在輸入閘道上設定 TLS 和 mTLS

本主題說明如何在入口網站閘道上啟用單向 TLS 和 mTLS。

設定單向傳輸層安全標準 (TLS)

使用單向 TLS 保護入口閘道上的 API Proxy 端點。如要啟用單向 TLS，請使用 TLS 憑證/金鑰組或 Kubernetes 機密資料設定 ingress，如以下選項所述。

方法 1：金鑰/憑證組合

在覆寫檔案的 virtualhosts 屬性中提供 SSL 憑證和金鑰檔案：

virtualhosts:
  - name: $ENVIRONMENT_GROUP_NAME
    sslCertPath: "$CERT_FILE"
    sslKeyPath: "$KEY_FILE"

其中 $ENVIRONMENT_GROUP_NAME 是環境群組的名稱，其中包含對應的主機別名，而 $CERT_FILE 和 $KEY_FILE 則是 TLS 金鑰和憑證檔案。請參閱「建立 TLS 憑證」一文。

選項 2：Kubernetes 密鑰

建立 Kubernetes 密鑰，並將其新增至覆寫檔案。

1. 在 apigee 命名空間中建立密鑰：

   kubectl create -n apigee secret generic $SECRET_NAME  \
     --from-file=key=$KEY_FILE \
     --from-file=cert=$CERT_FILE

2. 在覆寫檔案中設定 virtualhosts 屬性：

   virtualhosts:
     - name: $ENVIRONMENT_GROUP_NAME
       tlsMode: SIMPLE  # Note: SIMPLE is the default, so it is optional.
       sslSecret: $SECRET_NAME

設定 mTLS

您可以在輸入閘道上設定 mTLS，而非單向 TLS。設定 mTLS 有兩種方式，如下所述。

方法 1：金鑰/憑證組合和 CA 檔案

提供包含憑證授權單位憑證的 TLS 憑證資料：

virtualhosts:
  - name: $ENVIRONMENT_GROUP_NAME
    tlsMode: MUTUAL
    caCertPath: "$CA_FILE"
    sslCertPath: "$CERT_FILE"
    sslKeyPath: "$KEY_FILE"

其中 $ENVIRONMENT_GROUP_NAME 是環境群組的名稱，其中包含對應的主機別名，$CA_FILE 則指定包含憑證授權單位憑證的 TLS 憑證資料 (CA 套件檔案)，而 $CERT_FILE 和 $KEY_FILE 則是 TLS 金鑰和憑證檔案。請參閱「建立 TLS 憑證」一文。

選項 2：Kubernetes 密鑰

建立兩個 Kubernetes 密鑰。第一個密鑰用於 SSL 憑證/金鑰組，第二個用於 CA。然後將這些值新增至覆寫檔案。

1. 在 apigee 命名空間中建立兩個 Kubernetes 機密：

   kubectl create -n apigee secret generic $SECRET_NAME  \
     --from-file=key=$KEY_FILE \
     --from-file=cert=$CERT_FILE

2. 為 CA 建立密鑰：

   kubectl create -n apigee secret generic $SECRET_NAME-cacert  \
     --from-file=cacert=$CA_FILE

3. 在覆寫檔案中設定 virtualhosts 屬性：

   virtualhosts:
     - name: $ENVIRONMENT_GROUP_NAME
       tlsMode: MUTUAL  # Note: Be sure to specify MUTUAL
       sslSecret: $SECRET_NAME