현재 Apigee Edge 문서가 표시되고 있습니다.
Apigee X 문서로 이동 정보
가상 호스트 또는 대상 엔드포인트/대상 서버에서 키 저장소 및 트러스트 저장소의 이름을 지정하는 데 사용하는 방법은 인증서 업데이트 수행 방법을 결정합니다. 다음을 사용하여 키 저장소 및 트러스트 저장소의 이름을 지정할 수 있습니다.
- 참조 - 권장
- 직접 이름
- 흐름 변수
다음 표에 설명된 것처럼 이러한 메서드마다 인증서 업데이트 프로세스에 미치는 영향이 다릅니다.
구성 유형 | 인증서 업데이트/교체 방법 | 가상 호스트, 대상 엔드포인트/대상 서버를 업데이트하는 방법 |
---|---|---|
참조 (권장) |
키 저장소의 경우 새 이름과 이전 별칭과 동일한 이름의 별칭으로 새 키 저장소를 생성합니다. 트러스트 저장소의 경우 새 이름으로 트러스트 저장소를 만듭니다. |
키 저장소 또는 트러스트 저장소 참조를 업데이트합니다.
Apigee Edge 지원팀에 문의할 필요가 없습니다. |
흐름 변수(대상 엔드포인트만 해당) |
키 저장소의 경우 새 이름과 같은 이름이나 새 이름의 별칭으로 새 키 저장소를 생성합니다. 트러스트 저장소의 경우 새 이름으로 트러스트 저장소를 만듭니다. |
새 키 저장소, 별칭 또는 트러스트 저장소 이름과 함께 각 요청의 업데이트된 흐름 var를 전달합니다. Apigee Edge 지원팀에 문의할 필요가 없습니다. |
직접 | 새 키 저장소, 별칭, 트러스트 저장소를 만듭니다. |
가상 호스트의 경우 Apigee Edge 지원팀에 문의하여 라우터를 다시 시작하세요. 트러스트 저장소가 대상 엔드포인트/대상 서버에서 사용되는 경우 프록시를 다시 배포합니다. |
직접 | 키 저장소 또는 트러스트 저장소를 삭제하고 동일한 이름으로 다시 생성합니다. |
가상 호스트를 업데이트할 필요는 없습니다. 그러나 API 요청은 새 키 저장소와 별칭을 설정할 때까지 실패합니다. Edge와 백엔드 서비스 간의 양방향 TLS에 키 저장소가 사용되는 경우 Apigee Edge 지원팀에 문의하여 메시지 프로세서를 다시 시작하세요. |
직접 | 트러스트 저장소의 경우에만 트러스트 저장소에 새 인증서를 업로드합니다. |
가상 호스트의 경우 Apigee Edge 지원팀에 문의하여 에지 라우터를 다시 시작하세요. 대상 엔드포인트/대상 서버에서 truststore를 사용하는 경우 Apigee Edge 지원팀에 문의하여 메시지 프로세서를 다시 시작하세요. |
업데이트 전후에 인증서 테스트
업데이트하기 전에 다음 openssl
명령어를 사용하여 현재 인증서를 테스트합니다.
echo | openssl s_client -servername HOSTNAME -connect ORG-ENV.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject
여기서 HOSTNAME
은 호스트 별칭이고 ORG-ENV
은 조직 및 환경입니다. 예를 들면 다음과 같습니다.
echo | openssl s_client -servername example.com -connect myOrg-prod.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject
다음과 같은 형식으로 출력이 표시됩니다.
notBefore=Dec 30 22:11:38 2015 GMT notAfter=Dec 30 22:11:38 2016 GMT subject= /OU=Domain Control Validated/CN=*.apigee.net
인증서를 업데이트한 후 동일한 명령어를 사용하여 테스트합니다.
가상 호스트 또는 대상 엔드포인트/대상 서버가 키 저장소 및 트러스트 저장소를 참조하는 방법 확인
- https://enterprise.apigee.com에서 에지 관리 UI에 로그인합니다.
- 에지 관리 UI 메뉴에서 조직 이름을 선택합니다.
