Créer des keystores et des magasins de confiance à l'aide de l'interface utilisateur Edge

Vous consultez la documentation Apigee Edge.
Accéder à la documentation d'Apigee X
en savoir plus

Ce document explique comment créer, modifier et supprimer des keystores et des magasins de confiance pour Edge pour le cloud et Edge pour le cloud privé version 4.18.01 et ultérieures.

À propos des keystores/truststores et hôtes virtuels pour Edge Cloud

Le processus de création de keystores/magasins de confiance pour Edge Cloud nécessite que vous respectiez toutes les règles concernant l'utilisation des hôtes virtuels. Par exemple, avec des hôtes virtuels dans le cloud:

  • Les hôtes virtuels doivent utiliser le protocole TLS.
  • Les hôtes virtuels ne peuvent utiliser que le port 443.
  • Vous devez utiliser un certificat TLS signé. L'utilisation de certificats non signés avec des hôtes virtuels dans le cloud n'est pas autorisée.
  • Le nom de domaine spécifié par le certificat TLS doit correspondre à l'alias d'hôte de l'hôte virtuel.

En savoir plus:

Implémentation de keystores et de Truststores dans Edge

Pour configurer une fonctionnalité qui repose sur une infrastructure à clé publique, telle que TLS, vous devez créer des keystores et des truststores contenant les clés et les certificats numériques nécessaires.

Dans Edge, les keystores et les Truststores sont tous deux représentés par une entité keystore contenant un ou plusieurs alias. En d'autres termes, il n'existe aucune différence d'implémentation entre un keystore et un magasin de confiance sur Edge.

La différence entre les keystores et les truststores est dérivée des types d'entrées qu'ils contiennent et de leur utilisation dans le handshake TLS:

  • keystore : entité keystore contenant un ou plusieurs alias, chaque alias contenant une paire certificat/clé.
  • Truststore : entité keystore contenant un ou plusieurs alias, chaque alias ne contenant qu'un certificat.

Lors de la configuration de TLS pour un hôte virtuel ou un point de terminaison cible, les keystores et les Truststores fournissent des rôles différents dans le processus de handshake TLS. Lors de la configuration d'un hôte virtuel ou d'un point de terminaison cible, vous spécifiez les keystores et les Truststores séparément dans le tag <SSLInfo>, comme indiqué ci-dessous pour un hôte virtuel:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>false</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
    </SSLInfo>
</VirtualHost>

Dans cet exemple, vous spécifiez le nom du keystore et de l'alias utilisés par l'hôte virtuel pour son keystore TLS. Utilisez une référence pour spécifier le nom du keystore afin de pouvoir le modifier ultérieurement lorsque le certificat expire. L'alias contient une paire certificat/clé permettant d'identifier l'hôte virtuel auprès d'un client TLS qui accède à l'hôte virtuel. Dans cet exemple, aucun Truststore n'est requis.

Si un Truststore est requis, par exemple pour une configuration TLS bidirectionnelle, utilisez le tag <TrustStore> pour le spécifier:

<VirtualHost name="myTLSVHost"> 
    <HostAliases> 
        <HostAlias>apiTLS.myCompany.com</HostAlias> 
    </HostAliases> 
    <Interfaces/> 
    <Port>9006</Port> 
    <SSLInfo> 
        <Enabled>true</Enabled> 
        <ClientAuthEnabled>true</ClientAuthEnabled> 
        <KeyStore>ref://keystoreref</KeyStore> 
        <KeyAlias>myKeyAlias</KeyAlias> 
        <TrustStore>ref://truststoreref</TrustStore>
    </SSLInfo>
</VirtualHost>

Dans cet exemple, la balise <TrustStore> ne fait référence qu'à un keystore. Elle ne spécifie pas d'alias spécifique. Chaque alias du keystore contient un certificat, ou chaîne de certificats, utilisé dans le cadre du processus de handshake TLS.

