Cập nhật chứng chỉ TLS cho Đám mây

Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến Tài liệu về Apigee X. thông tin

Phương thức mà bạn sử dụng để chỉ định tên của kho khoá và kho tin cậy trong máy chủ ảo hoặc điểm cuối/máy chủ mục tiêu đích xác định cách bạn thực hiện quá trình cập nhật chứng chỉ. Bạn có thể chỉ định tên của kho khoá và kho tin cậy bằng cách sử dụng:

  • Tài liệu tham khảo – ưu tiên
  • Tên trực tiếp
  • Biến luồng

Mỗi phương pháp trong số này có các hậu quả khác nhau đối với quá trình cập nhật chứng chỉ, như được mô tả trong bảng sau.

Loại cấu hình Cách cập nhật/thay thế chứng chỉ Cách cập nhật máy chủ lưu trữ ảo, thiết bị đầu cuối đích/máy chủ mục tiêu
Tệp đối chiếu (nên dùng)

Đối với kho khoá, hãy tạo kho khoá mới với tên mới và bí danh bằng cùng một tên với bí danh cũ.

Đối với kho tin cậy, hãy tạo kho tin cậy với một tên mới.

 Cập nhật tệp tham chiếu đến kho khoá hoặc kho tin cậy.

Bạn không cần liên hệ với Bộ phận hỗ trợ Apigee Edge.
Biến luồng (chỉ điểm cuối mục tiêu)

Đối với kho khoá, hãy tạo kho khoá mới với tên mới và bí danh bằng có cùng tên hoặc tên mới.

Đối với kho tin cậy, hãy tạo kho tin cậy với một tên mới.

Truyền var luồng được cập nhật trên mỗi yêu cầu bằng tên của kho khoá, bí danh mới hoặc kho tin cậy.

Bạn không cần liên hệ với Bộ phận hỗ trợ Apigee Edge.
Trực tiếp Tạo một kho khoá, bí danh, cửa hàng tin cậy mới.

Đối với máy chủ ảo, hãy liên hệ với Bộ phận hỗ trợ Apigee Edge để khởi động lại Bộ định tuyến.

Nếu kho tin cậy được một điểm cuối/máy chủ mục tiêu sử dụng, hãy triển khai lại proxy.
Trực tiếp Xoá kho khoá hoặc kho khoá tin cậy rồi tạo lại kho khoá hoặc kho lưu trữ đó bằng cùng một tên.

Không cần cập nhật máy chủ ảo. Tuy nhiên, các yêu cầu API sẽ không thực hiện được cho đến khi có kho khoá mới và bí danh đã được đặt.

Nếu kho khoá được sử dụng cho TLS hai chiều giữa Edge và dịch vụ phụ trợ, liên hệ với Bộ phận hỗ trợ Apigee Edge để khởi động lại Bộ xử lý thư.
Trực tiếp (Chỉ đối với kho tin cậy), hãy tải chứng chỉ mới lên kho tin cậy.

Đối với máy chủ ảo, hãy liên hệ với Bộ phận hỗ trợ Apigee Edge để khởi động lại Bộ định tuyến Edge.

Nếu kho tin cậy được một điểm cuối mục tiêu/máy chủ mục tiêu sử dụng, hãy liên hệ với Bộ phận hỗ trợ Apigee Edge để khởi động lại Bộ xử lý thư.

Kiểm tra chứng chỉ trước và sau khi nội dung cập nhật

Dùng các lệnh openssl sau để kiểm thử chứng chỉ hiện tại trước khi cập nhật nó:

echo | openssl s_client -servername HOSTNAME -connect ORG-ENV.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

trong đó HOSTNAME là bí danh của người tổ chức và ORG-ENV là tổ chức và môi trường. Ví dụ:

echo | openssl s_client -servername example.com -connect myOrg-prod.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

Bạn sẽ thấy kết quả trong biểu mẫu:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

Sử dụng lệnh tương tự sau khi bạn cập nhật chứng chỉ để kiểm tra chứng chỉ đó.

