在云管理器用户界面中创建 TLS 客户配置文件,以确保 API Connect 环境中客户端连接的安全。
准备工作
查看 TLS 配置文件概述,了解 TLS 配置文件、密钥库和信任库的概念,以及安装时创建的默认配置文件的目的。
配置 TLS 客户端配置文件需要以下角色之一:
- 管理员
- 所有者
- 拓扑管理员
- 自定义角色Settings: Manage许可权
关于此任务
TLS 客户端配置文件定义了与 TLS 安全端点建立客户端连接时使用的 TLS 版本、密钥库、信任库和密码。
过程
完成以下步骤创建 TLS 客户端配置文件:
- 在 Cloud Manager 中,单击
Resources.
- 选择 加密材料.
- 单击 TLS 客户端配置文件表中的 创建。
- 输入字段以配置 TLS 客户机概要文件:
| 字段 |
描述 |
| 标题 |
输入概要文件的标题。 |
| 名称 |
名称根据标题自动生成(空格和其他 URL 不安全字符会被替换)。 |
| 版本 |
指定概要文件的版本号。 使用版本号使您能够创建含相同名称和不同配置的多个服务器概要文件,例如,MyProfile 1.0 和 MyProfile 1.1。 |
| 摘要 |
输入概要文件的描述。 |
| 协议 |
选择一个或多个受支持的 TLS 协议版本。 默认值为 1.2 和 1.3 。 |
| 服务器连接 |
指定是否支持弱凭证或不安全的凭证。
- 允许不安全的服务器连接 - 不安全的服务器连接可能是指使用自签名、过期、损坏或来自未知或不可信来源的证书的连接。 选中此框以允许继续使用不安全的连接。 缺省为不允许不安全的服务器连接。
- 支持 Server Name Indication (SNI) - 选中此框以启用 SNI。 SNI 支持使用不同主机名在同一 IP 地址上显示多个证书。 客户机概要文件发送虚拟域名称作为 TLS 协商的一部分。 缺省情况下,启用 SNI。
|
| 密钥库 |
keystore 是一个包含公钥和私钥对的存储库。 密钥库中有客户端与 TLS 安全端点启动通信时出示的公钥。
重要:如果您创建了自己的 TLS 配置文件,API Connect 会在您上传证书时对其进行验证,但不会持续监控证书是否过期。 您有责任在证书过期前对其进行监控和更新。
|
| 信任库 (Truststore) |
信任存储是一个包含已验证公钥的存储库。 信任库包含 TLS 客户端配置文件信任的证书列表。
重要:如果您创建了自己的 TLS 配置文件,API Connect 会在您上传证书时对其进行验证,但不会持续监控证书是否过期。 您有责任在证书过期前对其进行监控和更新。
|
| 密码 |
密码套件是用于确保 TLS 通信安全的加密算法。 选择概要文件支持的密码。 注意: TLS 1.3密码已清楚标明。 如果选择 TLS V1.3 作为概要文件的协议之一,但不选择任何 TLS 1.3 密码,那么会将所有 TLS 1.3 密码添加到概要文件支持的密码列表中。 如果不选择 TLS V1.3,但是选择一个或多个 TLS 1.3 密码,那么不会将这些密码添加到概要文件支持的密码列表中。
|
- 单击保存。