Formats de certificat acceptés

Format Importation via l'API et l'interface utilisateur acceptée Compatible avec la direction nord Validée
PEM Oui Oui Oui
* PKCS12 Oui Oui Oui
Remarque: Apigee convertit en interne
PKCS12 en PEM.
* DER Non Non Oui
* PKCS7 Non Non Non

* Nous vous recommandons d'utiliser le format PEM si possible.

À propos de l'implémentation d'un alias

Sur Edge, un keystore contient un ou plusieurs alias, chaque alias contenant:

  • Certificat TLS sous forme de fichier PEM ou PKCS12/PFX : certificat signé par une autorité de certification, fichier contenant une chaîne de certificats dans laquelle le dernier certificat est signé par une autorité de certification, ou certificat autosigné.
  • Clé privée sous forme de fichier PEM ou PKCS12/PFX. Edge prend en charge des tailles de clé allant jusqu'à 2 048 bits. La phrase secrète est facultative.

Sur Edge, un truststore contient un ou plusieurs alias, chaque alias contient les éléments suivants:

  • Certificat TLS sous forme de fichier PEM : certificat signé par une autorité de certification, chaîne de certificats dont le dernier certificat est signé par une autorité de certification ou certificat autosigné.

Edge fournit une interface utilisateur et une API qui vous permettent de créer des keystores, de créer des alias, d'importer des paires certificat/clé et de mettre à jour des certificats. L'UI et l'API que vous utilisez pour créer un Truststore sont les mêmes que celles que vous utilisez pour créer un keystore. La différence est que lorsque vous créez un Truststore, vous créez des alias qui ne contiennent qu'un certificat.

À propos du format des fichiers de certificat et de clé

Vous pouvez représenter les certificats et les clés sous forme de fichiers PEM ou de fichiers PKCS12/PFX. Les fichiers PEM sont conformes au format X.509. Si votre certificat ou votre clé privée n'est pas défini par un fichier PEM, vous pouvez le convertir en fichier PEM à l'aide d'utilitaires tels que openssl.

Cependant, de nombreux fichiers .crt et .key sont déjà au format PEM. Si ces fichiers sont des fichiers texte et sont entourés:

-----BEGIN CERTIFICATE-----
-----END CERTIFICATE-----

ou :

-----BEGIN ENCRYPTED PRIVATE KEY-----
-----END ENCRYPTED PRIVATE KEY-----

Les fichiers sont ensuite compatibles avec le format PEM. Vous pouvez les utiliser dans un keystore ou un magasin de clés de confiance sans les convertir en fichier PEM.

À propos des chaînes de certificats

Si un certificat fait partie d'une chaîne, vous le gérez différemment selon qu'il est utilisé dans un keystore ou dans un magasin de confiance:

  • Keystore : si un certificat fait partie d'une chaîne, vous devez créer un fichier unique contenant tous les certificats de la chaîne. Les certificats doivent être dans l'ordre, et le dernier doit être un certificat racine ou un certificat intermédiaire signé par un certificat racine.
  • Truststore : si un certificat fait partie d'une chaîne, vous devez créer un fichier unique contenant tous les certificats et importer ce fichier dans un alias, ou importer tous les certificats de la chaîne séparément dans le truststore en utilisant un alias différent pour chaque certificat. Si vous les importez en tant que certificat unique, ils doivent être dans l'ordre, et le dernier certificat doit être un certificat racine ou un certificat intermédiaire signé par un certificat racine.
  • Si vous créez un seul fichier contenant plusieurs certificats, vous devez insérer une ligne vide entre chacun d'eux.

