (通常為 prodtest)
  5. 選取 [參考資料] 分頁標籤。
  6. 在「參考資料」分頁中,選取參考檔案的「編輯」按鈕。
  7. 更新參照以指定新的 KeyStore 或 Truststore。注意:請確認新 KeyStore 中的別名與舊 KeyStore 中的別名名稱相同。
  8. 選取「儲存」

如要變更指向其他 KeyStore 的參照,並確保新 KeyStore 中的別名與舊 KeyStore 中的別名名稱相同,請使用 Update Reference API:

curl -X PUT -H "Content-Type:application/xml" https://api.enterprise.apigee.com/v1/o/{org_name}/e/{env_name}/references/keystoreref \
-d '<ResourceReference name="keystoreref">
    <Refers>myNewKeystore</Refers>
    <ResourceType>KeyStore</ResourceType>
</ResourceReference>' -u orgAdminEmail:password