클라우드의 TLS 인증서 업데이트

<ph type="x-smartling-placeholder"></ph> 현재 Apigee Edge 문서를 보고 있습니다.
Apigee X 문서.
정보

가상 호스트 또는 대상 엔드포인트/대상 서버에서 키 저장소 및 트러스트 저장소의 이름을 지정하는 데 사용하는 방법은 인증서 업데이트 수행 방법을 결정합니다. 포드의 다음을 사용하여 keystore 및 truststore의 이름을 지정합니다.

  • 참고 자료 - 권장
  • 직접 이름
  • 흐름 변수

이러한 각 메서드는 인증서 업데이트 프로세스에 다른 영향을 미칩니다. 자세한 내용은 다음 표를 참조하세요.

구성 유형 인증서 업데이트/교체 방법 가상 호스트, 대상 엔드포인트/대상 서버를 업데이트하는 방법
참조 (권장)

키 저장소의 경우 새 이름동일한 이름으로 변경합니다.

트러스트 저장소의 경우 새 이름으로 트러스트 저장소를 만듭니다.

키 저장소 또는 트러스트 저장소에 대한 참조를 업데이트합니다.

Apigee Edge 지원팀에 문의할 필요가 없습니다.

흐름 변수(대상 엔드포인트만 해당)

키 저장소의 경우 새 이름과 새 이름으로 변경할 수 있습니다

트러스트 저장소의 경우 새 이름으로 트러스트 저장소를 만듭니다.

새 키 저장소, 별칭 또는 키 저장소의 이름과 함께 각 요청의 업데이트된 흐름 변수를 전달합니다. 트러스트 저장소

Apigee Edge 지원팀에 문의할 필요가 없습니다.

직접 새 키 저장소, 별칭, 트러스트 저장소를 만듭니다.

가상 호스트의 경우 Apigee Edge 지원팀에 문의하여 라우터를 다시 시작하세요.

트러스트 저장소가 대상 엔드포인트/대상 서버에서 사용되는 경우 프록시를 다시 배포합니다.

직접성 키 저장소 또는 트러스트 저장소를 삭제하고 동일한 이름으로 다시 생성합니다.

가상 호스트를 업데이트할 필요는 없습니다. 하지만 API 요청은 새 키 저장소와 키 저장소가 설정할 수 있습니다

Edge와 백엔드 서비스 간의 양방향 TLS에 키 저장소가 사용되는 경우 Apigee Edge 지원팀에 문의하여 메시지 프로세서를 다시 시작하세요.

직접 트러스트 저장소의 경우에만 트러스트 저장소에 새 인증서를 업로드합니다.

가상 호스트의 경우 Apigee Edge 지원팀에 문의하여 에지 라우터를 다시 시작하세요.

트러스트 저장소를 대상 엔드포인트/대상 서버에서 사용하는 경우 Apigee Edge 지원팀에 문의하여 메시지 프로세서를 다시 시작하세요.

인증서 이전과 이후의 인증서 업데이트

업데이트하기 전에 다음 openssl 명령어를 사용하여 현재 인증서를 테스트합니다. 다음과 같습니다.

echo | openssl s_client -servername HOSTNAME -connect ORG-ENV.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

여기서 HOSTNAME은 호스트 별칭이고 ORG-ENV은 조직입니다. 환경입니다 예를 들면 다음과 같습니다.

echo | openssl s_client -servername example.com -connect myOrg-prod.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

다음과 같은 형식으로 출력이 표시됩니다.

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

인증서를 업데이트한 후 동일한 명령어를 사용하여 테스트합니다.

