Questa pagina è stata tradotta dall'API Cloud Translation.

Aggiornare un certificato TLS per il cloud

Stai visualizzando la documentazione di Apigee Edge.
Vai alla sezione Documentazione di Apigee X. Informazioni

Il metodo che utilizzi per specificare il nome dell'archivio chiavi e dell'archivio chiavi nell'host virtuale o l'endpoint/server di destinazione determina il modo in cui esegui l'aggiornamento del certificato. Puoi specificare nome dell'archivio chiavi e dell'archivio chiavi tramite:

Riferimenti - preferiti
Nomi diretti
Variabili di flusso

Ciascuno di questi metodi ha ripercussioni diverse sul processo di aggiornamento dei certificati, come descritto in la tabella seguente.

Tipo di configurazione	Come aggiornare/sostituire un certificato	Come aggiornare l'host virtuale, l'endpoint di destinazione/il server di destinazione
Riferimento (consigliato)	Per un archivio chiavi, crea un nuovo archivio chiavi con un nuovo nome e un alias con stesso nome del vecchio alias. Per un archivio attendibilità, crea un archivio attendibilità con un nuovo nome.	Aggiorna il riferimento all'archivio chiavi o all'archivio chiavi. Non è necessario contattare l'assistenza Apigee Edge.
Variabili flusso (solo endpoint di destinazione)	Per un archivio chiavi, crea un nuovo archivio chiavi con un nuovo nome e un alias con con lo stesso nome o con un nuovo nome. Per un archivio attendibilità, crea un archivio attendibilità con un nuovo nome.	Passa una variabile di flusso aggiornata su ogni richiesta con il nome del nuovo archivio chiavi, alias o archivio attendibilità. Non è necessario contattare l'assistenza Apigee Edge.
Diretto	Creare un nuovo archivio chiavi, alias o archivio attendibilità.	Per gli host virtuali, contatta l'assistenza Apigee Edge per riavviare i router. Se l'archivio attendibili è utilizzato da un endpoint/server di destinazione, esegui nuovamente il deployment del proxy.
Diretto	Elimina l'archivio chiavi o l'archivio attendibili e ricrealo con lo stesso nome.	Non è richiesto alcun aggiornamento dell'host virtuale. Tuttavia, le richieste API non vanno a buon fine finché il nuovo archivio chiavi e . Se l'archivio chiavi viene utilizzato per il TLS bidirezionale tra Edge e il servizio di backend, Contatta l'assistenza Apigee Edge per riavviare i processori di messaggi.
Diretto	Solo per l'archivio attendibilità, carica un nuovo certificato nell'archivio attendibili.	Per gli host virtuali, contatta l'assistenza Apigee Edge per riavviare i router Edge. Se il truststore viene utilizzato da un endpoint/server di destinazione, contatta l'assistenza Apigee Edge per riavviare i processori di messaggi.

Testare il certificato prima e dopo il aggiorna

Usa i seguenti comandi openssl per testare il certificato corrente prima dell'aggiornamento Questo:

echo | openssl s_client -servername HOSTNAME -connect ORG-ENV.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

dove HOSTNAME è l'alias host e ORG-ENV è l'organizzazione e completamente gestito di Google Cloud. Ad esempio:

echo | openssl s_client -servername example.com -connect myOrg-prod.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

L'output dovrebbe essere visualizzato nel seguente formato:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

Usa lo stesso comando dopo aver aggiornato il certificato per testarlo.

Determinare in che modo l'host virtuale o l'endpoint/il server di destinazione fa riferimento all'archivio chiavi e archivio attendibilità

Accedi alla UI di gestione Edge all'indirizzo https://enterprise.apigee.com.
Nel menu dell'interfaccia utente di gestione perimetrale, seleziona il nome della tua organizzazione.
Per un host virtuale, determina in che modo l'host virtuale specifica l'archivio chiavi e Truststore.
1. A seconda della versione della UI Edge:
  1. Se utilizzi l'interfaccia utente di Edge Classic: seleziona API > Configurazione dell'ambiente.
  2. Se utilizzi la Nuova UI Edge: seleziona Amministratore > Ambienti.
2. Seleziona la scheda Host virtuali.
3. Per l'host virtuale specifico che stai aggiornando, seleziona Mostra per visualizzarne le proprietà. La visualizzazione include le seguenti proprietà:
  1. Archivio chiavi: nome dell'archivio chiavi corrente, specificato in genere come riferimento da ref://mykeystoreref.
    
    In alternativa, potrebbe essere specificato da un nome diretto, nel modulo myKeystoreName o potrebbe essere specificato da una variabile di flusso, in formato {ssl.keystore}.
  2. Alias chiave. Il valore di questa proprietà è il nome alias nella un archivio chiavi. Il nuovo archivio chiavi deve creare un alias con lo stesso .
  3. Archivio attendibilità: il nome dell'archivio di attendibilità corrente, se presente, in genere specificato come riferimento in ref://mytruststoreref.
    
    In alternativa, potrebbe essere specificato da un nome diretto, nel modulo myTruststoreName o potrebbe essere specificato da una variabile di flusso, in formato {ssl.truststorestore}.
Per un endpoint/server di destinazione, determina in che modo l'endpoint di destinazione specifica l'archivio chiavi e l'archivio chiavi:
1. Nel menu dell'interfaccia utente di gestione perimetrale, seleziona API.
2. Seleziona il nome del proxy API.
3. Seleziona la scheda Sviluppo.
4. In Endpoint di destinazione seleziona valore predefinito.
5. Nell'area del codice viene visualizzata la definizione di TargetEndpoint. Esamina la Elemento <SSLInfo> per vedere come è definito l'archivio chiavi/truststore.
  