-
가상 호스트의 경우 가상 호스트가 키 저장소와 트러스트 저장소를 지정하는 방법을 결정합니다.
- Edge UI 버전에 따라 다음 안내를 따르세요.
- 기본 Edge UI를 사용하는 경우: API > 환경 구성을 선택합니다.
- 새 Edge UI를 사용하는 경우: 관리자 > 환경을 선택합니다.
- Virtual Hosts(가상 호스트) 탭을 선택합니다.
- 업데이트할 특정 가상 호스트의 경우 Show 버튼을 선택하여 속성을 표시합니다. 디스플레이에는 다음과 같은 속성이 포함됩니다.
- 키 저장소: 현재 키 저장소의 이름으로, 일반적으로
ref://mykeystoreref
의 참조로 지정됩니다.
또는myKeystoreName
형식의 직접적인 이름으로 지정되거나 흐름 변수에서{ssl.keystore}
형태로 지정될 수 있습니다. - 키 별칭. 이 속성의 값은 키 저장소의 별칭 이름입니다. 새 키 저장소는 같은 이름의 별칭을 만들어야 합니다.
- Trust Store: 현재 트러스트 저장소 이름(있는 경우)으로, 일반적으로
ref://mytruststoreref
의 참조로 지정됩니다.
또는myTruststoreName
형식의 직접적인 이름으로 지정되거나 흐름 변수에서{ssl.truststorestore}
형태로 지정될 수 있습니다.
- 키 저장소: 현재 키 저장소의 이름으로, 일반적으로
- Edge UI 버전에 따라 다음 안내를 따르세요.
-
대상 엔드포인트/대상 서버의 경우 대상 엔드포인트에서 키 저장소와 트러스트 저장소를 지정하는 방법을 결정합니다.
- 에지 관리 UI 메뉴에서 API를 선택합니다.
- API 프록시의 이름을 선택합니다.
- 개발 탭을 선택합니다.
- 대상 엔드포인트에서 기본값을 선택합니다.
- 코드 영역에 TargetEndpoint 정의가 표시됩니다.
<SSLInfo>
요소를 살펴보고 키 저장소/truststore가 정의된 방식을 확인합니다.
참고: 대상 엔드포인트가 대상 서버를 사용하는 경우 대상 엔드포인트의 XML 정의는 아래와 같이 표시됩니다. 여기서<LoadBalancer>
태그는 API 프록시에서 사용하는 대상 서버를 지정합니다.<TargetEndpoint name="default"> … <HTTPTargetConnection> <LoadBalancer> <Server name="target1" /> <Server name="target2" /> </LoadBalancer> <Path>/test</Path> </HTTPTargetConnection> … </TargetEndpoint>
대상 서버 정의에서<SSLInfo>
요소를 살펴보고 키 저장소/truststore가 정의되는 방식을 결정합니다.
키 저장소의 TLS 인증서 업데이트
키 저장소의 인증서가 만료되면 키 저장소에 새 인증서를 업로드할 수 없습니다. 대신 새 키 저장소를 만들고 인증서를 업로드한 다음 가상 호스트 또는 대상 서버/대상 엔드포인트를 업데이트하여 새 키 저장소를 사용합니다.
일반적으로 현재 인증서가 만료되기 전에 새 키 저장소를 생성한 다음 가상 호스트 또는 대상 엔드포인트를 업데이트하여 새 키 저장소를 사용하도록 합니다. 그러면 만료된 인증서로 인해 중단 없이 요청을 계속 처리할 수 있습니다. 그런 다음 새 키 저장소가 올바르게 작동하는지 확인한 후 이전 키 저장소를 삭제하면 됩니다.
클라우드 기반 Edge 배포의 경우:
Edge UI를 사용하여 키 저장소 및 truststore 만들기에 설명된 대로 새 키 저장소를 만들고 인증서와 키를 업로드합니다.
새 키 저장소에서 기존 키 저장소에 사용된 것과 동일한 키 별칭 이름을 사용해야 합니다.
-
인바운드 연결에서 사용하는 가상 호스트(Edge에 대한 API 요청):
- 가상 호스트가 키 저장소에 대한 참조를 사용하는 경우 참조를 업데이트합니다.