Xác định cách máy chủ ảo hoặc điểm cuối/máy chủ đích mục tiêu tham chiếu kho khoá và cửa hàng uy tín

  1. Đăng nhập vào giao diện người dùng quản lý Edge tại https://enterprise.apigee.com.
  2. Trong trình đơn giao diện người dùng quản lý Edge, hãy chọn tên tổ chức của bạn.
  3. Đối với máy chủ lưu trữ ảo, hãy xác định cách máy chủ ảo chỉ định kho khoá và kho tin cậy.
    1. Tuỳ thuộc vào phiên bản giao diện người dùng Edge:
      1. Nếu bạn đang sử dụng Classic Edge UI: Hãy chọn APIs > Cấu hình môi trường.
      2. Nếu bạn đang sử dụng Giao diện người dùng mới của Edge: Hãy chọn Quản trị > Môi trường.
    2. Chọn thẻ Virtual Hosts (Máy chủ ảo).
    3. Đối với máy chủ ảo cụ thể mà bạn đang cập nhật, hãy chọn nút Hiển thị để hiển thị các thuộc tính của lớp đó. Màn hình bao gồm các thuộc tính sau:
      1. Key Store (Cửa hàng khoá): Tên của kho khoá hiện tại, thường được chỉ định làm tham chiếu trong từ ref://mykeystoreref.

        Ngoài ra, trạng thái này có thể được chỉ định bằng một tên trực tiếp, trong biểu mẫu myKeystoreName hoặc có thể được chỉ định bằng một biến luồng, ở dạng {ssl.keystore}.
      2. Bí danh khoá. Giá trị của thuộc tính này là tên bí danh trong kho khoá. Kho khoá mới của bạn phải tạo một bí danh giống nhau .
      3. Trust Store: Tên của kho tin cậy hiện tại (nếu có) thường được chỉ định làm tham chiếu trong ref://mytruststoreref.

        Ngoài ra, trạng thái này có thể được chỉ định bằng một tên trực tiếp, trong biểu mẫu myTruststoreName hoặc có thể được chỉ định bằng một biến luồng, ở dạng {ssl.truststorestore}.
  4. Đối với điểm cuối đích/máy chủ mục tiêu, hãy xác định cách điểm cuối đích chỉ định kho khoá và kho tin cậy:
    1. Trong trình đơn giao diện người dùng quản lý Edge, hãy chọn API.
    2. Chọn tên của proxy API.
    3. Chọn thẻ Phát triển.
    4. Trong mục Target Endpoints (Điểm cuối mục tiêu), hãy chọn default (mặc định).
    5. Trong vùng mã, định nghĩa TargetEndpoint sẽ xuất hiện. Kiểm tra Phần tử <SSLInfo> để xem cách xác định kho khoá/đáng tin cậy.

      Lưu ý: Nếu điểm cuối đích sử dụng máy chủ đích, thì XML định nghĩa điểm cuối mục tiêu xuất hiện như bên dưới, trong đó Thẻ <LoadBalancer> chỉ định các máy chủ mục tiêu mà API sử dụng proxy. 
      <TargetEndpoint name="default">
  …
  <HTTPTargetConnection>
    <LoadBalancer>
      <Server name="target1" />
      <Server name="target2" />
    </LoadBalancer>
    <Path>/test</Path>
  </HTTPTargetConnection>
    …
</TargetEndpoint>
      Kiểm tra phần tử <SSLInfo> trong định nghĩa máy chủ mục tiêu để xác định cách kho khoá/truststore đã được định nghĩa.

Cập nhật chứng chỉ TLS trong kho khoá

Khi một chứng chỉ trong kho khoá hết hạn, bạn không thể tải chứng chỉ mới lên kho khoá. Thay vào đó, bạn tạo kho khoá mới và tải chứng chỉ lên, sau đó cập nhật máy chủ ảo hoặc máy chủ/mục tiêu điểm cuối để sử dụng kho khoá mới.

Thông thường, bạn tạo một kho khoá mới trước khi chứng chỉ hiện tại hết hạn, sau đó cập nhật máy chủ ảo hoặc điểm cuối mục tiêu của bạn để sử dụng kho khoá mới sao cho bạn có thể tiếp tục để yêu cầu dịch vụ mà không bị gián đoạn do chứng chỉ đã hết hạn. Sau đó, bạn có thể xoá quảng cáo cũ kho khoá sau khi đảm bảo kho khoá mới đang hoạt động chính xác.

Cách triển khai Edge trên đám mây:

  1. Tạo kho khoá mới, rồi tải chứng chỉ và khoá lên theo mô tả trong Tạo kho khoá và kho tin cậy bằng giao diện người dùng Edge.

    Trong kho khoá mới, hãy đảm bảo rằng bạn sử dụng cùng một tên cho bí danh khoá như đã dùng trong kho khoá hiện có.