Par exemple, vous pouvez combiner tous les certificats dans un seul fichier PEM. Les certificats doivent être dans l'ordre, et le dernier doit être un certificat racine ou un certificat intermédiaire signé par un certificat racine:

-----BEGIN CERTIFICATE----- 
(Your Primary TLS certificate) 
-----END CERTIFICATE----- 

-----BEGIN CERTIFICATE----- 
(Intermediate certificate) 
-----END CERTIFICATE-----
 
-----BEGIN CERTIFICATE----- 
(Root certificate or intermediate certificate signed by a root certificate) 
-----END CERTIFICATE-----

Si vos certificats sont représentés sous forme de fichiers PKCS12/PFX, vous pouvez utiliser la commande openssl pour créer un fichier PKCS12/PFX à partir d'une chaîne de certificats, comme indiqué ci-dessous:

openssl pkcs12 -export -out certificate.pfx -inkey privateKey.key -in certificate.crt -certfile CACert.crt

Lorsque vous utilisez des chaînes de certificats dans un Truststore, vous n'avez pas toujours besoin d'importer tous les certificats de la chaîne. Par exemple, vous pouvez importer un certificat client (client_cert_1) et le certificat de l'émetteur du certificat client (ca_cert).

Lors de l'authentification TLS bidirectionnelle, l'authentification du client réussit lorsque le serveur envoie client_cert_1 au client dans le cadre du processus de handshake TLS.

Vous disposez également d'un deuxième certificat, client_cert_2, signé par le même certificat, ca_cert. Cependant, vous n'importez pas client_cert_2 dans le Trustedstore. Le Trustedstore ne contient toujours que client_cert_1 et ca_cert.

Lorsque le serveur transmet client_cert_2 dans le cadre d'un handshake TLS, la requête aboutit. En effet, Edge permet à la validation TLS de réussir lorsque client_cert_2 n'existe pas dans le truststore, mais qu'il a été signé par un certificat qui existe dans le truststore. Si vous supprimez le certificat CA ca_cert du Truststore, la validation TLS échouera.

Explorer la page "Keystores TLS"

Accédez à la page des keystores TLS, comme décrit ci-dessous.

Périphérie

Pour accéder à la page des keystores TLS à l'aide de l'interface utilisateur Edge:

  1. Connectez-vous à https://apigee.com/edge tant qu'administrateur d'organisation.
  2. Sélectionnez votre organisation.
  3. Sélectionnez Admin > Environment > TLS Keystores (Administration > Environnement > Keystores TLS).

Classic Edge (cloud privé)

Pour accéder à la page des keystores TLS à l'aide de l'interface utilisateur Classic Edge:

  1. Connectez-vous à http://ms-ip:9000 en tant qu'administrateur de l'organisation, où ms-ip est l'adresse IP ou le nom DNS du nœud de serveur de gestion.
  2. Sélectionnez votre organisation.
  3. Sélectionnez Admin > Environment Configuration > TLS Keystores (Administration > Configuration de l'environnement > Keystores TLS).

La page des keystores TLS s'affiche:

Comme le montre la figure précédente, la page "Keystores TLS" vous permet de:

Afficher un alias

Pour afficher un alias:

  1. Accédez à la page des keystores TLS.
  2. Sélectionnez l'environnement (généralement prod ou test).
  3. Cliquez sur la ligne associée à l'alias que vous souhaitez afficher.

    Les détails du certificat et de la clé de l'alias s'affichent.

    Toutes les informations sur l'alias s'affichent, y compris la date d'expiration.

  4. Gérez le certificat à l'aide des boutons situés en haut de la page pour :
    • Téléchargez le certificat au format PEM.
    • Générez une requête de signature de certificat. Si votre certificat est arrivé à expiration et que vous souhaitez le renouveler, vous pouvez télécharger une demande de signature de certificat. Vous envoyez ensuite la requête de signature de certificat à votre autorité de certification pour obtenir un nouveau certificat.
    • mettre à jour un certificat ; Attention: Si vous mettez à jour un certificat en cours d'utilisation par un hôte virtuel ou un serveur/point de terminaison cible, vous devez contacter l'assistance Apigee Edge pour redémarrer les routeurs et les processeurs de messages. Voici la méthode recommandée pour mettre à jour un certificat :
      1. Créez un keystore ou un Truststore.
      2. Ajoutez le nouveau certificat au nouveau keystore ou au nouveau Trustedstore.
      3. Dans l'hôte virtuel ou le serveur/point de terminaison cible, mettez à jour la référence sur le keystore ou le magasin de confiance. Pour en savoir plus, consultez Mettre à jour un certificat TLS pour le cloud.
      4. Supprimez l'alias. Remarque: Si vous supprimez un alias et qu'il est actuellement utilisé par un hôte virtuel ou un point de terminaison cible, l'hôte virtuel ou le point de terminaison cible échouera.

