หน้านี้ได้รับการแปลโดย Cloud Translation API

การสร้างคีย์สโตร์และ Truststore โดยใช้ Edge Management API

คุณกำลังดูเอกสารประกอบ Apigee Edge
ไปที่ เอกสารประกอบเกี่ยวกับ Apigee X. ข้อมูล

เอกสารนี้อธิบายวิธีสร้าง แก้ไข และลบคีย์สโตร์และ Truststore สำหรับ Edge สำหรับ Cloud และ Edge สำหรับ Private Cloud เวอร์ชัน 4.18.01 ขึ้นไป

หมายเหตุ: ตัวอย่าง API ด้านล่างส่งคำขอไปยัง URL ของ Edge Management API สำหรับระบบคลาวด์: https://api.enterprise.apigee.com สำหรับการติดตั้ง Private Cloud ให้แทนที่ URL นั้นด้วย https://MS_IP:8080 โดยที่ MS_IP คือที่อยู่ IP ของเซิร์ฟเวอร์การจัดการ

ข้อควรระวัง: เมื่อพร็อกซี API ใน Apigee Edge สำหรับสาธารณะ หรือ Private Cloud เชื่อมต่อกับปลายทางเป้าหมายหรือเซิร์ฟเวอร์เป้าหมาย Apigee ไม่ใช่โดยค่าเริ่มต้น จะตรวจสอบชื่อโฮสต์สำหรับใบรับรองที่เป้าหมายแสดง ปลายทางหรือเซิร์ฟเวอร์เป้าหมาย หากต้องการบังคับใช้การตรวจสอบชื่อโฮสต์ คุณมีตัวเลือกที่จะใช้ การกำหนดค่าในระดับพร็อกซีแต่ละรายการหรือการตั้งค่าสถานะเพื่อเปิดใช้การบังคับใช้สำหรับ ทั้งองค์กร หากต้องการดูข้อมูลเพิ่มเติม การเปลี่ยนแปลงการกำหนดค่าเหล่านี้ โปรดดูกระดานข่าวสารด้านความปลอดภัย: GCP-2024-006

บทนำ

หากต้องการกำหนดค่าฟังก์ชันการทำงานที่ต้องอาศัยโครงสร้างพื้นฐานของคีย์สาธารณะ เช่น TLS คุณต้องทำดังนี้ สร้างคีย์สโตร์และ Truststore ที่มีคีย์และใบรับรองดิจิทัลที่จำเป็น

สำหรับข้อมูลเบื้องต้นเกี่ยวกับคีย์สโตร์, Truststore และชื่อแทน โปรดดู Keystores และ Truststore

สร้างคีย์สโตร์

คีย์สโตร์เป็นของสภาพแวดล้อมในองค์กรโดยเฉพาะ เช่น การทดสอบหรือ Pro ของคุณ ดังนั้นหากต้องการทดสอบคีย์สโตร์ในสภาพแวดล้อมการทดสอบก่อนที่จะทำให้ใช้งานได้ ไปยังสภาพแวดล้อมการใช้งานจริง คุณต้องสร้างในทั้ง 2 สภาพแวดล้อม

วิธีสร้างคีย์สโตร์ในสภาพแวดล้อม

ใช้การเรียก API ในส่วนนี้เพื่อสร้างคีย์สโตร์
สร้างชื่อแทนและอัปโหลดคู่คีย์/ใบรับรองไปยังชื่อแทน วิธีอัปโหลดใบรับรองและ คีย์จะขึ้นอยู่กับรูปแบบของคู่คีย์/ใบรับรอง ส่วนต่อไปนี้จะอธิบายวิธีอัปโหลด คู่ใบรับรอง/คีย์แต่ละประเภทมีดังนี้
หมายเหตุ: เราขอแนะนำให้ใช้รูปแบบ PEM สำหรับคีย์และใบรับรองหากเป็นไปได้ โปรดดูข้อมูลเพิ่มเติมในรูปแบบไฟล์ใบรับรองที่รองรับ