  2. Đối với máy chủ ảo được kết nối đến sử dụng, nghĩa là API vào Edge:
    1. Nếu máy chủ ảo của bạn sử dụng tệp tham chiếu đến kho khoá, hãy cập nhật tệp tham chiếu đó.
    2. Nếu máy chủ ảo của bạn sử dụng tên trực tiếp của kho khoá, hãy liên hệ với Bộ phận hỗ trợ Apigee Edge.
  3. Đối với điểm cuối/máy chủ mục tiêu được một kết nối ra ngoài sử dụng, nghĩa là từ Apigee sang máy chủ phụ trợ:
    1. Nếu điểm cuối/máy chủ mục tiêu sử dụng tệp tham chiếu đến kho khoá, hãy cập nhật tham chiếu. Bạn không cần triển khai lại proxy.
    2. Nếu điểm cuối/máy chủ mục tiêu sử dụng biến luồng, hãy cập nhật biến luồng. Không triển khai lại proxy.

    3. Nếu điểm cuối/máy chủ mục tiêu sử dụng tên trực tiếp của kho khoá, hãy cập nhật điểm cuối đích/cấu hình máy chủ mục tiêu cho mọi proxy API tham chiếu đến kho khoá và bí danh khoá để tham chiếu kho khoá và bí danh khoá mới.

      Sau đó, bạn phải triển khai lại proxy.

  4. Sau khi bạn xác nhận rằng kho khoá mới của mình đang hoạt động đúng cách, hãy xoá kho khoá cũ kho khoá có chứng chỉ và khoá đã hết hạn.

Cập nhật chứng chỉ TLS trong kho lưu trữ tin cậy

Khi một chứng chỉ trong kho tin cậy hết hạn, thông thường, bạn tạo một kho lưu trữ uy tín mới rồi tải chứng chỉ lên. thì hãy cập nhật máy chủ ảo hoặc máy chủ mục tiêu/điểm cuối đích để sử dụng kho tin cậy mới.

Nếu chứng chỉ là một phần của chuỗi, thì bạn phải tạo một tệp duy nhất chứa tất cả chứng chỉ và tải tệp đó lên một bí danh duy nhất hoặc tải lên tất cả các chứng chỉ trong chuỗi một cách riêng biệt Trustedstore bằng cách sử dụng một bí danh khác nhau cho mỗi chứng chỉ.

Thông thường, bạn tạo một kho tin cậy mới trước khi chứng chỉ hiện tại hết hạn, sau đó cập nhật máy chủ ảo hoặc thiết bị đầu cuối nhắm mục tiêu của bạn nhằm sử dụng kho tin cậy mới để bạn có thể tiếp tục để yêu cầu dịch vụ mà không bị gián đoạn do chứng chỉ đã hết hạn. Sau đó, bạn có thể xoá quảng cáo cũ Truststore sau khi đảm bảo rằng kho tin cậy mới đang hoạt động đúng cách.

Cách triển khai Edge trên đám mây:

  1. Tạo một kho tin cậy mới rồi tải chứng chỉ lên như mô tả trong Tạo kho khoá và kho tin cậy bằng giao diện người dùng Edge.

    Khi bạn tải chứng chỉ mới lên kho tin cậy mới, tên bí danh không quan trọng.

  2. Đối với máy chủ ảo được kết nối đến sử dụng, nghĩa là API vào Edge:
    1. Nếu máy chủ ảo của bạn sử dụng tệp tham chiếu đến kho tin cậy, hãy cập nhật tệp tham chiếu đó.
    2. Nếu máy chủ ảo của bạn sử dụng tên trực tiếp của kho tin cậy, hãy liên hệ với Bộ phận hỗ trợ Apigee Edge.
  3. Đối với điểm cuối/máy chủ mục tiêu được kết nối ra ngoài sử dụng, nghĩa là từ Apigee sang máy chủ phụ trợ:
    1. Nếu điểm cuối/máy chủ mục tiêu sử dụng tệp tham chiếu đến kho tin cậy, hãy cập nhật tham chiếu. Bạn không cần triển khai lại proxy.
    2. Nếu điểm cuối/máy chủ mục tiêu sử dụng biến luồng, hãy cập nhật biến luồng. Không triển khai lại proxy.

    3. Nếu điểm cuối/máy chủ mục tiêu sử dụng tên trực tiếp của kho tin cậy, cập nhật điểm cuối đích/cấu hình máy chủ mục tiêu cho mọi proxy API được tham chiếu kho tin cậy cũ để tham chiếu kho khoá và bí danh khoá mới.

      Sau đó, bạn phải triển khai lại proxy.

  4. Sau khi bạn xác nhận rằng kho tin cậy mới của mình đang hoạt động đúng cách, hãy xoá kho lưu trữ cũ Truststore có chứng chỉ đã hết hạn.