Personnalisation des magasins de certificats pour la vérification des certificats TLS

Découvrez comment ajouter des autorités de certification et des ensembles AC aux magasins de certificats personnalisés avec la passerelle d'API.

Les passerelles d'API que vous créez avec le service de passerelle d'API vérifient les certificats TLS qui leur sont présentés à l'aide d'un magasin de certificats SSL. Le magasin de certificats SSL peut contenir des certificats racines d'autorité de certification (CA) et des ensembles AC de certificats racines et intermédiaires. Un ensemble AC par défaut est ajouté au magasin de certificats SSL de chaque passerelle d'API, contenant les certificats des autorités de certification publiques bien connues. L'ensemble AC par défaut permet à la passerelle d'API de vérifier les certificats TLS présentés par les services dorsaux.

En plus de l'ensemble AC par défaut, vous pouvez choisir d'ajouter les certificats racines d'autres autorités de certification et d'autres ensembles AC au magasin de certificats d'une passerelle d'API. Ces autorités de certification et ensembles AC supplémentaires sont appelés autorités de certification personnalisées et ensembles AC personnalisés. Pour ajouter un ensemble AC ou AC personnalisé au magasin de certificats d'une passerelle d'API, vous devez d'abord créer une ressource AC ou une ressource d'ensemble AC dans le service de certificats. Après avoir créé la ressource dans le service de certificats, vous pouvez l'ajouter au magasin de certificats de la passerelle d'API. L'ajout d'autorités de certification et d'ensembles AC personnalisés vous permet de personnaliser le magasin de certificats en fonction de vos exigences.

Après avoir ajouté des autorités de certification et des ensembles AC personnalisés au magasin de certificats, les connexions TLS à la passerelle d'API (y compris à partir des éléments dorsaux HTTPS et du cache de réponses) sont vérifiées à l'aide de l'ensemble AC par défaut, ainsi que des autorités de certification et des ensembles AC personnalisés. De plus, si vous avez spécifié la prise en charge mTLS pour un déploiement d'API, la passerelle d'API utilise des autorités de certification personnalisées et des ensembles d'autorité de certification personnalisés pour vérifier les certificats de client d'API. Notez que la passerelle d'API n'utilise pas l'ensemble AC par défaut pour vérifier les certificats de client d'API lors d'une liaison mTLS. Ainsi, si vous voulez qu'une passerelle d'API prenne en charge mTLS, vous devez ajouter des autorités de certification et des ensembles AC personnalisés au magasin de certificats SSL de la passerelle d'API

Pour certains clients, il est obligatoire, pour des raisons de sécurité, d'utiliser des magasins de confiance personnalisés qui ne contiennent que des autorités de certification privées et aucune autorité de certification publique. Pour d'autres clients, l'utilisation de magasins de confiance personnalisés est susceptible d'être motivée par les exigences commerciales.

Ajout d'autorités de certification et d'ensembles AC personnalisés au magasin de certificats SSL d'une passerelle d'API

Pour personnaliser le magasin de certificats d'une passerelle d'API en ajoutant une autorité de certification ou un ensemble AC personnalisé, créez d'abord une ressource d'autorité de certification ou une ressource d'ensemble AC dans le service de certificats, puis ajoutez-la au magasin de certificats de la passerelle d'API.

Étape 1 : Créer une ressource d'autorité de certification ou une ressource d'ensemble d'autorité de certification dans le service de certificats

Suivez les instructions de la documentation sur le service de certificats pour créer une ressource d'autorité de certification ou une ressource d'ensemble AC

Étape 2 : Ajouter la ressource AC ou la ressource d'ensemble AC au magasin de certificats SSL d'une passerelle d'API

Pour ajouter une ressource d'autorité de certification ou une ressource d'ensemble d'autorité de certification au magasin de certificats d'une passerelle d'API lors de la création ou de la mise à jour de la passerelle d'API :

  1. Suivez les instructions sous Création d'une passerelle d'API ou Mise à jour d'une passerelle d'API pour créer ou mettre à jour une passerelle d'API à l'aide de la console ou de l'interface de ligne de commande.
  2. Spécifiez la ressource d'autorité de certification ou la ressource d'ensemble d'autorité de certification du service de certificats à ajouter au magasin de certificats de la passerelle d'API, comme décrit dans les instructions suivantes :