- 가상 호스트에서 키 저장소의 직접 이름을 사용하는 경우 Apigee Edge 지원팀에 문의하세요.
-
아웃바운드 연결에 사용되는 대상 엔드포인트/대상 서버(Apigee에서 백엔드 서버로의 경우):
- 대상 엔드포인트/대상 서버가 키 저장소에 대한 참조를 사용하는 경우 참조를 업데이트합니다. 프록시 재배포는 필요하지 않습니다.
- 대상 엔드포인트/대상 서버가 흐름 변수를 사용하는 경우 흐름 변수를 업데이트합니다. 프록시 재배포는 필요하지 않습니다.
대상 엔드포인트/대상 서버가 키 저장소의 직접적인 이름을 사용하는 경우 이전 키 저장소 및 키 별칭을 참조한 모든 API 프록시의 대상 엔드포인트/대상 서버 구성을 업데이트하여 새 키 저장소 및 키 별칭을 참조하도록 합니다.
그런 다음 프록시를 다시 배포해야 합니다.
- 새 키 저장소가 올바르게 작동하는지 확인한 후 만료된 인증서와 키가 있는 이전 키 저장소를 삭제합니다.
트러스트 저장소에서 TLS 인증서 업데이트
트러스트 저장소의 인증서가 만료되면 일반적으로 새 트러스트 저장소를 만들고 인증서를 업로드한 다음 새 트러스트 저장소를 사용하도록 가상 호스트 또는 대상 서버/대상 엔드포인트를 업데이트합니다.
인증서가 체인의 일부인 경우 모든 인증서가 포함된 단일 파일을 만들어 이 파일을 단일 별칭에 업로드하거나, 인증서마다 다른 별칭을 사용하여 체인의 모든 인증서를 개별적으로 트러스트 저장소에 업로드해야 합니다.
일반적으로 현재 인증서가 만료되기 전에 새 트러스트 저장소를 만든 다음 가상 호스트 또는 대상 엔드포인트를 업데이트하여 새 트러스트 저장소를 사용하도록 합니다. 그러면 만료된 인증서로 인해 중단 없이 요청을 계속 처리할 수 있습니다. 그런 다음 새 트러스트 저장소가 올바르게 작동하는지 확인한 후 이전 트러스트 저장소를 삭제하면 됩니다.
클라우드 기반 Edge 배포의 경우:
Edge UI를 사용하여 키 저장소 및 트러스트 저장소 만들기에 설명된 대로 새 트러스트 저장소를 만들고 인증서를 업로드합니다.
새 트러스트를 새 트러스트 저장소에 업로드할 때 별칭 이름은 중요하지 않습니다.
-
인바운드 연결에서 사용하는 가상 호스트(Edge에 대한 API 요청):
- 가상 호스트가 트러스트 저장소에 대한 참조를 사용하는 경우 참조를 업데이트합니다.
- 가상 호스트에서 트러스트 저장소의 직접 이름을 사용하는 경우 Apigee Edge 지원팀에 문의하세요.
-
아웃바운드 연결에 사용되는 대상 엔드포인트/대상 서버(Apigee에서 백엔드 서버로의 경우):
- 대상 엔드포인트/대상 서버가 트러스트 저장소에 대한 참조를 사용하는 경우 참조를 업데이트합니다. 프록시 재배포는 필요하지 않습니다.
- 대상 엔드포인트/대상 서버가 흐름 변수를 사용하는 경우 흐름 변수를 업데이트합니다. 프록시 재배포는 필요하지 않습니다.
대상 엔드포인트/대상 서버가 트러스트 저장소의 직접 이름을 사용하는 경우 이전 트러스트 저장소를 참조한 API 프록시의 대상 엔드포인트/대상 서버 구성을 업데이트하여 새 키 저장소 및 키 별칭을 참조합니다.
그런 다음 프록시를 다시 배포해야 합니다.
- 새 트러스트 저장소가 올바르게 작동하는지 확인한 후 만료된 인증서가 있는 이전 트러스트 저장소를 삭제합니다.