Configurer des alertes d'expiration

Vous consultez la documentation d'Apigee Edge.
Consultez la documentation Apigee X. en savoir plus

Utilisez une alerte d'expiration TLS pour générer une notification lorsque le certificat TLS d'un environnement est sur le point d'expirer.

À propos des certificats TLS

Le protocole TLS (Transport Layer Security) est la technologie de sécurité standard permettant d'établir une liaison chiffrée entre un serveur Web et un client Web, tel qu'un navigateur ou une application. Un lien chiffré garantit que toutes les données transmises entre le serveur et le client restent privées.

Un certificat TLS est un fichier numérique qui identifie une entité dans une transaction TLS. Edge utilise un certificat TLS pour configurer TLS pour:

Un certificat TLS contient une date d'expiration. Si un certificat TLS expire, la connexion TLS échoue jusqu'à ce que vous le mettiez à jour. Cela signifie que toutes les requêtes adressées à votre API échoueront tant que vous n'aurez pas mis à jour le certificat.

À propos des alertes d'expiration

Plutôt que d'attendre qu'un certificat expire et que les requêtes adressées à votre API échouent, utilisez une alerte d'expiration pour envoyer une notification lorsqu'un certificat TLS d'un environnement est sur le point d'expirer. Une fois l'alerte déclenchée, vous pouvez mettre à jour le certificat afin que vos clients ne subissent aucune interruption de service.

Lorsque vous configurez l'alerte, ne spécifiez pas de certificat individuel, mais un environnement spécifique. L'alerte est déclenchée lorsqu'un certificat déployé doit expirer au cours de la période spécifiée.

Vous pouvez configurer l'alerte d'expiration:

  • Un jour avant l'expiration d'un certificat
  • 14 jours avant l'expiration d'un certificat
  • 30 jours avant l'expiration d'un certificat
Pour en savoir plus sur les alertes, consultez Configurer des alertes et des notifications.

Ajouter des alertes et des notifications d'expiration

Pour ajouter des alertes et des notifications d'expiration :
  1. Cliquez sur Analyser > Règles d'alerte dans l'interface utilisateur Edge.
  2. Cliquez sur +Alerte.
  3. Saisissez les informations générales suivantes concernant l'alerte:
    Champ Description
    Nom de l'alerte Nom de l'alerte. Utilisez un nom qui décrit le déclencheur et qui aura un sens pour vous. Le nom ne doit pas dépasser 128 caractères.
    Description Description de l'alerte.
    Type d'alertes Sélectionnez Expiration TLS. Pour en savoir plus, consultez la section À propos des types d'alerte.
    Environnement Sélectionnez l'environnement dans la liste déroulante.
    État Appuyez sur le bouton pour activer ou désactiver l'alerte.
  4. Définissez le seuil et la dimension de la condition qui déclenchera l'alerte.
    Champ de condition Description
    Seuil

    Configurez la période pour les certificats arrivant à expiration. Vous pouvez choisir d'émettre une alerte lorsqu'un certificat arrive à expiration dans:

    • 1 jour
    • 14 jours
    • 30 jours
    Dimension Les dimensions sont fixées sur la valeur Tous les certificats TLS correspondant à n'importe quel certificat TLS de l'environnement.
  5. Cliquez sur + Notification pour ajouter une notification d'alerte.
    Détails de la notification Description
    Chaîne Sélectionnez le canal de notification que vous souhaitez utiliser et spécifiez la destination: E-mail, Slack, PagerDuty ou Webhook.
    Destination Spécifiez la destination en fonction du type de canal sélectionné :
    • E-mail - Adresse e-mail, telle que joe@company.com
    • Slack - URL du canal Slack, telle que https://hooks.slack.com/services/T00000000/B00000000/XXXXX
    • PagerDuty - Code PagerDuty, tel que abcd1234efgh56789
    • Webhook : URL de webhook, telle que https://apigee.com/test-webhook

      Remarque : Vous ne pouvez spécifier qu'une seule destination par notification. Pour spécifier plusieurs destinations pour le même type de canal, ajoutez des notifications supplémentaires.
  6. Pour ajouter d'autres notifications, répétez l'étape précédente.
  7. Si vous avez ajouté une notification, définissez les champs suivants:
    Champ Description
    Playbook (Facultatif) Champ de texte au format libre permettant de fournir une brève description des actions recommandées pour résoudre les alertes lorsqu'elles se déclenchent. Vous pouvez également spécifier un lien vers votre wiki interne ou votre page de communauté en référence aux bonnes pratiques. Les informations contenues dans ce champ seront incluses dans la notification. Le contenu de ce champ ne peut pas dépasser 1 500 caractères.
    Limiter Fréquence d'envoi des notifications. Sélectionnez une valeur dans la liste déroulante.
  8. Cliquez sur Enregistrer.

Afficher les alertes dans le tableau de bord des événements

Lorsque Edge détecte une condition d'alerte, il la consigne automatiquement dans le tableau de bord Événements de l'interface utilisateur Edge. La liste des événements affichée dans le tableau de bord des événements inclut toutes les alertes, qu'elles soient fixes ou de certificat.

