Mettre à jour un certificat TLS pour le cloud

<ph type="x-smartling-placeholder"></ph> Vous consultez la documentation Apigee Edge.
Accédez à la page Documentation sur Apigee X. En savoir plus

La méthode que vous utilisez pour spécifier le nom du keystore et du truststore dans l'hôte virtuel ou le point de terminaison/serveur cible détermine la manière dont vous effectuez la mise à jour du certificat. Vous pouvez spécifier nom du keystore et du truststore à l'aide de la commande suivante:

• Références (de préférence)
• Noms directs
• Variables de flux

Chacune de ces méthodes a des répercussions différentes sur le processus de mise à jour des certificats, comme décrit dans dans le tableau suivant.

Type de configuration	Mettre à jour/remplacer un certificat	Mettre à jour l'hôte virtuel, le point de terminaison cible/le serveur cible
Référence (recommandée)	Pour un keystore, créez-en un avec un nouveau nom et un alias avec même nom que l'ancien alias. Pour un truststore, créez un truststore avec un nouveau nom.	Mettez à jour la référence dans le keystore ou le truststore. Inutile de contacter l'assistance Apigee Edge.
Variables de flux (point de terminaison cible uniquement)	Pour un keystore, créez-en un avec un nouveau nom et un alias avec le même nom ou avec un nouveau nom. Pour un truststore, créez un truststore avec un nouveau nom.	Transmettez à chaque requête la variable de flux mise à jour avec le nom du nouveau keystore, de l'alias ou Truststore. Inutile de contacter l'assistance Apigee Edge.
Direct	Créez un nouveau keystore, un alias et un truststore.	Pour les hôtes virtuels, contactez l'assistance Apigee Edge afin de redémarrer les routeurs. Si le truststore est utilisé par un point de terminaison cible/serveur cible, redéployez le proxy.
Accès direct	Supprimez le keystore ou le truststore et recréez-le avec le même nom.	Aucune mise à jour de l'hôte virtuel n'est requise. Toutefois, les requêtes API échouent jusqu'à ce que le nouveau keystore et ou alias sont définis. Si le keystore est utilisé pour TLS bidirectionnel entre Edge et le service de backend, contactez l'assistance Apigee Edge pour redémarrer les processeurs de messages.
Direct	Pour le truststore uniquement, importez un nouveau certificat dans le truststore.	Pour les hôtes virtuels, contactez l'assistance Apigee Edge pour redémarrer les routeurs Edge. Si le magasin de confiance est utilisé par un point de terminaison ou un serveur cible, contactez l'assistance Apigee Edge pour redémarrer les processeurs de messages.

Tester le certificat avant et après le mettre à jour

Exécutez les commandes openssl suivantes pour tester le certificat actuel avant de le mettre à jour comme suit:

echo | openssl s_client -servername HOSTNAME -connect ORG-ENV.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

où HOSTNAME est l'alias de l'hôte et ORG-ENV est l'organisation et environnement. Exemple :

echo | openssl s_client -servername example.com -connect myOrg-prod.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

Le résultat doit s'afficher au format suivant :

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

Exécutez la même commande après avoir mis à jour le certificat pour le tester.

déterminer la manière dont votre hôte virtuel ou votre point de terminaison cible/serveur cible référence le keystore ; magasin de confiance

1. Connectez-vous à l'interface utilisateur de gestion Edge à l'adresse https://enterprise.apigee.com.
2. Dans le menu de l'interface utilisateur de gestion Edge, sélectionnez le nom de votre organisation.
3. Pour un hôte virtuel, déterminez comment l'hôte virtuel spécifie le keystore et le magasin de confiance.
   1. Selon votre version de l'interface utilisateur Edge: <ph type="x-smartling-placeholder">
      </ph>
      1. Si vous utilisez l'interface utilisateur Edge classique: sélectionnez API > Configuration de l'environnement.
      2. Si vous utilisez la nouvelle interface utilisateur Edge: sélectionnez Admin > Environnements
   2. Sélectionnez l'onglet Virtual Hosts (Hôtes virtuels).
   3. Pour l'hôte virtuel spécifique que vous mettez à jour, sélectionnez l'option Afficher pour afficher ses propriétés. L'affichage inclut les propriétés suivantes: <ph type="x-smartling-placeholder">
      </ph>
      1. Key Store: nom du keystore actuel, généralement spécifié comme référence dans l'élément de ref://mykeystoreref.
         
         Il peut également être spécifié par un nom direct, au format myKeystoreName, ou il peut être spécifié par une variable de flux au format {ssl.keystore}
      2. Alias de clé. La valeur de cette propriété est le nom de l'alias dans keystore. Votre nouveau keystore doit créer un alias avec le même nom.
      3. Trust Store (magasin de confiance) : nom du truststore actuel, le cas échéant, généralement spécifié comme référence dans l'élément de ref://mytruststoreref.
         
         Il peut également être spécifié par un nom direct, au format myTruststoreName, ou il peut être spécifié par une variable de flux au format {ssl.truststorestore}
4. Pour un point de terminaison/serveur cible, déterminez comment le point de terminaison cible spécifie le keystore et le truststore: <ph type="x-smartling-placeholder">
   </ph>
   1. Dans le menu de l'interface utilisateur de gestion Edge, sélectionnez APIs.
   2. Sélectionnez le nom du proxy d'API.
   3. Sélectionnez l'onglet Développement.
   4. Sous Points de terminaison cibles, sélectionnez par défaut.
   5. Dans la zone de code, la définition TargetEndpoint s'affiche. Examinez le <SSLInfo> pour voir comment le keystore/Truststore est défini.
      