ในการสร้างคีย์สโตร์ ให้ระบุชื่อคีย์สโตร์เป็น Create a Keystore หรือ Truststore API ชื่อคีย์สโตร์มีได้เฉพาะอักขระที่เป็นตัวอักษรและตัวเลขคละกัน ดังนี้

curl -X POST -u orgAdminEmail:password -H "Content-Type: text/xml" \
https://api.enterprise.apigee.com/v1/o/{org_name}/e/{env_name}/keystores \
-d '<KeyStore name="myKeystore"/>'

ตัวอย่างคำตอบ

{
  "certs" : [ ],
  "keys" : [ ],
  "name" : "myKeystore"
}

อัปโหลดใบรับรองและคีย์เป็นไฟล์ JAR

คุณต้องสร้างไฟล์ JAR ด้วยคีย์ส่วนตัว ใบรับรอง และไฟล์ Manifest ก่อน JAR ต้องมีไฟล์และไดเรกทอรีต่อไปนี้

/META-INF/descriptor.properties
myCert.pem
myKey.pem

JAR ของคีย์สโตร์จะมีได้เฉพาะ 3 ไฟล์เหล่านั้น หากคุณมีกลุ่มใบรับรอง ใบรับรองทั้งหมด ในเชนจะต้องต่อท้ายลงในไฟล์ PEM ไฟล์เดียว ซึ่งควรลงชื่อในใบรับรองฉบับสุดท้าย โดย CA ระดับรูท คุณต้องเพิ่มใบรับรองต่อท้ายไฟล์ PEM ตามลำดับที่ถูกต้อง โดยมีบรรทัดว่างระหว่างใบรับรองแต่ละรายการ หมายความว่า

cert -> intermediate cert(1) -> intermediate cert(2) -> … -> root

ในไดเรกทอรีที่มีคู่คีย์และใบรับรองของคุณ ให้สร้างไดเรกทอรีชื่อ /META-INF จากนั้นสร้างไฟล์ชื่อ descriptor.properties /META-INF ที่มีเนื้อหาต่อไปนี้

certFile={myCertificate}.pem
keyFile={myKey}.pem

สร้างไฟล์ JAR ที่มีคู่คีย์และใบรับรองของคุณดังนี้

jar -cf myKeystore.jar myCert.pem myKey.pem

เพิ่ม descriptor.properties ไว้ใน ไฟล์ JAR ของคุณ:

jar -uf myKeystore.jar META-INF/descriptor.properties

คุณสามารถอัปโหลดไฟล์ JAR ที่มีใบรับรองและคีย์ส่วนตัวได้โดยใช้ สร้างชื่อแทนจากไฟล์ JAR หรือ PKCS API ดังนี้

curl -u orgAdminEmail:password -X POST -H "Content-Type: multipart/form-data" -F file="@myKeystore.jar" -F password={key_pword} \
"https://api.enterprise.apigee.com/v1/o/{org_name}/e/{env_name}/keystores/{keystore_name}/aliases?alias={alias_name}&format=keycertjar"

โดยที่ตัวเลือก -F จะระบุเส้นทางไปยังไฟล์ JAR

ในการโทรนี้ คุณต้องระบุสิ่งต่อไปนี้

alias_name - ระบุใบรับรองและคีย์ เก็บคีย์ เมื่อคุณสร้างโฮสต์เสมือน คุณจะอ้างอิงใบรับรองและคีย์ตาม ชื่อแทน
key_pword - รหัสผ่านสำหรับคีย์ส่วนตัว ละเว้น พารามิเตอร์นี้หากคีย์ส่วนตัวไม่มีรหัสผ่าน

ตรวจสอบว่าคีย์สโตร์ได้รับการอัปโหลดอย่างถูกต้อง โดยทำดังนี้

curl -u orgAdminEmail:password -X GET\
https://api.enterprise.apigee.com/v1/o/{org_name}/e/{env_name}/keystores/{keystore_name}

ตัวอย่างคำตอบ

{  
 "certs" : [ "myCertificate" ],
 "keys" : [ "myKey" ],
 "name" : "myKeystore"
}