Créer un keystore/un truststore et un alias

Vous pouvez créer un keystore à utiliser comme keystore TLS ou comme Truststore TLS. Un keystore est spécifique à un environnement de votre organisation, par exemple l'environnement de test ou de production. Par conséquent, si vous souhaitez tester le keystore dans un environnement de test avant de le déployer dans votre environnement de production, vous devez le créer dans les deux environnements.

Pour créer un keystore dans un environnement, il vous suffit de spécifier son nom. Après avoir créé un keystore nommé dans un environnement, vous pouvez créer des alias et importer une paire certificat/clé (keystore) ou importer un certificat uniquement (truststore) vers l'alias.

Pour créer un keystore, procédez comme suit:

  1. Accédez à la page des keystores TLS.
  2. Sélectionnez l'environnement (généralement prod ou test).
  3. Cliquez sur + Keystore.
  4. Spécifiez le nom du keystore. Le nom ne peut contenir que des caractères alphanumériques.
  5. Cliquez sur Add Keystore (Ajouter un keystore). Le nouveau keystore s'affiche dans la liste.
  6. Utilisez l'une des procédures suivantes pour ajouter un alias. Consultez également la page Formats de fichiers de certificat acceptés.

Créer un alias à partir d'un certificat (truststore uniquement)

Pour créer un alias à partir d'un certificat:

  1. Accédez à la page des keystores TLS.
  2. Placez le curseur sur le keystore pour afficher le menu d'actions, puis cliquez sur +.
  3. Indiquez le nom de l'alias.
  4. Sous "Détails du certificat", sélectionnez Certificat uniquement dans le menu déroulant "Type".
  5. Cliquez sur Sélectionner un fichier à côté de Fichier de certificat, accédez au fichier PEM contenant le certificat, puis cliquez sur Ouvrir.
  6. Par défaut, l'API vérifie que le certificat n'a pas expiré. Vous pouvez également sélectionner Autoriser l'expiration du certificat pour ignorer la validation.
  7. Sélectionnez Enregistrer pour importer le certificat et créer l'alias.

Créer un alias à partir d'un fichier JAR (keystore uniquement)

Pour créer un alias à partir d'un fichier JAR:

  1. Accédez à la page des keystores TLS.
  2. Placez le curseur sur le keystore pour afficher le menu d'actions, puis cliquez sur +.
  3. Indiquez le nom de l'alias.
  4. Sous "Détails du certificat", sélectionnez Fichier JAR dans la liste déroulante "Type".
  5. Cliquez sur Choose File (Sélectionner un fichier) à côté de JAR File (Fichier JAR), accédez au fichier JAR contenant le certificat et la clé, puis cliquez sur Open (Ouvrir).
  6. Si la clé possède un mot de passe, spécifiez le mot de passe. Si la clé n'a pas de mot de passe, laissez ce champ vide.
  7. Par défaut, l'API vérifie que le certificat n'a pas expiré. Vous pouvez également sélectionner Autoriser l'expiration du certificat pour ignorer la validation.
  8. Sélectionnez Enregistrer pour importer la clé et le certificat, puis créer l'alias.