    • Si vous utilisez la console : Dans la section Options avancées de la boîte de dialogue Créer une passerelle ou Modifier la passerelle, sélectionnez Ajouter des autorités de certification et sélectionnez une ou plusieurs ressources d'autorité de certification ou d'ensemble d'autorité de certification à ajouter au magasin de certificats de la passerelle d'API en tant qu'autorités de certification personnalisées et d'ensembles d'autorité de certification personnalisés (en plus de l'ensemble d'autorité de certification par défaut).
    • Si vous utilisez l'interface de ligne de commande : Réglez l'argument --ca-bundles file:///<filename> au nom d'un fichier contenant les détails d'une ou de plusieurs ressources d'autorité de certification ou d'ensemble d'autorité de certification à ajouter au magasin de certificats SSL de la passerelle d'API en tant qu'autorités de certification personnalisées et ensembles d'autorité de certification personnalisés (en plus de l'ensemble d'autorité de certification par défaut). Spécifiez les détails dans un format JSON valide, dans le format suivant :
      [
        {
          "type": "CA_BUNDLE",
          "caBundleId": "ocid1.cabundle..."
        },
        {
          "type": "CERTIFICATE_AUTHORITY",
          "certificateAuthorityId": "ocid1.cabundle..."
        }
      ]

    Le service de passerelle d'API crée ou met à jour la passerelle d'API avec un magasin de certificats contenant l'ensemble AC et/ou AC personnalisé que vous avez spécifié, en plus de l'ensemble AC par défaut.

Suppression des autorités de certification et des ensembles AC personnalisés d'un magasin de certificats SSL d'une passerelle d'API

Après avoir ajouté une autorité de certification ou un ensemble AC personnalisé au magasin de certificats SSL d'une passerelle d'API, vous pouvez décider que l'ensemble AC ou AC n'est plus requis.

Vous pouvez supprimer tout ou partie des autorités de certification et des ensembles AC personnalisés du magasin de certificats SSL d'une passerelle d'API, à condition qu'aucune API compatible mTLS ne soit déployée sur la passerelle d'API. Si une ou plusieurs API activées pour mTLS sont déployées sur la passerelle d'API, il doit toujours y avoir au moins un ensemble AC ou AC personnalisé dans le magasin de certificats SSL de la passerelle d'API.

Utilisation de la console

Pour supprimer un ensemble AC ou AC personnalisé du magasin de certificats d'une passerelle d'API à l'aide de la console :

  1. Dans la page de liste Passerelles, sélectionnez la passerelle d'API à partir de laquelle vous voulez supprimer l'autorité de certification ou l'ensemble AC personnalisé. Si vous avez besoin d'aide pour trouver la page de liste ou la passerelle d'API, voir Liste des passerelles d'API.
  2. Dans la page Détails de la passerelle, sélectionnez Autorités de certification dans la liste Ressources pour voir les ensembles AC et AC personnalisés dans le magasin de certificats de la passerelle d'API.
  3. Sélectionnez le menu Actions (trois points) à côté de l'autorité de certification ou de l'ensemble d'autorité de certification personnalisé à supprimer, puis sélectionnez Supprimer.

    Notez que vous ne pouvez pas supprimer toutes les autorités de certification et tous les ensembles AC personnalisés du magasin de certificats SSL d'une passerelle d'API si une ou plusieurs API activées pour mTLS sont déployées sur la passerelle d'API.

  4. Confirmez que vous voulez supprimer l'AC ou l'ensemble AC personnalisé du magasin de certificats SSL de la passerelle d'API.