가상 호스트 또는 대상 엔드포인트/대상 서버가 키 저장소와 키 저장소를 참조하는 방법을 결정합니다. 트러스트 저장소

  1. https://enterprise.apigee.com에서 에지 관리 UI에 로그인합니다.
  2. 에지 관리 UI 메뉴에서 조직의 이름을 선택합니다.
  3. 가상 호스트의 경우 가상 호스트가 키 저장소를 지정하는 방법을 결정합니다. Truststore가 있습니다
    1. Edge UI 버전에 따라 다음 안내를 따르세요. <ph type="x-smartling-placeholder">
        </ph>
      1. 기본 Edge UI를 사용하는 경우: API > 환경 구성을 참조하세요.
      2. 새 Edge UI를 사용하는 경우: 관리 > 환경을 참조하세요.
    2. Virtual Hosts(가상 호스트) 탭을 선택합니다.
    3. 업데이트할 특정 가상 호스트에서 Show(표시)를 선택합니다. 버튼을 클릭하여 속성을 표시합니다. 디스플레이에는 다음 속성이 포함됩니다. <ph type="x-smartling-placeholder">
        </ph>
      1. Key Store: 현재 키 저장소의 이름으로, 일반적으로 지정됨 ref://mykeystoreref에서 참조로 반환합니다.

        또는 myKeystoreName이거나 흐름 변수에 의해 다음과 같은 형식으로 지정될 수 있습니다. {ssl.keystore}입니다.
      2. 주요 별칭. 이 속성의 값은 keystore. 새 키 저장소는 살펴보겠습니다
      3. Trust Store(트러스트 저장소): 현재 truststore(있는 경우)의 이름이며 일반적으로 ref://mytruststoreref에서 참조로 지정됩니다.

        또는 myTruststoreName이거나 흐름 변수에 의해 다음과 같은 형식으로 지정될 수 있습니다. {ssl.truststorestore}입니다.
  4. 대상 엔드포인트/대상 서버의 경우 대상 엔드포인트 는 keystore와 truststore를 지정합니다. <ph type="x-smartling-placeholder">
      </ph>
    1. Edge 관리 UI 메뉴에서 API를 선택합니다.
    2. API 프록시의 이름을 선택합니다.
    3. 개발 탭을 선택합니다.
    4. 대상 엔드포인트에서 기본값을 선택합니다.
    5. 코드 영역에 TargetEndpoint 정의가 나타납니다. 그런 다음 <SSLInfo> 요소를 사용하여 keystore/truststore가 정의되는 방식을 확인합니다.

      참고: 대상 엔드포인트가 대상 서버를 사용하는 경우 XML 대상 엔드포인트의 정의는 아래와 같이 나타납니다. 여기서 <LoadBalancer> 태그는 API에서 사용하는 대상 서버를 지정합니다. 사용할 수 있습니다
      <TargetEndpoint name="default">
        …
        <HTTPTargetConnection>
          <LoadBalancer>
            <Server name="target1" />
            <Server name="target2" />
          </LoadBalancer>
          <Path>/test</Path>
        </HTTPTargetConnection>
          …
      </TargetEndpoint>
      대상 서버 정의의 <SSLInfo> 요소를 검토하여 keystore/truststore가 정의되어 있는지 확인합니다.

키 저장소의 TLS 인증서 업데이트

키 저장소의 인증서가 만료되면 키 저장소에 새 인증서를 업로드할 수 없습니다. 대신 새 키 저장소를 만들고 인증서를 업로드한 다음 가상 호스트 또는 대상 서버/대상 업데이트 새 키 저장소를 사용하도록 설정합니다.

일반적으로 현재 인증서가 만료되기 전에 새 키 저장소를 만든 후 새 키 저장소를 사용하여 인증서가 만료되어도 중단 없이 서비스를 요청할 수 있습니다. 그런 다음 새 키 저장소가 제대로 작동하는지 확인한 후 키 저장소

Edge의 클라우드 기반 배포의 경우:

  1. 에 설명된 대로 새 키 저장소를 만들고 인증서와 키를 업로드합니다. Edge UI를 사용하여 키 저장소 및 truststore 만들기.