      Remarque: Si le point de terminaison cible utilise un serveur cible, le fichier XML du point de terminaison cible se présente comme ci-dessous, où Le tag <LoadBalancer> spécifie les serveurs cibles utilisés par l'API. proxy.

      <TargetEndpoint name="default">
        …
        <HTTPTargetConnection>
          <LoadBalancer>
            <Server name="target1" />
            <Server name="target2" />
          </LoadBalancer>
          <Path>/test</Path>
        </HTTPTargetConnection>
          …
      </TargetEndpoint>

      Examinez l'élément <SSLInfo> dans la définition du serveur cible pour déterminer comment le keystore/truststore est défini.

Mettre à jour un certificat TLS dans un keystore

Lorsqu'un certificat dans un keystore expire, vous ne pouvez pas en importer un nouveau dans le keystore. Au lieu de cela, vous créer un keystore et importer le certificat, puis mettre à jour vos hôtes virtuels ou le serveur/la cible cible pour utiliser le nouveau keystore.

Généralement, vous créez un keystore avant l'expiration du certificat actuel, puis vous mettez à jour vos hôtes virtuels ou points de terminaison cibles afin d'utiliser le nouveau keystore afin que vous puissiez continuer des requêtes de service sans interruption en raison de l'expiration d'un certificat. Vous pouvez ensuite supprimer l'ancienne keystore après vous être assuré que le nouveau keystore fonctionne correctement.

Pour un déploiement de périphérie dans le cloud:

1. Créez un keystore et importez un certificat et une clé comme décrit dans la section . Création de keystores et de Truststore à l'aide de l'interface utilisateur Edge.

   Dans le nouveau keystore, veillez à utiliser pour l'alias de clé le même nom que celui utilisé dans le keystore existant.

2. Pour un hôte virtuel utilisé par une connexion entrante, c'est-à-dire une API dans Edge: <ph type="x-smartling-placeholder">
   </ph>
   1. Si votre hôte virtuel utilise une référence au keystore, mettez à jour la référence.
   2. Si votre hôte virtuel utilise un nom direct du keystore, contactez l'assistance Apigee Edge.
3. Pour un point de terminaison ou un serveur cible utilisés par une connexion sortante, ce qui signifie d'Apigee vers un serveur backend: <ph type="x-smartling-placeholder">
   </ph>
   1. Si le point de terminaison ou le serveur cible utilise des références au keystore, mettez à jour le référence. Aucun redéploiement de proxy n'est nécessaire.
   2. Si le point de terminaison ou le serveur cible utilisent une variable de flux, mettez-la à jour. Non un redéploiement du proxy est nécessaire.

   3. Si le point de terminaison ou le serveur cible utilisent un nom direct du keystore, mettez à jour le La configuration du point de terminaison ou du serveur cible pour tous les proxys d'API faisant référence à l'ancien keystore et un alias de clé pour référencer le nouveau keystore et l'alias de clé.

      Vous devez ensuite redéployer le proxy.

4. Après avoir vérifié que votre nouveau keystore fonctionne correctement, supprimez l'ancien keystore avec le certificat et la clé expirés.

Mettre à jour un certificat TLS dans un truststore

Lorsqu'un certificat dans un truststore expire, vous créez généralement un nouveau truststore et importez le certificat, puis mettez à jour vos hôtes virtuels ou le serveur cible/point de terminaison cible pour utiliser le nouveau truststore.

Si un certificat fait partie d'une chaîne, vous devez soit créer un seul fichier contenant tous les de certificats certifiés, puis importez ce fichier vers un seul alias, ou importez tous les certificats de la chaîne séparément dans le magasin de confiance en utilisant un alias différent pour chaque certificat.

Généralement, vous créez un nouveau Truststore avant l'expiration du certificat actuel, puis vous mettez à jour vos hôtes virtuels ou points de terminaison cibles afin d'utiliser le nouveau Truststore afin que vous puissiez continuer à des requêtes de service sans interruption en raison de l'expiration d'un certificat. Vous pouvez ensuite supprimer l'ancienne confiancestore après avoir vérifié que le nouveau « Truststore » fonctionne correctement.

Pour un déploiement de périphérie dans le cloud:

1. Créez un nouveau truststore et importez un certificat comme décrit dans la section Création de keystores et de truststores à l'aide de l'interface utilisateur Edge.

   Lorsque vous importez le nouveau certificat dans le nouveau truststore, le nom de l'alias n'a pas d'importance.

2. Pour un hôte virtuel utilisé par une connexion entrante, c'est-à-dire une API dans Edge: <ph type="x-smartling-placeholder">
   </ph>
   1. Si votre hôte virtuel utilise une référence au truststore, mettez à jour la référence.
   2. Si votre hôte virtuel utilise un nom direct du magasin de confiance, contactez l'assistance Apigee Edge.
3. Pour un point de terminaison ou un serveur cible utilisés par une connexion sortante, ce qui signifie d'Apigee vers un serveur backend: <ph type="x-smartling-placeholder">
   </ph>
   1. Si le point de terminaison ou le serveur cible utilise des références au truststore, mettez à jour le référence. Aucun redéploiement de proxy n'est nécessaire.
   2. Si le point de terminaison ou le serveur cible utilisent une variable de flux, mettez-la à jour. Non un redéploiement du proxy est nécessaire.

   3. Si le point de terminaison/le serveur cible utilise un nom direct du truststore, mettre à jour la configuration du point de terminaison/du serveur cible pour tous les proxys d'API qui ont référencé l'ancien Truststore pour référencer le nouveau keystore et l'alias de clé.

      Vous devez ensuite redéployer le proxy.

4. Après avoir vérifié que votre nouveau truststore fonctionne correctement, supprimez l'ancien « Truststore » avec le certificat expiré.