Utilisation de l'interface de ligne de commande

Pour supprimer un ensemble AC ou AC personnalisé du magasin de certificats d'une passerelle d'API à l'aide de l'interface de ligne de commande :

  1. Configurez l'environnement client pour utiliser l'interface de ligne de commande (Configuration de l'environnement client afin d'utiliser l'interface de ligne de commande pour le développement de passerelles d'API).
  2. Pour supprimer un ensemble AC ou AC personnalisé du magasin de certificats SSL d'une passerelle d'API :

    1. Ouvrez une invite de commande et exécutez oci api-gateway gateway update pour supprimer l'ensemble AC ou AC personnalisé du magasin de certificats SSL de la passerelle d'API :

      oci api-gateway gateway update --gateway-id <gateway-ocid> --ca-bundles file:///<filename>

      <filename> est le nom d'un fichier contenant uniquement les informations détaillées sur les autorités de certification personnalisées et les ensembles AC personnalisés à conserver dans le magasin de certificats de la passerelle d'API (en plus de l'ensemble AC par défaut). Les autorités de certification ou les ensembles AC non contenus dans le fichier sont supprimés du magasin de certificats.

      Par exemple :

      oci api-gateway gateway update --gateway-id ocid1.apigateway.oc1..aaaaaaaab______hga --ca-bundles file:///bundles-to-keep.json

      Notez que vous ne pouvez pas supprimer toutes les autorités de certification et tous les ensembles AC personnalisés du magasin de certificats SSL d'une passerelle d'API si une ou plusieurs API activées pour mTLS sont déployées sur la passerelle d'API.

      La réponse à la commande comprend les données suivantes :

      • L'état du cycle de vie (par exemple, DELETED, FAILED).
      • L'ID demande de travail permettant de supprimer les autorités de certification ou les ensembles AC personnalisés (les détails des demandes de travail sont disponibles pendant sept jours après l'achèvement, l'annulation ou l'échec).

      Si vous voulez que la commande attende avant de retourner un contrôle tant que les autorités de certification ou les ensembles AC personnalisés n'ont pas été supprimés (ou que la demande a échoué), incluez l'un des paramètres suivants ou les deux :

      • --wait-for-state DELETED
      • --wait-for-state FAILED

      Par exemple :

      oci api-gateway gateway update --gateway-id ocid1.apigateway.oc1..aaaaaaaab______hga --ca-bundles file:///bundles-to-keep.json --wait-for-state DELETED
    2. (Facultatif) Pour voir le statut de la demande de travail qui supprime l'ensemble AC ou AC personnalisé, entrez :

      oci api-gateway work-request get --work-request-id <work-request-ocid>
    3. (Facultatif) Pour voir les journaux de la demande de travail qui supprime l'ensemble AC ou AC personnalisé, entrez :

      oci api-gateway work-request-log list --work-request-id <work-request-ocid>
    4. (Facultatif) Si la demande de travail qui supprime l'ensemble AC ou AC personnalisé échoue et que vous voulez vérifier les journaux d'erreurs, entrez :

      oci api-gateway work-request-error --work-request-id <work-request-ocid>
    5. (Facultatif) Pour vérifier que l'AC ou l'ensemble AC personnalisé a été supprimé du magasin de certificats SSL de la passerelle d'API, entrez la commande suivante et vérifiez que l'AC ou l'ensemble AC personnalisé n'est plus affiché :

      oci api-gateway gateway get --gateway-id <gateway-ocid>

Pour plus d'informations sur l'utilisation de l'interface de ligne de commande, voir Interface de ligne de commande. Pour la liste complète des indicateurs et des options disponibles pour les commandes d'interface de ligne de commande, voir Aide sur l'interface de ligne de commande.

Utilisation de l'API

Pour plus d'informations sur l'utilisation de l'API et sur les demandes de signature, voir la documentation de l'API REST et Données d'identification de sécurité. Pour plus d'informations sur les trousses SDK, voir Trousses SDK et interface de ligne de commande.

Utilisez l'opération UpdateGateway pour spécifier uniquement les autorités de certification personnalisées et les ensembles d'autorité de certification personnalisés à conserver dans le magasin de certificats de la passerelle d'API (en plus de l'ensemble d'autorité de certification par défaut). Les autorités de certification ou les ensembles AC que vous ne spécifiez pas sont supprimés du magasin de certificats. Notez que vous ne pouvez pas supprimer toutes les autorités de certification et tous les ensembles AC personnalisés du magasin de certificats SSL d'une passerelle d'API si une ou plusieurs API activées pour mTLS sont déployées sur la passerelle d'API.