  Nota: se l'endpoint di destinazione utilizza un server di destinazione, il file XML dell'endpoint di destinazione è riportata di seguito, dove Il tag <LoadBalancer> specifica i server di destinazione utilizzati dall'API proxy.
```
<TargetEndpoint name="default">
  …
  <HTTPTargetConnection>
    <LoadBalancer>
      <Server name="target1" />
      <Server name="target2" />
    </LoadBalancer>
    <Path>/test</Path>
  </HTTPTargetConnection>
    …
</TargetEndpoint>
```
  Esamina l'elemento <SSLInfo> nella definizione del server di destinazione per determinare come un archivio chiavi/truststore.

Aggiornamento di un certificato TLS in un archivio chiavi

Quando un certificato in un archivio chiavi scade, non puoi caricarne uno nuovo nell'archivio chiavi. Invece, crea un nuovo archivio chiavi e carica il certificato, quindi aggiorna gli host virtuali o il server/destinazione per utilizzare il nuovo archivio chiavi.

In genere, si crea un nuovo archivio chiavi prima della scadenza del certificato attuale e poi si aggiorna agli host virtuali o agli endpoint di destinazione di utilizzare il nuovo archivio chiavi in modo da poter continuare richieste di servizio senza interruzioni a causa di un certificato scaduto. Puoi quindi eliminare il vecchio dopo aver verificato che il nuovo archivio chiavi funzioni correttamente.

Per un deployment di Edge basato su cloud:

Crea un nuovo archivio chiavi e carica un certificato e una chiave come descritto in Creazione di archivi chiavi e archivi attendibili mediante l'interfaccia utente Edge.

Nel nuovo archivio chiavi, assicurati di utilizzare per l'alias di chiave lo stesso nome usato nell'archivio chiavi l'archivio chiavi esistente.
Per un host virtuale utilizzato da una connessione in entrata, ovvero un'API richiesta a Edge:
1. Se l'host virtuale utilizza un riferimento all'archivio chiavi, aggiorna il riferimento.
2. Se il tuo host virtuale utilizza un nome diretto del keystore, contatta l'assistenza Apigee Edge.
Per un endpoint/server di destinazione utilizzato da una connessione in uscita, vale a dire da Apigee a un server di backend:
1. Se l'endpoint/il server di destinazione utilizza riferimenti all'archivio chiavi, aggiorna il valore riferimento. Non è necessario eseguire nuovamente il deployment del proxy.
2. Se l'endpoint/server di destinazione utilizza una variabile di flusso, aggiornala. No è necessario eseguire nuovamente il deployment del proxy.
3. Se l'endpoint/il server di destinazione utilizza un nome diretto dell'archivio chiavi, aggiorna il valore configurazione endpoint/server di destinazione per eventuali proxy API che facevano riferimento al precedente un archivio chiavi e un alias di chiave per fare riferimento al nuovo archivio chiavi e all'alias della chiave.
  
  Devi quindi eseguire nuovamente il deployment del proxy.
Dopo aver verificato che il nuovo archivio chiavi funziona correttamente, elimina il vecchio archivio chiavi un archivio chiavi con certificato e chiave scaduti.

Aggiorna un certificato TLS in un archivio attendibilità

Quando un certificato in un truststore scade, in genere crei un nuovo truststore e lo carichi. quindi aggiorna gli host virtuali o l'endpoint server/target di destinazione in modo che utilizzino il nuovo archivio attendibilità.

Se un certificato fa parte di una catena, devi creare un singolo file contenente tutte le certificati e caricare il file su un singolo alias oppure caricare tutti i certificati della catena separatamente l'archivio attendibilità utilizzando un alias diverso per ogni certificato.

In genere, si crea un nuovo archivio attendibilità prima della scadenza del certificato attuale e poi si aggiorna gli host virtuali o gli endpoint di destinazione di utilizzare il nuovo archivio attendibilità, in modo da poter continuare richieste di servizio senza interruzioni a causa di un certificato scaduto. Puoi quindi eliminare il vecchio truststore dopo aver verificato che il nuovo truststore funzioni correttamente.

Per un deployment di Edge basato su cloud:

Crea un nuovo archivio attendibilità e carica un certificato come descritto in Creazione di archivi chiavi e archivi attendibili mediante l'interfaccia utente Edge.

Quando carichi il nuovo certificato nel nuovo archivio attendibilità, il nome dell'alias non è importante.
Per un host virtuale utilizzato da una connessione in entrata, ovvero un'API richiesta a Edge:
1. Se l'host virtuale utilizza un riferimento al truststore, aggiorna il riferimento.
2. Se il tuo host virtuale utilizza un nome diretto di truststore, contatta l'assistenza Apigee Edge.
Per un endpoint/server di destinazione utilizzato da una connessione in uscita, vale a dire da Apigee a un server di backend:
1. Se l'endpoint/il server di destinazione utilizza un riferimento all'archivio di attendibilità, aggiorna il valore riferimento. Non è necessario eseguire nuovamente il deployment del proxy.
2. Se l'endpoint/server di destinazione utilizza una variabile di flusso, aggiornala. No è necessario eseguire nuovamente il deployment del proxy.
3. Se l'endpoint/il server di destinazione utilizza un nome diretto dell'archivio attendibili, aggiorna la configurazione dell'endpoint/del server di destinazione per tutti i proxy API che fanno riferimento il vecchio archivio attendibilità per fare riferimento al nuovo archivio chiavi e all'alias della chiave.
  
  Devi quindi eseguire nuovamente il deployment del proxy.
Dopo aver verificato che il nuovo archivio attendibilità funziona correttamente, elimina il vecchio truststore con il certificato scaduto.