Pour afficher une alerte:

  1. Cliquez sur Analyser > Événements dans l'interface utilisateur Edge. Le nouveau tableau de bord "Événements" s'affiche:

  2. Vous pouvez filtrer le tableau de bord des événements selon les critères suivants:

    • Environnement
    • Région
    • Période
  3. Sélectionnez une ligne dans le tableau de bord des événements pour afficher le keystore contenant le certificat arrivant à expiration afin d'examiner l'alerte plus en détail. Sur la page Keystore, vous pouvez importer un nouveau certificat et supprimer le certificat arrivant à expiration.

Utiliser les API d'alerte avec des alertes d'expiration

La plupart des API que vous utilisez pour créer et gérer les alertes d'expiration sont identiques à celles que vous utilisez avec des alertes fixes. Les API d'alerte suivantes fonctionnent de la même manière pour les alertes fixes et les alertes d'expiration:

Toutefois, certaines API disposent de propriétés supplémentaires qui permettent de gérer les alertes d'anomalies, parmi lesquelles :

Créer ou mettre à jour une alerte d'expiration

Pour créer ou mettre à jour une alerte d'expiration, utilisez les mêmes API que pour une alerte fixe. Le corps de l'appel d'API permettant de créer ou de mettre à jour une alerte d'expiration est identique à celui utilisé pour une alerte fixe, avec les modifications suivantes:

  • Vous devez ajouter les nouvelles propriétés suivantes pour indiquer qu'il s'agit d'une alerte d'expiration:

    "alertType": "cert"
"alertSubType": "certfixed"

    Les valeurs par défaut de ces propriétés sont les suivantes :

    "alertType": "runtime"
"alertSubType": "fixed"

  • Dans le tableau conditions:

    • La propriété metrics n'accepte que les valeurs de expiration.
    • Utilisez la propriété gracePeriodSeconds pour spécifier la période d'expiration du certificat en secondes, avec une durée maximale de 30 jours.
    • Les propriétés threshold, durationSeconds et comparator ne sont pas acceptées.
  • Dans l'élément dimensions du tableau conditions :
    • Vous devez définir la valeur de la propriété certificate sur ANY.
    • Vous devez définir la valeur de la propriété proxy sur ALL.
    • Les propriétés statusCode, developerApp, collection, faultCodeCategory, faultCodeSubCategory et faultCodeName ne sont pas compatibles.
  • La propriété reportEnabled n'est pas compatible avec les alertes d'expiration.

L'exemple d'appel d'API suivant crée une alerte d'expiration qui se déclenche lorsqu'une tâche dans l'environnement de production expire dans les 30 prochains jours. Une notification est envoyée à l'adresse e-mail spécifiée lorsque l'alerte est déclenchée:

curl 'https://apimonitoring.enterprise.apigee.com/alerts' \
 -X POST \
 -H 'Accept: application/json, text/plain, */*' -H "Content-Type: application/json" \
 -H "Authorization: Bearer $ACCESS_TOKEN" \
 -d '{
  "organization":"myorg",
  "name":"My Cert Expiry Alert",
  "description":"My Cert Expiry Alert",
  "environment":"prod",
  "enabled":true,
  "alertType": "cert",
  "alertSubType": "certfixed",
  "conditions":[
  {
    "description":"My Cert Expiry Alert",
    "dimensions":{
      "org":"myorg",
      "env":"prod",
      "proxy":"ALL",
      "certificate": "ANY"
    },
    "metric":"expiration",
    "gracePeriodSeconds": 2592000
  }],
  "notifications":[{
    "channel":"email",
    "destination":"ops@acme.com"
  }],
  "playbook":"http://acme.com/pb.html",
  "throttleIntervalSeconds":3600,
  "reportEnabled":false
}'

Définissez $ACCESS_TOKEN sur votre jeton d'accès OAuth 2.0, comme décrit dans la section Obtenir un jeton d'accès OAuth 2.0. Pour en savoir plus sur les options cURL utilisées dans cet exemple, consultez Utiliser cURL.

Recevoir des alertes d'expiration

Par défaut, l'API Get Alerts (Obtenir des alertes) renvoie des informations sur toutes les alertes définies, à la fois fixes et sur le point d'expirer. Cette API utilise désormais des paramètres de requête pour vous permettre de filtrer les résultats :

  • enabled : si true spécifie de ne renvoyer que les alertes activées. La valeur par défaut est false.
  • alertType : indique le type d'alerte à renvoyer. Les valeurs autorisées sont runtime (par défaut) et cert.
  • alertSubType : indique le sous-type d'alerte à renvoyer. La valeur par défaut n'est pas définie, ce qui implique le renvoi de tous les sous-types d'alerte. Spécifiez certfixed pour renvoyer des alertes d'expiration.

Par exemple, utilisez l'appel d'API suivant pour ne renvoyer que les alertes d'activation pour l'organisation nommée myorg:

curl -H "Authorization: Bearer $ACCESS_TOKEN" \
'https://apimonitoring.enterprise.apigee.com/alerts?org=myorg&enabled=true'

L'appel suivant ne renvoie que des alertes d'expiration, activées et désactivées:

curl -H "Authorization: Bearer $ACCESS_TOKEN" \
'https://apimonitoring.enterprise.apigee.com/alerts?org=myorg&alertType=cert&alertSubType=certfixed'

Définissez $ACCESS_TOKEN sur votre jeton d'accès OAuth 2.0, comme décrit dans la section Obtenir un jeton d'accès OAuth 2.0. Pour en savoir plus sur les options cURL utilisées dans cet exemple, consultez Utiliser cURL.