อัปโหลดใบรับรองและคีย์เป็นไฟล์ PEM

อัปโหลดไฟล์ PEM ที่มีใบรับรองและคีย์ส่วนตัวโดยใช้แท็ก สร้างชื่อแทนจากใบรับรองและไฟล์ PEM คีย์ API ดังนี้

curl -u orgAdminEmail:password -X POST -H "Content-Type: multipart/form-data" -F keyFile="@server.key" -F certFile="@signed.crt" \
-F password={key_pword} \
"https://api.enterprise.apigee.com/v1/o/{org_name}/e/{env_name}/keystores/{keystore_name}/aliases?alias={alias_name}&format=keycertfile"

โดยที่ตัวเลือก -F จะระบุเส้นทางไปยังไฟล์ PEM

ในการโทรนี้ คุณต้องระบุสิ่งต่อไปนี้

alias_name - ระบุใบรับรองและคีย์ เก็บคีย์ เมื่อคุณสร้างโฮสต์เสมือน คุณจะอ้างอิงใบรับรองและคีย์ตาม ชื่อแทน
key_pword - รหัสผ่านสำหรับคีย์ส่วนตัว ละเว้น พารามิเตอร์นี้หากคีย์ส่วนตัวไม่มีรหัสผ่าน

ตรวจสอบว่าคีย์สโตร์ได้รับการอัปโหลดอย่างถูกต้อง โดยทำดังนี้

curl -u orgAdminEmail:password -X GET\
https://api.enterprise.apigee.com/v1/o/{org_name}/e/{env_name}/keystores/{keystore_name}

ตัวอย่างคำตอบ

{  
 "certs" : [ "myCertificate" ],
 "keys" : [ "myKey" ],
 "name" : "myKeystore"
}

อัปโหลดใบรับรองและคีย์เป็น PKCS12/PFX ไฟล์

อัปโหลดไฟล์ PKCS12/PFX ที่มีใบรับรองและคีย์ส่วนตัวโดยใช้ สร้างชื่อแทนจากไฟล์ JAR หรือ PKCS API ดังนี้

curl -u orgAdminEmail:password -X POST -H "Content-Type: multipart/form-data" \
-F file="@myKeystore.p12" -F password={key_pword} \
"https://api.enterprise.apigee.com/v1/o/{org_name}/e/{env_name}/keystores/{keystore_name}/aliases?alias={alias_name}&format=pkcs12"

โดยที่ตัวเลือก -F ระบุเส้นทางไปยังไฟล์ P12

ในการโทรนี้ คุณต้องระบุสิ่งต่อไปนี้

alias_name - ระบุใบรับรองและคีย์ เก็บคีย์ เมื่อคุณสร้างโฮสต์เสมือน คุณจะอ้างอิงใบรับรองและคีย์ตาม ชื่อแทน
key_pword - รหัสผ่านสำหรับคีย์ส่วนตัว ละเว้น พารามิเตอร์นี้หากคีย์ส่วนตัวไม่มีรหัสผ่าน

ตรวจสอบว่าคีย์สโตร์ได้รับการอัปโหลดอย่างถูกต้อง โดยทำดังนี้

curl -u orgAdminEmail:password -X GET\
https://api.enterprise.apigee.com/v1/o/{org_name}/e/{env_name}/keystores/{keystore_name}

ตัวอย่างคำตอบ

{  
 "certs" : [ "myCertificate" ],
 "keys" : [ "myKey" ],
 "name" : "myKeystore"
}

สร้างและอัปโหลดใบรับรองที่ลงนามด้วยตนเองและ แป้น

คุณสามารถใช้ สร้างชื่อแทนด้วยการสร้าง API ของใบรับรองที่ลงชื่อด้วยตนเอง เพื่อสร้างใบรับรองที่ลงชื่อด้วยตนเองและ และอัปโหลดไปยังชื่อแทน การเรียกต่อไปนี้ระบุเฉพาะข้อมูลที่จำเป็นสำหรับ สร้างใบรับรองที่ลงชื่อด้วยตนเอง คุณสามารถแก้ไขการโทรนี้เพื่อใส่ข้อมูลเพิ่มเติม:

curl -u orgAdminEmail:password -X POST --header "Content-Type: application/json"  \
-d "{
    "alias": "selfsigned",
    "subject": {
        "commonName": "mycert"
    }
}" \
"https://api.enterprise.apigee.com/v1/o/{org_name}/e/{env_name}/keystores/{keystore_name}/aliases?format=selfsignedcert"

