Atualizar um certificado TLS para o Cloud

Esta é a documentação do Apigee Edge.
Acesse Documentação da Apigee X. informações

O método usado para especificar o nome do keystore e truststore no host virtual ou no endpoint de destino/servidor de destino determina como você executa a atualização do certificado. É possível especificar nome do keystore e do truststore usando:

• Referências (preferido)
• Nomes diretos
• Variáveis de fluxo

Cada um desses métodos tem repercussões diferentes na atualização de certificados, conforme descrito em na tabela a seguir.

Tipo de configuração	Como atualizar/substituir um certificado	Como atualizar o host virtual e o endpoint/servidor de destino
Referência (recomendado)	Para um keystore, crie um novo keystore com um novo nome e um alias com mesmo nome do alias antigo. Para uma truststore, crie um truststore com um novo nome.	Atualize a referência do keystore ou truststore. Não é necessário entrar em contato com o suporte do Apigee Edge.
Variáveis de fluxo (somente endpoint de destino)	Para um keystore, crie um novo keystore com um novo nome e um alias com o mesmo nome ou com um novo nome. Para uma truststore, crie um truststore com um novo nome.	Transmita var de fluxo atualizado em cada solicitação com o nome do novo keystore, alias ou o truststore. Não é necessário entrar em contato com o suporte do Apigee Edge.
Direto	Crie um novo keystore, alias, truststore.	No caso de hosts virtuais, entre em contato com o suporte do Apigee Edge para reiniciar os roteadores. Se o truststore for usado por um endpoint/servidor de destino, reimplante o proxy.
Direto	Exclua o repositório de chaves ou o truststore e recrie-o com o mesmo nome.	Não é necessário atualizar o host virtual. No entanto, as solicitações de API falham até que o novo keystore e alias forem definidos. Se o keystore for usado para TLS bidirecional entre o Edge e o serviço de back-end, Entre em contato com o suporte do Apigee Edge para reiniciar os processadores de mensagens.
Direto	Apenas para truststore, faça upload de um novo certificado para o truststore.	No caso de hosts virtuais, entre em contato com o suporte do Apigee Edge para reiniciar os roteadores de borda. Se o truststore for usado por um endpoint/servidor de destino de destino, entre em contato com o suporte do Apigee Edge para reiniciar os processadores de mensagens.

Teste o certificado antes e depois do atualizar

Use os comandos openssl a seguir para testar o certificado atual antes de atualizar. ele:

echo | openssl s_client -servername HOSTNAME -connect ORG-ENV.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

em que HOSTNAME é o alias de host e ORG-ENV é a organização e de nuvem. Exemplo:

echo | openssl s_client -servername example.com -connect myOrg-prod.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

Você verá a saída no formulário:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

Use o mesmo comando depois de atualizar o certificado para testá-lo.

Determine como o host virtual ou o endpoint/servidor de destino referencia o keystore e truststore

1. Faça login na IU de gerenciamento de borda em https://enterprise.apigee.com.
2. No menu da interface de gerenciamento de borda, selecione o nome da sua organização.
3. Para um host virtual, determine como ele especifica o keystore e o truststore.
   1. Dependendo da versão da interface do Edge:
      1. Se você estiver usando a IU clássica do Edge: selecione APIs > Configuração do ambiente.
      2. Se você estiver usando a New Edge UI, selecione Admin > Ambientes.
   2. Selecione a guia Virtual Hosts.
   3. Para o host virtual específico que você está atualizando, selecione o botão Show para exibir suas propriedades. A exibição inclui as seguintes propriedades:
      1. Key Store: o nome do keystore atual, normalmente especificado. como referência no ref://mykeystoreref.
         
         Como alternativa, pode ser especificado por um nome direto, no formato myKeystoreName ou pode ser especificado por uma variável de fluxo, no formato {ssl.keystore}
      2. Alias de chave. O valor dessa propriedade é o nome do alias no elemento um repositório de chaves de acesso. Seu novo keystore deve criar um alias com os mesmos nome.
      3. Truststore: o nome do truststore atual, se houver, normalmente. especificado como uma referência em ref://mytruststoreref.
         
         Como alternativa, pode ser especificado por um nome direto, no formato myTruststoreName ou pode ser especificado por uma variável de fluxo, no formato {ssl.truststorestore}
4. Para um endpoint/servidor de destino, determine como o endpoint de destino especifica o keystore e o truststore:
   1. No menu da interface de gerenciamento de borda, selecione APIs.
   2. Selecione o nome do proxy de API.
   3. Selecione a guia Desenvolvimento.
   4. Em Endpoints de destino, selecione padrão.
   5. Na área de código, a definição TargetEndpoint é exibida. Analise o <SSLInfo> para ver como o keystore/truststore está definido.
      
