TLS 证书概念和操作
有关内部 API Connect 证书、更新过期证书、导出证书和其他证书维护操作的信息。
本主题涵盖日常 API Connect 操作中不需要的高级证书配置过程。 有关 API Connect 证书的最佳实践,请参阅 API Connect TLS 证书最佳实践。
API Connect 证书类型
由 API Connect 生成和使用的所有 TLS 证书都属于下列其中一个类别:
- CA 证书- API Connect 创建自签名 CA 证书以签署所有 API Connect 最终实体证书。 CA 证书为:
ingress-ca-由入口颁发者使用。 入口卡对所有面向用户的证书和子系统间证书进行签名。root-ca-签署ingress-ca证书的自签名根证书。management-ca-对所有管理子系统内证书进行签名。portal-ca-对所有门户网站子系统内证书进行签名。analytics-ca-签署所有分析子系统内证书。
请勿定制 CA 证书。 CA 证书需要更新的唯一方案是:- 10 年后到期。
- 在多个数据中心部署中的数据中心之间同步
ingress-ca证书。
- 入口证书-入口证书是由
ingress-ca证书签署并保护 API Connect 端点的最终实体证书。 入口证书分为两种类型:- 子系统间证书-用于保护 API Connect 子系统之间 (例如管理子系统与网关之间) 通信的证书。 缺省情况下,大多数子系统之间的通信使用 mTLS。 可以使用 JWT 代替 mTLS: 在 OVA 上使用 JWT 代替 mTLS.
请勿定制子系统间证书。
- 面向用户的证书 - API Connect 用户与 API Connect UI 和 REST API 交互时看到的证书。
您可以定制面向用户的证书: 定制面向用户的证书
- 子系统间证书-用于保护 API Connect 子系统之间 (例如管理子系统与网关之间) 通信的证书。 缺省情况下,大多数子系统之间的通信使用 mTLS。 可以使用 JWT 代替 mTLS: 在 OVA 上使用 JWT 代替 mTLS.
- 子系统内证书-在同一子系统中的软件组件之间使用的证书。 子系统内证书由特定于子系统的 CA 证书签署:
management-ca,portal-ca,analytics-ca。 网关子系统是单个 pod ,并且没有子系统内证书。请勿定制子系统内证书。
注: 使用自签名根 CA 的子系统间证书和子系统内证书不会产生任何安全风险。 对于具有有限数量的预定义端点的内部通信,使用本地生成的自签名 CA 证书可能比使用外部 CA 证书更安全,因为仅会为已知组件发放证书,并且信任域尽可能小。