Memperbarui sertifikat TLS untuk Cloud

Anda sedang melihat dokumentasi Apigee Edge.
Buka Dokumentasi Apigee X.
info

Metode yang Anda gunakan untuk menentukan nama keystore dan truststore di host virtual endpoint/target server target menentukan cara Anda melakukan update sertifikat. Anda dapat menentukan nama keystore dan truststore dengan menggunakan:

  • Referensi - lebih disukai
  • Nama langsung
  • Variabel flow

Masing-masing metode ini memiliki dampak yang berbeda terhadap proses pembaruan sertifikat, seperti yang dijelaskan dalam pada tabel berikut.

Jenis konfigurasi Cara memperbarui/mengganti sertifikat Cara mengupdate virtual host, server target/endpoint target
Referensi (direkomendasikan)

Untuk keystore, buat keystore baru dengan nama baru dan alias dengan sama dengan alias lama.

Untuk truststore, buat truststore dengan nama baru.

Perbarui referensi ke keystore atau truststore.

Tidak perlu menghubungi Dukungan Apigee Edge.

Vars alur (khusus endpoint target)

Untuk keystore, buat keystore baru dengan nama baru dan alias dengan nama yang sama atau dengan nama baru.

Untuk truststore, buat truststore dengan nama baru.

Teruskan var alur yang diperbarui pada setiap permintaan dengan nama keystore, alias, atau truststore.

Tidak perlu menghubungi Dukungan Apigee Edge.

Langsung Buat keystore, alias, truststore baru.

Untuk host virtual, hubungi Dukungan Apigee Edge untuk memulai ulang Router.

Jika truststore digunakan oleh server target/endpoint target, deploy ulang proxy.

Langsung Hapus keystore atau truststore dan buat kembali dengan nama yang sama.

Tidak perlu pembaruan host virtual. Namun, permintaan API akan gagal sampai keystore baru dan alias ditetapkan.

Jika keystore digunakan untuk TLS dua arah antara Edge dan layanan backend, hubungi Dukungan Apigee Edge untuk memulai ulang Pemroses Pesan.

Langsung Khusus untuk truststore, upload sertifikat baru ke truststore.

Untuk host virtual, hubungi Dukungan Apigee Edge untuk memulai ulang Router Edge.

Jika truststore digunakan oleh server target/endpoint target, hubungi Dukungan Apigee Edge untuk memulai ulang Pemroses Pesan.

Menguji sertifikat sebelum dan sesudah perbarui

Gunakan perintah openssl berikut untuk menguji sertifikat saat ini sebelum Anda mengupdate hal tersebut:

echo | openssl s_client -servername HOSTNAME -connect ORG-ENV.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

dengan HOSTNAME adalah alias host dan ORG-ENV adalah organisasi dan lingkungan fleksibel App Engine. Contoh:

echo | openssl s_client -servername example.com -connect myOrg-prod.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

Anda akan melihat output dalam bentuk:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

Gunakan perintah yang sama setelah Anda memperbarui sertifikat untuk mengujinya.

Tentukan cara host virtual atau server target/endpoint merujuk keystore dan truststore

  1. Login ke UI pengelolaan Edge di https://enterprise.apigee.com.
  2. Di menu UI pengelolaan Edge, pilih nama organisasi Anda.
  3. Untuk host virtual, tentukan cara host virtual menentukan keystore dan truststore.
    1. Bergantung pada versi UI Edge Anda:
      1. Jika menggunakan UI Edge Klasik: Pilih API > Konfigurasi Lingkungan.
      2. Jika Anda menggunakan UI New Edge: Pilih Admin > Lingkungan.
    2. Pilih tab Virtual Hosts.
    3. Untuk host virtual tertentu yang sedang Anda update, pilih opsi Show untuk menampilkan propertinya. Tampilan menyertakan properti berikut:
      1. Key Store: Nama keystore saat ini, biasanya ditentukan sebagai referensi di ref://mykeystoreref.

        Atau, bisa juga ditentukan dengan nama langsung, dalam bentuk myKeystoreName, atau mungkin ditentukan oleh variabel flow, dalam bentuk {ssl.keystore}.
      2. Alias Kunci. Nilai properti ini adalah nama alias dalam keystore. Keystore baru Anda harus membuat alias dengan nama.
      3. Trust Store: Nama truststore saat ini, jika ada, biasanya yang ditentukan sebagai referensi dalam ref://mytruststoreref.

        Atau, bisa juga ditentukan dengan nama langsung, dalam bentuk myTruststoreName, atau mungkin ditentukan oleh variabel flow, dalam bentuk {ssl.truststorestore}.
  4. Untuk server target/endpoint target, tentukan cara endpoint target menentukan keystore dan truststore:
    1. Di menu UI pengelolaan Edge, pilih API.
    2. Pilih nama proxy API.
    3. Pilih tab Development.
    4. Di bagian Endpoint Target, pilih default.
    5. Di area kode, definisi TargetEndpoint muncul. Periksa <SSLInfo> untuk melihat cara keystore/truststore ditentukan.

