تعديل شهادة بروتوكول أمان طبقة النقل (TLS) لخدمة السحابة الإلكترونية

أنت تعرض مستندات Apigee Edge.
انتقل إلى مستندات Apigee X. معلومات

الطريقة التي تستخدمها لتحديد اسم ملف تخزين المفاتيح والمخزن الموثوق به في المضيف الظاهري نقطة النهاية المستهدفة أو الخادم المستهدف كيفية إجراء تحديث الشهادة. يمكنك تحديد اسم ملف تخزين المفاتيح والمخزن الموثوق به باستخدام:

  • المراجع - مفضّلة
  • الأسماء المباشرة
  • متغيّرات التدفق

لكل طريقة من هذه الطرق آثار مختلفة على عملية تعديل الشهادة، كما هو موضّح في الجدول التالي.

نوع الإعداد كيفية تعديل شهادة أو استبدالها طريقة تعديل المضيف الافتراضي أو نقطة النهاية المستهدفة/الخادم الهدف
المرجع (يُنصح به)

بالنسبة إلى ملف تخزين مفاتيح، يمكنك إنشاء ملف تخزين مفاتيح جديد باسم جديد واسم مستعار باستخدام نفس الاسم للاسم المستعار القديم.

بالنسبة إلى Truststore، يجب إنشاء Truststore باستخدام اسم جديد.

 عليك تعديل المرجع إلى ملف تخزين المفاتيح أو ملف تخزين الثقة.

لا حاجة للتواصل مع فريق دعم Apigee Edge.
متغيرات التدفق (نقطة النهاية المستهدفة فقط)

بالنسبة إلى ملف تخزين مفاتيح، يمكنك إنشاء ملف تخزين مفاتيح جديد باسم جديد واسم مستعار باستخدام بالاسم نفسه أو باسم جديد.

بالنسبة إلى Truststore، يجب إنشاء Truststore باستخدام اسم جديد.

تمرير متغير التدفق المحدّث في كل طلب باسم ملف تخزين المفاتيح أو الاسم المستعار أو Truststore.

لا حاجة للتواصل مع فريق دعم Apigee Edge.
مباشرة عليك إنشاء ملف تخزين مفاتيح أو اسم مستعار أو مخزن شهادات جديد.

بالنسبة إلى المضيفات الافتراضية، يُرجى التواصل مع Apigee Edge Support لإعادة تشغيل أجهزة التوجيه.

في حال كانت نقطة النهاية المستهدفة أو خادم مستهدف يستخدم نظام Truststore، عليك إعادة نشر الخادم الوكيل.
مباشرة احذف ملف تخزين المفاتيح أو ملف تخزين الثقة وأعِد إنشاؤه بالاسم نفسه.

لا يلزم تحديث المضيف الافتراضي. ومع ذلك، تخفق طلبات واجهة برمجة التطبيقات حتى لا يتم دمج ملف تخزين المفاتيح الجديد الاسم المستعار.

إذا تم استخدام ملف تخزين المفاتيح مع بروتوكول أمان طبقة النقل (TLS) ثنائي الاتجاه بين Edge وخدمة الخلفية، يُرجى التواصل مع Apigee Edge Support لإعادة تشغيل معالِجات الرسائل.
مباشرة بالنسبة إلى Truststore فقط، يجب تحميل شهادة جديدة إلى Truststore.

بالنسبة إلى المضيفات الافتراضية، يُرجى التواصل مع Apigee Edge Support لإعادة تشغيل أجهزة توجيه Edge.

في حال كانت نقطة النهاية المستهدفة أو خادم هدف يستخدم Truststore، يُرجى التواصل مع فريق Apigee Edge Support لإعادة تشغيل معالِجات الرسائل.

اختبار الشهادة قبل وبعد تَعْدِيلْ

استخدِم أوامر openssl التالية لاختبار الشهادة الحالية قبل التحديث فهو:

echo | openssl s_client -servername HOSTNAME -connect ORG-ENV.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

حيث HOSTNAME هو العنوان البديل للبريد الإلكتروني المخصص للمضيف وORG-ENV هو المؤسسة محددة. على سبيل المثال:

echo | openssl s_client -servername example.com -connect myOrg-prod.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

من المفترض أن يظهر لك الناتج في النموذج:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

استخدِم الأمر نفسه بعد تعديل الشهادة لاختبارها.

حدد كيف يشير المضيف الافتراضي أو نقطة النهاية المستهدفة/خادم الهدف إلى ملف تخزين المفاتيح مخزن شهادات

  1. سجِّل الدخول إلى واجهة مستخدم إدارة Edge على https://enterprise.apigee.com.
  2. في قائمة واجهة مستخدم إدارة Edge، حدد اسم مؤسستك.
  3. بالنسبة إلى المضيف الظاهري، يجب تحديد كيفية تحديد المضيف الظاهري لملف تخزين المفاتيح وTruststore.
    1. بناءً على إصدار واجهة مستخدم Edge:
      1. إذا كنت تستخدم واجهة مستخدم Edge الكلاسيكية: حدد واجهات برمجة التطبيقات > تهيئة البيئة.
      2. إذا كنت تستخدم واجهة مستخدم Edge الجديدة: حدد المشرف > البيئات:
    2. اختَر علامة التبويب المضيفات الافتراضية.
    3. بالنسبة للمضيف الافتراضي المحدد الذي تقوم بتحديثه، حدد زر إظهار لعرض خصائصه. تتضمّن طريقة العرض السمات التالية:
      1. ملف تخزين المفاتيح: اسم ملف تخزين المفاتيح الحالي، ويتم تحديده عادةً كمرجع في عمود "من ref://mykeystoreref".

