TLS 概要文件

Cloud ManagerAPI Manager 中,可使用 TLS 概要文件来保护通过 Web 站点的数据传输。SSL 证书可确保您提交到 Web 站点的信息不会被盗或篡改。在本主题中,您将学会如何在 Cloud Manager 中创建 TLS 概要文件。

开始之前

要完成本主题中描述的任务,您必须具有 Cloud Manager 的“TLS 概要文件”页面的访问权。有关哪些用户角色具有访问权的更多信息,请参阅添加用户和分配角色

关于此任务

Cloud ManagerAPI Connect 都支持并使用 SSL 证书,但自身不会生成强加密密钥,也不会管理您的加密密钥。 应根据您自己的过程来生成和管理加密密钥。有关更多信息,请参阅更新 TLS 概要文件生成认证中心的 PKCS#12 文件。

[V5.0.6 或更高版本]Server Name Indication (SNI) 是 TLS 协议的扩展。缺省情况下,启用 SNI 以允许客户机访问单个 HTTPS 服务器 IP 地址和端口号上的多个虚拟域。 TLS 客户机将具有期望主机名的 SNI 扩展插入其与服务器的初始握手中。服务器会回复相应的证书以继续交互。不支持 SNI 的服务器通常将忽略此扩展,但是如果遇到兼容性问题,那么可在 Cloud ManagerTLS 概要文件”对话框中控制 SNI。要禁用 SNI,请取消选中位于信任库 > 功能部件下的使用 SNI 复选框。

注: 如果更新与网关服务相关联的 TLS 概要文件,那么不会自动将这些更新传播到网关服务器。要将服务器与最新配置进行再同步,请参阅网关再同步

有关连接到 API Manager 时如何配置工具箱命令行工具以使用 TLS 证书的指示信息,请参阅配置命令行工具以使用 TLS 证书

过程

执行以下步骤来创建 TLS 概要文件:

  1. Cloud Manager 中,单击 TLS 概要文件
  2. 单击添加,在显示名称名称和(可选)描述字段中输入值。
    注:名称字段中指定的值可以包含以下字符:
    • 小写字母(a 到 z)
    • 数字(0 到 9)
    • 连字符 (-)。但是,连字符不能作为第一个或最后一个字符。
  3. 如果要在 API Manager 和 Cloud Manager 之间共享该概要文件,请选择公共
  4. 现有证书部分中,单击上载证书图标 “上载证书”图标
  5. 单击选择文件,浏览以查找要为认证显示的证书文件,然后单击打开
    注:
    • API Connect 仅支持现有证书的 P12 (PKCS12) 格式文件。
    • P12 文件必须包含专用密钥、来自认证中心的公用证书,以及用于签名的所有中间证书。
    • P12 文件最多可包含 10 个中间证书。
  6. 密码文本字段中,输入证书文件的密码。
    注: 现有证书必须用密码加以保护。
  7. 单击上载 这样会填充该证书。
  8. 要启对连接客户机提供的证书的验证,请将针对信任库中提供的 CA,请求并验证证书滑块移至“打开”位置。
    要点: 在启用验证时,客户机必须发送信任库中的认证中心签署的证书,否则将拒绝访问资源,包括 Cloud Manager 控制台。
  9. 信任库窗口部分中,单击上载证书图标 “上载证书”图标
  10. 单击选择文件,浏览以查找要为认证显示的证书文件,然后单击打开
  11. 密码文本字段中,输入证书文件的密码。
  12. 单击上载 这样会填充该证书。
    注:
    • 如果信任库证书到期,那么必须上载整个证书捆绑软件来替换所有当前证书。
    • API Connect 仅支持 P12 (PKCS12) 和 PEM 证书格式的信任库。
    • “信任库”可以包含与网关集群相关的 TLS 概要文件的 CA 和客户机证书。API Connect 支持证书完全匹配或与直接发卡者匹配。Cloud Manager 针对典型证书管理任务(例如自签名证书生成、认证中心 (CA) 的创建、从第三方 CA 请求证书以及安装 SSL 协议中要使用的证书)使用 IBM Global Security Kit (GSKit)。
  13. 可选: 重复步骤 912 以添加更多信任库证书。
  14. 展开“协议”部分,以显示 SSL 和 TLS 版本。
  15. 使用复选框来指示 SSL 或 TLS 版本。
  16. 单击保存
    注: 上载后,将无法从 API Connect 下载专用密钥。
父主题: 认证
相关概念:
认证
时间戳记图标 上次更新时间:2017-10-24