      Catatan: Jika endpoint target menggunakan server target, maka XML definisi endpoint target akan muncul seperti di bawah ini, Tag <LoadBalancer> menentukan server target yang digunakan oleh API {i>proxy<i}.
      <TargetEndpoint name="default">
        …
        <HTTPTargetConnection>
          <LoadBalancer>
            <Server name="target1" />
            <Server name="target2" />
          </LoadBalancer>
          <Path>/test</Path>
        </HTTPTargetConnection>
          …
      </TargetEndpoint>
      Periksa elemen <SSLInfo> dalam definisi server target untuk menentukan cara keystore/truststore ditentukan.

Memperbarui sertifikat TLS di keystore

Jika masa berlaku sertifikat di keystore habis, Anda tidak dapat mengupload sertifikat baru ke keystore. Sebaliknya, Anda dapat buat keystore baru dan upload sertifikatnya, lalu update host virtual atau server/target target endpoint untuk menggunakan keystore baru.

Biasanya, Anda membuat keystore baru sebelum masa berlaku sertifikat saat ini berakhir, lalu memperbaruinya host virtual atau endpoint target untuk menggunakan keystore baru sehingga Anda bisa terus permintaan layanan tanpa gangguan karena masa berlaku sertifikat telah berakhir. Anda dapat menghapus keystore setelah memastikan bahwa keystore baru berfungsi dengan benar.

Untuk deployment Edge berbasis Cloud:

  1. Buat keystore baru lalu upload sertifikat dan kunci seperti yang dijelaskan di Membuat keystore dan truststore menggunakan UI Edge.

    Di keystore baru, pastikan Anda menggunakan nama yang sama untuk alias kunci seperti yang digunakan di key store yang sudah ada.

  2. Untuk host virtual yang digunakan oleh koneksi masuk, artinya API permintaan ke Edge:
    1. Jika host virtual Anda menggunakan referensi ke keystore, perbarui referensi tersebut.
    2. Jika host virtual Anda menggunakan nama langsung untuk keystore, hubungi Dukungan Apigee Edge.
  3. Untuk server target/endpoint target yang digunakan oleh koneksi keluar, artinya dari Apigee ke server backend:
    1. Jika server target/endpoint target menggunakan referensi ke keystore, update alamat IP internal. Deployment ulang proxy tidak diperlukan.
    2. Jika server target/endpoint target menggunakan variabel alur, perbarui variabel alur. Lain kali deployment ulang proxy diperlukan.
    3. Jika server target/endpoint target menggunakan nama langsung untuk keystore, update konfigurasi server target/endpoint target untuk proxy API apa pun yang mereferensikan keystore dan alias kunci untuk mereferensikan keystore dan alias kunci baru.

      Kemudian, Anda harus men-deploy ulang proxy.

  4. Setelah mengonfirmasi bahwa keystore baru berfungsi dengan benar, hapus keystore lama keystore dengan sertifikat dan kunci yang sudah tidak berlaku.

Memperbarui sertifikat TLS di truststore

Jika masa berlaku sertifikat di truststore habis masa berlakunya, biasanya Anda membuat truststore baru, lalu perbarui host virtual atau endpoint target/server target untuk menggunakan truststore baru.

Jika sertifikat merupakan bagian dari rantai, Anda harus membuat satu file yang berisi semua sertifikat dan mengunggah file tersebut ke satu alias, atau unggah semua sertifikat dalam rantai secara terpisah untuk truststore menggunakan alias yang berbeda untuk setiap sertifikat.

Biasanya, Anda membuat truststore baru sebelum masa berlaku sertifikat saat ini berakhir, lalu memperbaruinya host virtual atau endpoint target Anda untuk menggunakan truststore baru, sehingga Anda dapat terus permintaan layanan tanpa gangguan karena masa berlaku sertifikat telah berakhir. Anda dapat menghapus truststore setelah memastikan bahwa truststore baru berfungsi dengan benar.

Untuk deployment Edge berbasis Cloud:

  1. Buat truststore baru dan upload sertifikat seperti yang dijelaskan di Membuat keystore dan truststore menggunakan UI Edge.

    Saat Anda mengupload sertifikat baru ke truststore baru, nama alias tidak menjadi masalah.

  2. Untuk host virtual yang digunakan oleh koneksi masuk, artinya API permintaan ke Edge:
    1. Jika host virtual Anda menggunakan referensi ke truststore, perbarui referensi.
    2. Jika host virtual Anda menggunakan nama langsung truststore, hubungi Dukungan Apigee Edge.
  3. Untuk server target/endpoint target yang digunakan oleh koneksi keluar, artinya dari Apigee ke server backend:
    1. Jika endpoint/server target target menggunakan referensi ke truststore, update alamat IP internal. Deployment ulang proxy tidak diperlukan.
    2. Jika server target/endpoint target menggunakan variabel alur, perbarui variabel alur. Lain kali deployment ulang proxy diperlukan.
    3. Jika server target/endpoint target menggunakan nama langsung dari truststore, mengupdate konfigurasi server target/endpoint target untuk proxy API apa pun yang mereferensikan truststore lama untuk mereferensikan keystore dan alias kunci baru.

      Kemudian, Anda harus men-deploy ulang proxy.

  4. Setelah mengonfirmasi bahwa truststore baru berfungsi dengan benar, hapus truststore lama truststore dengan sertifikat yang sudah tidak berlaku.