        وبدلاً من ذلك، يمكن تحديده باسم مباشر في النموذج. myKeystoreName، أو قد يتم تحديده بواسطة متغير تدفق، في شكل {ssl.keystore}
      2. الاسم المستعار للمفتاح: قيمة هذه الخاصية هي الاسم المستعار في ملف تخزين المفاتيح. يجب أن ينشئ ملف تخزين المفاتيح الجديد اسمًا مستعارًا يحتوي على الاسم نفسه اسمك
      3. المتجر الموثوق به: اسم المتجر الموثوق به الحالي، إن وجد، المحددة كمرجع في الحقل "من" ref://mytruststoreref.

        وبدلاً من ذلك، يمكن تحديده باسم مباشر في النموذج. myTruststoreName، أو ربما يتم تحديده بواسطة متغير تدفق في النموذج {ssl.truststorestore}
  4. بالنسبة إلى نقطة النهاية المستهدفة/الخادم المستهدف، حدِّد كيف يمكن لنقطة النهاية المستهدفة يحدد ملف تخزين المفاتيح وملف تخزين الثقة:
    1. في قائمة "واجهة مستخدم إدارة Edge"، اختَر واجهات برمجة التطبيقات.
    2. اختَر اسم الخادم الوكيل لواجهة برمجة التطبيقات.
    3. اختَر علامة التبويب التطوير.
    4. ضمن نقاط النهاية المستهدَفة، اختَر تلقائي.
    5. في منطقة الرمز البرمجي، يظهر تعريف TargetEndpoint. فحص <SSLInfo> للاطّلاع على كيفية تحديد ملف تخزين المفاتيح/الثقة.

      ملاحظة: إذا كانت نقطة النهاية المستهدفة تستخدم خادمًا مستهدفًا، سيسري ملف XML تعريف نقطة النهاية المستهدفة على النحو التالي، حيث إن تحدد العلامة <LoadBalancer> الخوادم المستهدفة التي تستخدمها واجهة برمجة التطبيقات. الخادم الوكيل. 
      <TargetEndpoint name="default">
  …
  <HTTPTargetConnection>
    <LoadBalancer>
      <Server name="target1" />
      <Server name="target2" />
    </LoadBalancer>
    <Path>/test</Path>
  </HTTPTargetConnection>
    …
</TargetEndpoint>
      يمكنك فحص العنصر <SSLInfo> في تعريف الخادم الهدف لتحديد كيفية يتم تحديد ملف تخزين المفاتيح/الثقة.

تعديل شهادة بروتوكول أمان طبقة النقل (TLS) في ملف تخزين مفاتيح

عندما تنتهي صلاحية شهادة في ملف تخزين المفاتيح، لا يمكنك تحميل شهادة جديدة إلى ملف تخزين المفاتيح. بدلاً من ذلك، إنشاء ملف تخزين مفاتيح جديد وتحميل الشهادة، ثم تحديث المضيفات الافتراضية أو الخادم المستهدف/الهدف نقطة نهاية لاستخدام ملف تخزين المفاتيح الجديد.

تنشئ عادةً ملف تخزين مفاتيح جديدًا قبل انتهاء صلاحية الشهادة الحالية، ثم تحدّث للمضيفين الظاهرية أو نقاط النهاية المستهدفة لاستخدام ملف تخزين المفاتيح الجديد بحيث يمكنك الاستمرار في طلبات خدمة بدون انقطاع بسبب شهادة منتهية الصلاحية. يمكنك بعد ذلك حذف البيانات القديمة ملف تخزين المفاتيح بعد التأكد من عمل ملف تخزين المفاتيح الجديد بشكل صحيح.

بالنسبة إلى نشر Edge المستنِد إلى السحابة الإلكترونية:

  1. يمكنك إنشاء ملف تخزين مفاتيح جديد وتحميل شهادة ومفتاح كما هو موضح في . إنشاء ملفات تخزين مفاتيح وتخزين الثقة باستخدام واجهة مستخدم Edge

    في ملف تخزين المفاتيح الجديد، تأكد من استخدام الاسم نفسه للاسم المستعار للمفتاح الذي تم استخدامه في ملف تخزين المفاتيح الحالي