คำตอบควรปรากฏดังนี้

{
  "alias": "selfsigned",
  "certsInfo": {
    "certInfo": [
      {
        "basicConstraints": "CA:FALSE",
        "expiryDate": 1491497204000,
        "isValid": "Yes",
        "issuer": "CN=mycert",
        "publicKey": "RSA Public Key, 2048 bits",
        "serialNumber": "00:d1:b4:78:e1",
        "sigAlgName": "SHA256withRSA",
        "subject": "CN=mycert",
        "subjectAlternativeNames": [],
        "validFrom": 1459961204000,
        "version": 3
      }
    ],
    "certName": "selfsigned-cert"
  },
  "keyName": "selfsigned"
}

สร้าง Truststore

API ที่คุณใช้สร้าง Truststore จะเหมือนกับที่ใช้สร้างคีย์สโตร์ ความแตกต่างเพียงอย่างเดียว คือคุณอัปโหลดเฉพาะไฟล์ใบรับรองในรูปแบบไฟล์ PEM ไปยัง Truststore

หากใบรับรองเป็นส่วนหนึ่งของชุด คุณต้องอัปโหลดใบรับรองทั้งหมดในเชนแยกกัน ลงใน Truststore หรือสร้างไฟล์เดียวที่มีใบรับรองทั้งหมด คุณต้องแทรกช่องว่าง บรรทัดระหว่างใบรับรองแต่ละรายการในไฟล์

หากคุณต้องการอัปโหลดใบรับรองที่ลงนามด้วยตนเองหลายรายการที่ไม่ได้เป็นส่วนหนึ่งของเชน ให้ใช้ ใช้เทคนิคเดียวกันคือ หากมีใบรับรองหลายรายการที่ต้องการเชื่อถือ ให้อัปโหลดใบรับรองเหล่านั้นในไฟล์เดียว

โดยทั่วไปใบรับรองฉบับสมบูรณ์จะลงนามโดยผู้ออกใบรับรอง ตัวอย่างเช่น ใน Truststore ให้คุณอัปโหลดใบรับรองไคลเอ็นต์,client_cert_1 และผู้ออกใบรับรองไคลเอ็นต์ ca_cert

ในระหว่างการตรวจสอบสิทธิ์ TLS แบบ 2 ทาง การตรวจสอบสิทธิ์ไคลเอ็นต์จะสำเร็จเมื่อเซิร์ฟเวอร์ส่ง client_cert_1 ไปยังไคลเอ็นต์โดยเป็นส่วนหนึ่งของกระบวนการแฮนด์เชค TLS

หรือคุณมีใบรับรองที่ 2 คือ client_cert_2 ซึ่งลงชื่อโดย ca_cert ใบรับรองเดียวกัน แต่อย่าอัปโหลด client_cert_2 ไปยัง Truststore Truststore ยังคงมีอยู่ client_cert_1 และ ca_cert

เมื่อเซิร์ฟเวอร์ส่ง client_cert_2 เป็นส่วนหนึ่งของการจับมือ TLS คำขอจะสําเร็จ นี่คือ เนื่องจาก Edge อนุญาตให้การยืนยัน TLS ดำเนินการเมื่อไม่มี client_cert_2 ในไฟล์ Truststore แต่ลงนามโดยใบรับรองที่มีอยู่ใน Truststore หากนำ CA ออก ใบรับรอง ca_cert จาก Truststore แล้วการยืนยัน TLS ล้มเหลว

สร้าง Truststore ที่ว่างเปล่าในสภาพแวดล้อมโดยใช้ สร้าง คีย์สโตร์หรือ Truststore ซึ่งเป็น API เดียวกับที่คุณใช้สร้างคีย์สโตร์

curl -u orgAdminEmail:password -X POST -H "Content-Type: text/xml" \
-d '<KeyStore name="myTruststore"/>' \
https://api.enterprise.apigee.com/v1/o/{org_name}/e/{env_name}/keystores