Créer un alias à partir d'un certificat et d'une clé (keystore uniquement)

Pour créer un alias à partir d'un certificat et d'une clé:

  1. Accédez à la page des keystores TLS.
  2. Placez le curseur sur le keystore pour afficher le menu d'actions, puis cliquez sur +.
  3. Indiquez le nom de l'alias.
  4. Sous "Détails du certificat", sélectionnez Certificat et clé dans la liste déroulante "Type".
  5. Cliquez sur Sélectionner un fichier à côté de Fichier de certificat, accédez au fichier PEM contenant le certificat, puis cliquez sur Ouvrir.
  6. Si la clé possède un mot de passe, spécifiez le mot de passe de clé. Si la clé n'a pas de mot de passe, laissez ce champ vide.
  7. Cliquez sur Sélectionner un fichier à côté de Fichier de clé, accédez au fichier PEM contenant la clé, puis cliquez sur Ouvrir.
  8. Par défaut, l'API vérifie que le certificat n'a pas expiré. Vous pouvez également sélectionner Autoriser l'expiration du certificat pour ignorer la validation.
  9. Sélectionnez Enregistrer pour importer la clé et le certificat, puis créer l'alias.

Créer un alias à partir d'un fichier PKCS12/PFX (keystore uniquement)

Pour créer un alias à partir d'un fichier PKCS12 contenant le certificat et la clé:

  1. Accédez à la page des keystores TLS.
  2. Placez le curseur sur le keystore pour afficher le menu d'actions, puis cliquez sur +.
  3. Indiquez le nom de l'alias.
  4. Sous "Détails du certificat", sélectionnez PKCS12/PFX dans la liste déroulante "Type".
  5. Cliquez sur Choose File (Sélectionner un fichier) à côté de PKCS12/PFX, accédez au fichier contenant la clé et le certificat, puis cliquez sur Open (Ouvrir).
  6. Si la clé est associée à un mot de passe, spécifiez le mot de passe du fichier PKCS12/PFX. Si la clé n'a pas de mot de passe, laissez ce champ vide.
  7. Par défaut, l'API vérifie que le certificat n'a pas expiré. Vous pouvez également sélectionner Autoriser l'expiration du certificat pour ignorer la validation.
  8. Sélectionnez Enregistrer pour importer le fichier et créer l'alias.

Créer un alias à partir d'un certificat autosigné (keystore uniquement)

Pour créer un alias qui utilise un certificat autosigné, remplissez un formulaire avec les informations nécessaires à la création du certificat. Edge crée ensuite le certificat et une paire de clés privées et les importe dans l'alias.

Pour créer un alias à partir d'un certificat autosigné:

  1. Accédez à la page des keystores TLS.
  2. Placez le curseur sur le keystore pour afficher le menu d'actions, puis cliquez sur +.
  3. Indiquez le nom de l'alias.
  4. Sous "Détails du certificat", sélectionnez Certificat autosigné dans la liste déroulante "Type".
  5. Remplissez le formulaire à l'aide du tableau ci-dessous.
  6. Sélectionnez Enregistrer pour créer la paire certificat/clé privée et les importer dans l'alias.

Dans le certificat généré, vous verrez les champs supplémentaires suivants:

  • Émetteur
    Entité qui a signé et émis le certificat. Pour un certificat autosigné, il s'agit du CN que vous avez spécifié lors de la création du certificat.
  • Validité
    Période de validité du certificat représentée par deux dates: la date de début de la période de validité du certificat et la date de fin de sa période de validité. Les deux peuvent être encodés en tant que valeurs UTCTime ou GeneralizedTime.

Le tableau suivant décrit les champs du formulaire:

Champ du formulaire Description Par défaut Obligatoire
Nom de l'alias Nom de l'alias. Ne doit pas dépasser 128 caractères N/A Oui
Taille de clé Taille de la clé, en bits. La valeur par défaut et la valeur maximale est de 2 048 bits. 2 048 Non
Algorithme de signature Algorithme de signature pour générer une clé privée. Les valeurs valides sont "SHA512withRSA", "SHA384withRSA" et "SHA256withRSA" (par défaut). SHA256avec RSA Non
Durée de validité du certificat en jours Durée de validité du certificat, en jours. Accepte les valeurs positives non nulles. 365 Non
Nom courant Le nom commun (CN) de l'organisation identifie le ou les noms de domaine complets associés au certificat. Il est généralement composé d'un hôte et d'un nom de domaine. Par exemple, api.enterprise.apigee.com, www.apigee.com, etc. La longueur maximale est de 64 caractères.