  2. بالنسبة إلى المضيف الافتراضي الذي يستخدمه اتصال وارد، ما يعني واجهة برمجة تطبيقات إلى Edge:
    1. إذا كان المضيف الظاهري يستخدم مرجعًا إلى ملف تخزين المفاتيح، عليك تحديث المرجع.
    2. إذا كان المضيف الظاهري يستخدم اسمًا مباشرًا لملف تخزين المفاتيح، يُرجى التواصل مع Apigee Edge Support.
  3. بالنسبة إلى نقطة النهاية المستهدفة/الخادم الهدف الذي يستخدمه الاتصال الصادر، يعني من Apigee إلى خادم خلفية:
    1. إذا كانت نقطة النهاية/الخادم المستهدف يستخدمان مراجعًا لملف تخزين المفاتيح، عليك تحديث المرجع. ليست هناك حاجة لإعادة نشر الوكيل.
    2. إذا كانت نقطة النهاية/الخادم الهدف يستخدمان متغيّر تدفق، عليك تعديل متغيّر التدفق. لا أمرٌ ضروري إعادة نشر الوكيل.

    3. إذا كانت نقطة النهاية/الخادم الهدف يستخدم اسمًا مباشرًا لملف تخزين المفاتيح، يجب تحديث تهيئة الخادم الهدف/نقطة النهاية المستهدفة لأي خوادم وكيلة لواجهة برمجة التطبيقات تشير إلى الخادم القديم ملف تخزين المفاتيح والاسم المستعار للمفتاح للإشارة إلى ملف تخزين المفاتيح والاسم المستعار للمفتاح الجديد.

      يجب عليك بعد ذلك إعادة نشر الخادم الوكيل.

  4. بعد التأكّد من أنّ ملف تخزين المفاتيح الجديد يعمل بشكل صحيح، احذف ملف تخزين المفاتيح القديم ملف تخزين مفاتيح يتضمن الشهادة والمفتاح اللذين انتهت صلاحيةهما.

تعديل شهادة بروتوكول أمان طبقة النقل (TLS) في مخزن شهادات

عند انتهاء صلاحية شهادة في Truststore، يمكنك عادةً إنشاء مخزن شهادات جديد وتحميل الشهادة، ثم تعديل المضيفات الافتراضية أو الخادم الهدف/نقطة النهاية المستهدفة لاستخدام Truststore الجديدة.

إذا كانت الشهادة جزءًا من سلسلة، فيجب عليك إما إنشاء ملف واحد يحتوي على جميع الشهادة وتحميل هذا الملف إلى اسم مستعار واحد، أو تحميل جميع الشهادات في السلسلة بشكل منفصل إلى Truststore باستخدام اسم مستعار مختلف لكل شهادة.

عليك عادةً إنشاء مخزن شهادات جديد قبل انتهاء صلاحية الشهادة الحالية، ثم إجراء تعديل للمضيفين الافتراضيين أو نقاط النهاية المستهدفة لاستخدام Truststore الجديد حتى تتمكن من طلبات خدمة بدون انقطاع بسبب شهادة منتهية الصلاحية. يمكنك بعد ذلك حذف البيانات القديمة بعد التأكد من أن Truststore الجديد يعمل بشكل صحيح.

بالنسبة إلى نشر Edge المستنِد إلى السحابة الإلكترونية:

  1. يجب إنشاء مخزن ائتماني جديد وتحميل شهادة كما هو موضح في. إنشاء ملفات تخزين مفاتيح وتخزين الثقة باستخدام واجهة مستخدم Edge:

    وعند تحميل الشهادة الجديدة إلى Truststore الجديد، لن يكون الاسم المستعار مهمًا.

  2. بالنسبة إلى المضيف الافتراضي الذي يستخدمه اتصال وارد، ما يعني واجهة برمجة تطبيقات إلى Edge:
    1. إذا كان المضيف الافتراضي يستخدم مرجعًا إلى Truststore، يُرجى تعديل المرجع.
    2. إذا كان المضيف الظاهري يستخدم اسمًا مباشرًا لـ Truststore، يُرجى التواصل مع فريق دعم Apigee Edge.
  3. بالنسبة إلى نقطة النهاية المستهدفة/الخادم الهدف الذي يستخدمه الاتصال الصادر، يعني من Apigee إلى خادم خلفية:
    1. إذا كانت نقطة النهاية/الخادم المستهدف يستخدمان مراجع إلى Truststore، يجب تعديل المرجع. ليست هناك حاجة لإعادة نشر الوكيل.
    2. إذا كانت نقطة النهاية/الخادم الهدف يستخدمان متغيّر تدفق، عليك تعديل متغيّر التدفق. لا أمرٌ ضروري إعادة نشر الوكيل.

    3. إذا كانت نقطة النهاية/الخادم الهدف يستخدم اسمًا مباشرًا لـ Truststore، تعديل إعدادات نقطة النهاية المستهدفة/الخادم الهدف لأي خوادم وكيلة لواجهة برمجة التطبيقات تشير إلى ملف تخزين المفاتيح القديم للإشارة إلى ملف تخزين المفاتيح والاسم المستعار للمفتاح الجديد.

      يجب عليك بعد ذلك إعادة نشر الخادم الوكيل.

  4. بعد التأكّد من أنّ المتجر الجديد الموثوق به يعمل بشكل صحيح، احذف الملف القديم. Truststore مع شهادة منتهية الصلاحية.