หลังจากที่คุณสร้าง Truststore ให้อัปโหลดใบรับรองเป็นไฟล์ PEM ไปยัง Truststore โดย โดยใช้ สร้างชื่อแทนจากไฟล์ PEM ของใบรับรอง API ดังนี้

curl -u orgAdminEmail:password -X POST -H "Content-Type: multipart/form-data" -F certFile="@cert.pem" \
"https://api.enterprise.apigee.com/v1/o/{org_name}/e/{env_name}/keystores/myTruststore/aliases?alias=myTruststore&format=keycertfile"

โดยที่ตัวเลือก -F จะระบุเส้นทางไปยังไฟล์ PEM

ดูรายละเอียดเกี่ยวกับ คีย์สโตร์หรือ Truststore

ตรวจสอบสภาพแวดล้อมของคุณสำหรับคีย์สโตร์ที่มีอยู่โดยใช้แสดงรายการคีย์สโตร์ และ Truststores API ดังนี้

curl -u orgAdminEmail:password -X GET \
https://api.enterprise.apigee.com/v1/o/{org_name}/e/{env_name}/keystores

สำหรับลูกค้าระบบคลาวด์ คุณจะได้รับคีย์สโตร์เริ่มต้นสำหรับองค์กรที่ทดลองใช้ฟรีทั้ง สภาพแวดล้อมการทดสอบและการใช้งานจริง คุณควรเห็นผลลัพธ์ต่อไปนี้สำหรับการโทรนี้สำหรับทั้ง สภาพแวดล้อม:

[ "freetrial" ]

คุณสามารถใช้คีย์สโตร์เริ่มต้นนี้เพื่อทดสอบ API และพุช API เป็นเวอร์ชันที่ใช้งานจริงได้ แต่ โดยปกติจะสร้างคีย์สโตร์ของคุณเอง ด้วยใบรับรองและคีย์ของคุณเอง ก่อนที่คุณจะติดตั้งใช้งาน เวอร์ชันที่ใช้งานจริง

สำหรับลูกค้า Private Cloud อาร์เรย์ที่แสดงผลจะว่างเปล่าจนกว่าคุณจะสร้างอาร์เรย์แรก คีย์สโตร์

ตรวจสอบเนื้อหาของคีย์สโตร์โดยใช้คำสั่ง รับ Keystore หรือ Truststore API สำหรับลูกค้าระบบคลาวด์ คุณควรเห็น TLS เซิร์ฟเวอร์เดียว ใบรับรอง--ใบรับรองเริ่มต้นที่ Apigee Edge กำหนดให้กับบัญชีทดลองใช้ฟรี

curl -u orgAdminEmail:password -X GET\
https://api.enterprise.apigee.com/v1/o/{org_name}/e/{env_name}/keystores/freetrial

คำตอบควรปรากฏดังนี้

{
 "certs" : [ "wildcard.apigee.net.crt" ],
 "keys" : [ "freetrial" ],
 "name" : "freetrial"
}

ดูรายละเอียดเกี่ยวกับชื่อแทน

รับรายการชื่อแทนทั้งหมดสำหรับคีย์สโตร์โดยใช้คำสั่ง แสดงรายการชื่อแทน API:

curl -u orgAdminEmail:password -X GET \
"https://api.enterprise.apigee.com/v1/o/{org_name}/e/{env_name}/keystores/{keystore_name}/aliases"

คำตอบควรปรากฏดังนี้

[
  "alias1",
  "alias2",
  "alias3",
]

หากต้องการดูข้อมูลทั้งหมดเกี่ยวกับชื่อแทน เช่น วันที่หมดอายุและผู้ออกบัตร ให้ใช้ รับชื่อแทน API และระบุชื่อแทน:

curl  -u orgAdminEmail:password -X GET \
"https://api.enterprise.apigee.com/v1/o/{org_name}/e/{env_name}/keystores/{keystore_name}/aliases/{alias_name}"