    새 키 저장소에서 키 별칭에 기존 키 저장소를 사용합니다

  2. 인바운드 연결에서 사용하는 가상 호스트: API를 의미합니다. 요청을 에지에 전송합니다. <ph type="x-smartling-placeholder">
      </ph>
    1. 가상 호스트가 키 저장소에 대한 참조를 사용하는 경우 참조를 업데이트합니다.
    2. 가상 호스트에서 키 저장소의 직접 이름을 사용하는 경우 Apigee Edge 지원팀에 문의하세요.
  3. 아웃바운드 연결에서 사용하는 대상 엔드포인트/대상 서버의 경우. 데이터를 Apigee에서 백엔드 서버로 이동할 수 있습니다 <ph type="x-smartling-placeholder">
      </ph>
    1. 대상 엔드포인트/대상 서버가 키 저장소에 대한 참조를 사용하는 경우 참조 프록시 재배포가 필요하지 않습니다.
    2. 대상 엔드포인트/대상 서버가 흐름 변수를 사용하는 경우 흐름 변수를 업데이트합니다. 아니요 프록시 재배포가 필요합니다.
    3. 대상 엔드포인트/대상 서버가 키 저장소의 직접 이름을 사용하는 경우 이전 인스턴스를 참조한 API 프록시의 대상 엔드포인트/대상 서버 구성 새 키 저장소와 키 별칭을 참조할 키 저장소 및 키 별칭입니다.

      그런 다음 프록시를 다시 배포해야 합니다.

  4. 새 키 저장소가 올바르게 작동하는지 확인한 후 이전 키 저장소 만료된 인증서와 키가 있는 키 저장소입니다.

트러스트 저장소에서 TLS 인증서 업데이트

트러스트 저장소의 인증서가 만료되면 일반적으로 새 트러스트 저장소를 만들고 인증서를 업로드합니다. 새 트러스트 저장소를 사용하도록 가상 호스트 또는 대상 서버/대상 엔드포인트를 업데이트합니다.

인증서가 체인의 일부인 경우 인증서를 사용하여 해당 파일을 단일 별칭에 업로드하거나 체인의 모든 인증서를 개별적으로 트러스트 저장소를 만들어야 합니다.

일반적으로 현재 인증서가 만료되기 전에 새 트러스트 저장소를 만든 후 업데이트합니다. 새 트러스트 저장소를 사용하도록 가상 호스트나 대상 엔드포인트에 인증서가 만료되어도 중단 없이 서비스를 요청할 수 있습니다. 그런 다음 truststore가 올바르게 작동하는지 확인한 후

Edge의 클라우드 기반 배포의 경우:

  1. 새 트러스트 저장소를 만들고 다음에 설명된 대로 인증서를 업로드하세요. Edge UI를 사용하여 키 저장소 및 truststore 만들기

    새 인증서를 새 트러스트 저장소에 업로드할 때는 별칭 이름은 중요하지 않습니다.

  2. 인바운드 연결에서 사용하는 가상 호스트: API를 의미합니다. 요청을 에지에 전송합니다. <ph type="x-smartling-placeholder">
      </ph>
    1. 가상 호스트가 truststore 참조를 사용하는 경우 참조를 업데이트합니다.
    2. 가상 호스트에서 트러스트 저장소 이름을 사용하는 경우 Apigee Edge 지원팀에 문의하세요.
  3. 아웃바운드 연결에서 사용하는 대상 엔드포인트/대상 서버의 경우. 데이터를 Apigee에서 백엔드 서버로 이동할 수 있습니다 <ph type="x-smartling-placeholder">
      </ph>
    1. 대상 엔드포인트/대상 서버가 truststore 참조를 사용하는 경우 참조 프록시 재배포가 필요하지 않습니다.
    2. 대상 엔드포인트/대상 서버가 흐름 변수를 사용하는 경우 흐름 변수를 업데이트합니다. 아니요 프록시 재배포가 필요합니다.
    3. 대상 엔드포인트/대상 서버가 truststore의 직접 이름을 사용하는 경우 참조한 API 프록시의 대상 엔드포인트/대상 서버 구성 업데이트 새 키 저장소와 키 별칭을 참조합니다.

      그런 다음 프록시를 다시 배포해야 합니다.

  4. 새 트러스트 저장소가 올바르게 작동하는지 확인한 후 이전 트러스트 저장소를 삭제합니다. truststore를 만료해야 합니다.