SAP云平台API管理允许您在安全且可扩展的环境中发布、推广和监督API。API代理是通过将它们与API门户中的产品相关联来部署和发布的。这样的API代理可以被应用开发者通过订阅产品来消费，商城返利系统，并在开发者门户中创建一个应用来消费。

API代理可以通过应用各种策略来保护，并且可以通过OAuth、JWT等多种方式进行身份验证，应用程序机密/密钥和客户端证书身份验证机制。

本博客旨在指导如何通过强制客户端证书身份验证来公开API代理。客户端证书身份验证也称为"双向SSL"/"相互SSL身份验证"。作为参考，有一个关于使用API门户的客户端证书身份验证使用API提供程序的博客。

约束：

每个API管理租户在入职期间默认设置一个"虚拟主机"/"主机别名"。在安装API管理租户时，人工智能书，必须提供"虚拟主机"/"主机别名"，以便API代理将以包含相同内容的代理URL公开。

如果您希望在API代理上启用双向SSL，则必须在虚拟主机/主机别名级别进行。这意味着在这样的虚拟主机上发布的所有API代理都是用双向SSL强制执行的&在这样的虚拟主机上使用代理的所有API使用者都被要求提供用于身份验证的证书。全部或无。

解决方案：

可以在单个API管理租户上添加多个虚拟主机。提供了使用SAP帮助链接中定义的API门户管理API添加或修改虚拟主机/主机别名的功能。这部分是使用API的自助服务任务，并在组件OPU-API-OD-OPS下与SAP共享事件中的自助服务响应。

步骤：

注意：出于测试目的，怎么查看大数据，您可以使用自己的s用户创建SAP Passport证书，提取公共证书及其根证书（CA）并将其添加到同一事件中。

步骤1之后：添加新的虚拟主机后，当您尝试在API门户中创建新的API代理时，应在"主机别名"下显示多个虚拟主机。

步骤2和3之后：SAP事件处理器确认在特定虚拟主机（主机别名）上启用双向SSL，并导入客户端的公共和根证书–是时候构建/重新构建API代理了。

新建API代理：选择为此专门创建的新主机别名（例如：abc devcc），在创建代理时，使用相应的策略（可选）构建代理，通过与产品关联进行部署和发布

现有API代理：编辑现有API代理，将主机别名（在"概述"下）更改为双向启用的URL，公众号返利，重新部署和重新发布。

注意：在原始虚拟主机上部署的API代理（例如快照中的"abc dev"）不受此更改的影响。

在部署/重新部署后，API代理URL get将使用新的虚拟主机URL生成，如下所示。

是时候进行测试了。使用Postman工具测试触发API的

没有私钥/证书的测试：

使用GET操作触发API代理URL，收到错误"400没有发送所需的SSL证书"。

导入私钥/证书后的测试：

根据密码短语为的API代理虚拟主机名导入私钥在下面。（本练习使用SAP passport）

结论：

可以在API管理租户的虚拟主机级别强制执行基于SSL（或）客户端证书的双向身份验证。对于多个API使用者来说，一个额外的启用了双向SSL的虚拟主机就足够了。为了区分对谁可以访问支持SSL的双向虚拟主机URL上的哪个代理的控制—建议在策略级别包括其他检查，如API密钥或IP地址。

API密钥—生成对开发人员门户上产品的基于角色的访问，这将控制哪些API对应用程序开发人员和最终用户的可见性要使用的相应API密钥/机密。

IP地址–策略级别的分钟控制如果您知道API使用应用程序的IP范围

，可视化数据大屏