คำตอบควรปรากฏดังนี้

{
  "alias": "alias1",
  "certsInfo": {
    "certInfo": [
      {
        "basicConstraints": "CA:TRUE",
        "expiryDate": 1459371335000,
        "isValid": "No",
        "issuer": "EMAILADDRESS=foo@bar.com, CN=smg, OU=doc, O=Internet Widgits Pty Ltd, L=noho, ST=Some-State, C=AU",
        "publicKey": "RSA Public Key, 1024 bits",
        "serialNumber": "00:86:a0:9b:5b:91:a9:fe:92",
        "sigAlgName": "SHA256withRSA",
        "subject": "EMAILADDRESS=foo@bar.com, CN=smg, OU=doc, O=Internet Widgits Pty Ltd, L=noho, ST=Some-State, C=AU",
        "subjectAlternativeNames": [],
        "validFrom": 1456779335000,
        "version": 3
      }
    ],
    "certName": "new\-cert"
  },
  "keyName": "newssl20"
}

หากต้องการดาวน์โหลดใบรับรองสำหรับชื่อแทน ให้ใช้ วิธีส่งออกใบรับรองสำหรับ Alias API

curl -u orgAdminEmail:password -X GET \
"https://api.enterprise.apigee.com/v1/e/{org_name}/e/{env_name}/keystores/{keystore_name}/aliases/{alias_name}/certificate"

คำตอบควรปรากฏดังนี้

-----BEGIN CERTIFICATE-----
MIIDojCCAwugAwIBAgIJAIagm1uRqf6SMA0GCSqGSIb3DQEBCwUAMIGTMQswCQYD
...
RBUkaTe/570sLHY0tvkIm5tEX36ESw==
-----END CERTIFICATE-----

หากมีใบรับรองที่หมดอายุแล้วและต้องการต่ออายุ คุณจะดาวน์โหลดการรับรองใบรับรองได้ คำขอ (CSR) จากนั้นส่ง CSR ไปยัง CA เพื่อขอรับใบรับรองใหม่ วิธีสร้าง CSR สำหรับ ให้ใช้แท็ก สร้าง CSR สำหรับชื่อแทน API ดังนี้

curl -u orgAdminEmail:password -X GET \
"https://api.enterprise.apigee.com/v1/o/{org_name}/e/{env_name}/keystores/{keystore_name}/aliases/{alias_name}/csr"

คำตอบควรปรากฏดังนี้

-----BEGIN CERTIFICATE REQUEST-----
MIIB1DCCAT0CAQAwgZMxCzAJBgNVBAYTAkFVMRMwEQYDVQQIEwpTb21lLVN0YXRl
...
RF5RMytbkxkvPxIE17mDKJH0d8aekv/iEOItZ+BtQg+EibMUkkjTzQ==
-----END CERTIFICATE REQUEST-----

เพิ่มใบรับรองไปยัง Truststore สำหรับ TLS แบบ 2 ทาง

เมื่อใช้ TLS แบบ 2 ทางสำหรับการเชื่อมต่อขาเข้า ซึ่งหมายถึงคำขอ API ไปยัง Edge Truststore มีใบรับรองหรือเชน CA สําหรับไคลเอ็นต์แต่ละรายที่อนุญาตให้ส่งคําขอไปยัง Edge

เมื่อเริ่มกำหนดค่า Truststore แล้ว คุณสามารถเพิ่มใบรับรองทั้งหมดสําหรับไคลเอ็นต์ที่รู้จักได้ แต่เมื่อเวลาผ่านไป คุณอาจต้องการเพิ่มใบรับรองอื่นๆ ไปยัง Truststore ในขณะที่เพิ่มลูกค้าใหม่

วิธีเพิ่มใบรับรองใหม่ไปยัง Truststore ที่ใช้สำหรับ TLS แบบ 2 ทาง

โปรดตรวจสอบว่าคุณกำลังใช้การอ้างอิงไปยัง Truststore ในโฮสต์เสมือน
อัปโหลดใบรับรองใหม่ไปยัง Truststore ตามที่อธิบายไว้ข้างต้นใน สร้าง Truststore
อัปเดตการอ้างอิง Truststore ให้ตั้งเป็นค่าเดียวกัน การอัปเดตนี้ทำให้ Edge โหลด Truststore และใบรับรองใหม่ซ้ำ