Selon le type de certificat, le CN peut être un ou plusieurs noms d'hôte appartenant au même domaine (par exemple, example.com, www.example.com), un nom générique (par exemple, *.example.com) ou une liste de domaines. N'incluez pas de protocole (http:// ou https://), de numéro de port ni de chemin d'accès à la ressource.

Le certificat n'est valide que si le nom d'hôte de la requête correspond à au moins un des noms courants du certificat.

N/A Oui
E-mail Adresse e-mail. Ne doit pas dépasser 255 caractères N/A Non
Nom de l'unité organisationnelle Nom de l'équipe de l'organisation. Ne doit pas dépasser 64 caractères N/A Non
Nom de l'organisation Nom de l'organisation. Ne doit pas dépasser 64 caractères N/A Non
Localité Nom de la ville. Ne doit pas dépasser 128 caractères N/A Non
État/Région Nom de l'état ou de la province. Ne doit pas dépasser 128 caractères N/A Non
Pays Code pays à deux lettres. Par exemple, IN pour l'Inde, US pour les États-Unis. N/A Non
Autres noms Liste de noms d'hôtes alternatifs. Permet de lier des identités supplémentaires à l'objet du certificat. Les options définies incluent une adresse de messagerie électronique Internet, un nom DNS, une adresse IP et un URI (Uniform Resource Identifier).

255 caractères au maximum pour chaque valeur. Vous pouvez séparer les noms par une virgule ou en appuyant sur la touche Entrée après chaque nom.

N/A Non

Tester un keystore ou un Truststore

Vous pouvez tester votre magasin de clés de confiance et votre keystore dans l'interface utilisateur Edge pour vérifier qu'ils sont correctement configurés. L'interface utilisateur de test valide une demande TLS de Edge à un service de backend. Le service de backend peut être configuré pour accepter les protocoles TLS unidirectionnels ou bidirectionnels.

Pour tester le protocole TLS unidirectionnel:

  1. Accédez à la page des keystores TLS.
  2. Sélectionnez l'environnement (généralement prod ou test).
  3. Placez votre curseur sur le keystore TLS que vous souhaitez tester pour afficher le menu d'actions, puis cliquez sur Test. La boîte de dialogue suivante s'affiche indiquant le nom du Truststore:
  4. Saisissez le nom d'hôte du service de backend.
  5. Saisissez le numéro de port TLS (généralement 443).
  6. Vous pouvez éventuellement spécifier des protocoles ou des algorithmes de chiffrement.
  7. Sélectionnez Tester.

Pour tester le protocole TLS bidirectionnel:

  1. Pour le magasin de confiance souhaité, sélectionnez le bouton Test (Tester).
  2. Dans la boîte de dialogue, sélectionnez Double Way pour SSL Test Type (Type de test SSL). La boîte de dialogue suivante s'affiche:
  3. Spécifiez le nom du keystore utilisé dans le protocole TLS bidirectionnel.
  4. Spécifiez le nom de l'alias dans le keystore contenant le certificat et la clé.
  5. Saisissez le nom d'hôte du service de backend.
  6. Saisissez le numéro de port TLS (généralement 443).
  7. Vous pouvez éventuellement spécifier des protocoles ou des algorithmes de chiffrement.
  8. Sélectionnez Tester.

Ajouter un certificat à un Truststore pour le protocole TLS bidirectionnel

Lorsque vous utilisez le TLS bidirectionnel pour les connexions entrantes, c'est-à-dire une requête API dans Edge, le truststore contient un certificat ou une chaîne d'autorité de certification pour chaque client autorisé à envoyer des requêtes à Edge.