      Observação: se o endpoint de destino usar um servidor de destino, o XML do endpoint de destino aparece como abaixo, em que o A tag <LoadBalancer> especifica os servidores de destino usados pela API. proxy.

      <TargetEndpoint name="default">
        …
        <HTTPTargetConnection>
          <LoadBalancer>
            <Server name="target1" />
            <Server name="target2" />
          </LoadBalancer>
          <Path>/test</Path>
        </HTTPTargetConnection>
          …
      </TargetEndpoint>

      Examine o elemento <SSLInfo> na definição do servidor de destino para determinar como o keystore/truststore está definido.

Atualizar um certificado TLS em um keystore

Quando um certificado em um keystore expira, não é possível fazer upload de um novo certificado para o keystore. Em vez disso, crie um novo keystore e faça upload do certificado. Depois, atualize os hosts virtuais ou servidor/destino de destino para usar o novo keystore.

Normalmente, você cria um novo keystore antes que o certificado atual expire e depois atualiza seus hosts virtuais ou endpoints de destino para usar o novo keystore e continuar solicitações de serviço sem interrupção devido a um certificado expirado. Depois disso, é possível excluir depois de garantir que o novo keystore está funcionando corretamente.

Para uma implantação do Edge baseada na nuvem:

1. Crie um novo keystore e faça upload de um certificado e uma chave conforme descrito em Como criar keystores e truststore usando a interface do Edge

   No novo keystore, use o mesmo nome do alias de chave usado o repositório de chaves atual.

2. Para um host virtual usado por uma conexão de entrada, ou seja, uma API solicitação para o Edge:
   1. Se o host virtual usar uma referência ao keystore, atualize a referência.
   2. Se o host virtual usar um nome direto do keystore, entre em contato com o suporte do Apigee Edge.
3. Para um endpoint/servidor de destino usado por uma conexão de saída, ou seja, da Apigee para um servidor de back-end:
   1. Se o endpoint/servidor de destino usar referências ao keystore, atualize o de referência. Nenhuma reimplantação do proxy é necessária.
   2. Se o endpoint/servidor de destino usar uma variável de fluxo, atualize essa variável. Não é necessária uma reimplantação do proxy.

   3. Se o endpoint/servidor de destino usar um nome direto do keystore, atualize o configuração do endpoint/servidor de destino para todos os proxies de API que faziam referência ao keystore e o alias da chave para fazer referência ao novo keystore e o alias da chave.

      Em seguida, reimplante o proxy.

4. Depois de confirmar que seu novo keystore está funcionando corretamente, exclua o antigo com a chave e o certificado expirados.

Atualizar um certificado TLS em um truststore

Quando um certificado em um truststore expira, você normalmente cria um novo truststore e faz upload do certificado. depois atualize os hosts virtuais ou o servidor de destino/endpoint de destino para usar o novo truststore.

Se um certificado fizer parte de uma cadeia, você precisará criar um único arquivo contendo todas as e faça upload desse arquivo para um único alias ou faça upload de todos os certificados na cadeia separadamente para o truststore usando um alias diferente para cada certificado.

Normalmente, você cria um novo truststore antes que o certificado atual expire e, em seguida, atualiza seus hosts virtuais ou endpoints de destino para usar o novo truststore e continuar a solicitações de serviço sem interrupção devido a um certificado expirado. Em seguida, você pode excluir truststore depois de garantir que o novo truststore está funcionando corretamente.

Para uma implantação do Edge baseada na nuvem:

1. Crie um novo truststore e faça upload de um certificado conforme descrito em Como criar keystores e truststore usando a IU do Edge.

   Quando você faz upload do novo certificado para o novo truststore, o nome do alias não importa.

2. Para um host virtual usado por uma conexão de entrada, ou seja, uma API solicitação para o Edge:
   1. Se o host virtual usar uma referência ao truststore, atualize a referência.
   2. Se o host virtual usa um nome direto do truststore, entre em contato com o suporte do Apigee Edge.
3. Para um endpoint/servidor de destino usado por uma conexão de saída, ou seja, da Apigee para um servidor de back-end:
   1. Se o endpoint/servidor de destino usar referências ao truststore, atualize o de referência. Nenhuma reimplantação do proxy é necessária.
   2. Se o endpoint/servidor de destino usar uma variável de fluxo, atualize essa variável. Não e uma reimplantação do proxy será necessária.

   3. Se o endpoint/servidor de destino usar um nome direto do truststore, atualize a configuração do endpoint/servidor de destino para todos os proxies de API que fizeram referência o antigo truststore para fazer referência ao novo keystore e ao alias de chave.

      Em seguida, reimplante o proxy.

4. Depois de confirmar que seu novo truststore está funcionando corretamente, exclua o antigo truststore com o certificado expirado.