ดูการแก้ไขข้อมูลอ้างอิงสำหรับข้อมูลเพิ่มเติม

ลบคีย์สโตร์/ทรัสต์สโตร์หรือชื่อแทน

คุณต้องใช้ความระมัดระวังเมื่อลบคีย์สโตร์/ทรัสต์สโตร์หรือชื่อแทน หากลบคีย์สโตร์ Truststore หรือชื่อแทนที่ใช้โดยโฮสต์เสมือน ปลายทางเป้าหมาย หรือเซิร์ฟเวอร์เป้าหมาย การเรียก API ผ่านโฮสต์เสมือนหรือเซิร์ฟเวอร์ปลายทาง/เซิร์ฟเวอร์เป้าหมายจะล้มเหลว

โดยทั่วไปกระบวนการที่คุณใช้เพื่อลบคีย์สโตร์/ทรัสต์สโตร์หรือชื่อแทนคือ:

สร้างคีย์ Store/Truststore หรือชื่อแทนใหม่ตามที่อธิบายไว้ข้างต้น
สำหรับการเชื่อมต่อขาเข้า ซึ่งหมายถึงคำขอ API ไปยัง Edge ให้อัปเดต การกำหนดค่าโฮสต์เสมือนเพื่ออ้างอิงคีย์สโตร์และชื่อแทนคีย์ใหม่
สำหรับการเชื่อมต่อขาออก ซึ่งหมายถึงจาก Apigee ไปยังเซิร์ฟเวอร์แบ็กเอนด์
1. อัปเดตการกำหนดค่า TargetEndpoint สำหรับพร็อกซี API ที่อ้างอิงพร็อกซีเก่า คีย์สโตร์และชื่อแทนคีย์เพื่ออ้างอิงคีย์สโตร์และชื่อแทนคีย์ใหม่ หาก TargetEndpoint อ้างอิง TargetServer อัปเดตคำจำกัดความของ TargetServer เพื่ออ้างอิงคีย์สโตร์ใหม่ และชื่อแทนคีย์
2. หากมีการอ้างอิงคีย์สโตร์และ Truststore โดยตรงจาก TargetEndpoint คุณต้องทำให้พร็อกซีใช้งานได้อีกครั้ง หาก TargetEndpoint อ้างอิง คำจำกัดความของ TargetServer และคำจำกัดความของ TargetServer จะอ้างอิงคีย์สโตร์และ Truststore แล้วไม่จำเป็นต้องมีการทำให้พร็อกซีใช้งานได้ใหม่
3. ยืนยันว่าพร็อกซี API ทำงานได้อย่างถูกต้อง
4. ลบคีย์สโตร์/ทรัสต์สโตร์หรือชื่อแทน

โปรดดู อัปเดตใบรับรองในชื่อแทนสำหรับข้อมูลเพิ่มเติม

ลบคีย์สโตร์หรือ Truststore

คุณสามารถลบคีย์สโตร์หรือ Truststore ได้โดยใช้ วิธีลบ Keystore หรือ Truststore API

curl -u orgAdminEmail:password -X DELETE \
https://api.enterprise.apigee.com/v1/o/{org_name}/e/{env_name}/keystores/myKeystoreName

ถ้าคุณลบและสร้างคีย์สโตร์หรือ Truststore ที่โฮสต์เสมือนใช้อยู่อีกครั้ง คุณต้องทำให้พร็อกซี API ใช้งานได้อีกครั้ง

ลบชื่อแทน

คุณสามารถลบชื่อแทนในคีย์สโตร์หรือ Truststore ได้โดยใช้ ลบชื่อแทน API:

curl -u orgAdminEmail:password -X DELETE \
https://api.enterprise.apigee.com/v1/o/{org_name}/e/{env_name}/keystores/myKeystoreName/aliases/{alias_name}