Lors de la configuration initiale du Truststore, vous pouvez ajouter tous les certificats des clients connus. Toutefois, au fil du temps, vous souhaiterez peut-être ajouter des certificats supplémentaires au truststore à mesure que vous ajoutez de nouveaux clients.

Pour ajouter de nouveaux certificats à un Truststore utilisé pour le protocole TLS bidirectionnel:

  1. Assurez-vous d'utiliser une référence au truststore dans l'hôte virtuel.
  2. Importez un nouveau certificat dans le truststore comme décrit ci-dessus dans la section Créer un alias à partir d'un certificat (truststore uniquement).
  3. Mettez à jour la référence du Trustedstore pour la définir sur la même valeur. Cette mise à jour oblige Edge à actualiser le Truststore et le nouveau certificat.

    Pour en savoir plus, consultez la section Modifier une référence.

Supprimer un keystore/un truststore ou un alias

Vous devez faire preuve de prudence lorsque vous supprimez un keystore/un truststore ou un alias. Si vous supprimez un keystore, un truststore ou un alias utilisé par un hôte virtuel, un point de terminaison cible ou un serveur cible, tous les appels d'API via l'hôte virtuel ou le point de terminaison cible/le serveur cible échoueront.

En règle générale, le processus que vous utilisez pour supprimer un keystore/truststore ou un alias se présente comme suit:

  1. Créez un keystore/un truststore ou un alias comme décrit ci-dessus.
  2. Pour les connexions entrantes, c'est-à-dire une requête API dans Edge, mettez à jour la configuration de l'hôte virtuel pour référencer le nouveau keystore et l'alias de clé.
  3. Pour les connexions sortantes, c'est-à-dire d'Apigee vers un serveur backend :
    1. Mettez à jour la configuration TargetEndpoint pour tous les proxys d'API faisant référence à l'ancien keystore et à l'alias de clé afin de référencer le nouveau keystore et l'alias de clé. Si votre TargetEndpoint fait référence à un TargetServer, mettez à jour la définition TargetServer pour référencer le nouveau keystore et l'alias de clé.
    2. Si le keystore et le magasin de confiance sont référencés directement à partir de la définition du TargetEndpoint, vous devez redéployer le proxy. Si le point de terminaison TargetEndpoint fait référence à une définition TargetServer et que la définition TargetServer fait référence au keystore et au magasin de confiance, aucun redéploiement du proxy n'est nécessaire.
  4. Vérifiez que vos proxys d'API fonctionnent correctement.
  5. Supprimez le keystore/le truststore ou l'alias.

Supprimer un keystore

Vous pouvez supprimer un keystore ou un magasin de clés de confiance en plaçant votre curseur sur le keystore ou le trustore dans la liste pour afficher le menu d'actions, puis en cliquant sur . Si vous supprimez un keystore ou un truststore utilisé par un hôte virtuel ou un point de terminaison/serveur cible, tous les appels d'API via l'hôte virtuel ou le point de terminaison/le serveur cible échoueront.

Attention: Vous ne devez pas supprimer un keystore tant que vous n'avez pas converti vos hôtes virtuels et vos points de terminaison cibles/serveurs cibles pour qu'ils utilisent un nouveau keystore.

Supprimer un alias

Vous pouvez supprimer un alias en plaçant votre curseur sur l'alias dans la liste pour afficher le menu d'actions, puis en cliquant sur . Si vous supprimez un alias utilisé par un hôte virtuel ou un point de terminaison cible/serveur cible, tous les appels d'API via l'hôte virtuel ou le point de terminaison cible/serveur cible échoueront.

Attention: Vous ne devez pas supprimer un alias tant que vous n'avez pas converti vos hôtes virtuels et vos points de terminaison cibles/serveurs cibles pour utiliser un nouveau keystore et un nouvel alias.