Anda sedang melihat dokumentasi Apigee Edge.
Buka
Dokumentasi Apigee X. info
Metode yang Anda gunakan untuk menentukan nama keystore dan truststore di host virtual endpoint/target server target menentukan cara Anda melakukan update sertifikat. Anda dapat menentukan nama keystore dan truststore dengan menggunakan:
- Referensi - lebih disukai
- Nama langsung
- Variabel flow
Masing-masing metode ini memiliki dampak yang berbeda terhadap proses pembaruan sertifikat, seperti yang dijelaskan dalam pada tabel berikut.
Jenis konfigurasi | Cara memperbarui/mengganti sertifikat | Cara mengupdate virtual host, server target/endpoint target |
---|---|---|
Referensi (direkomendasikan) |
Untuk keystore, buat keystore baru dengan nama baru dan alias dengan sama dengan alias lama. Untuk truststore, buat truststore dengan nama baru. |
Perbarui referensi ke keystore atau truststore.
Tidak perlu menghubungi Dukungan Apigee Edge. |
Vars alur (khusus endpoint target) |
Untuk keystore, buat keystore baru dengan nama baru dan alias dengan nama yang sama atau dengan nama baru. Untuk truststore, buat truststore dengan nama baru. |
Teruskan var alur yang diperbarui pada setiap permintaan dengan nama keystore, alias, atau truststore. Tidak perlu menghubungi Dukungan Apigee Edge. |
Langsung | Buat keystore, alias, truststore baru. |
Untuk host virtual, hubungi Dukungan Apigee Edge untuk memulai ulang Router. Jika truststore digunakan oleh server target/endpoint target, deploy ulang proxy. |
Langsung | Hapus keystore atau truststore dan buat kembali dengan nama yang sama. |
Tidak perlu pembaruan host virtual. Namun, permintaan API akan gagal sampai keystore baru dan alias ditetapkan. Jika keystore digunakan untuk TLS dua arah antara Edge dan layanan backend, hubungi Dukungan Apigee Edge untuk memulai ulang Pemroses Pesan. |
Langsung | Khusus untuk truststore, upload sertifikat baru ke truststore. |
Untuk host virtual, hubungi Dukungan Apigee Edge untuk memulai ulang Router Edge. Jika truststore digunakan oleh server target/endpoint target, hubungi Dukungan Apigee Edge untuk memulai ulang Pemroses Pesan. |
Menguji sertifikat sebelum dan sesudah perbarui
Gunakan perintah openssl
berikut untuk menguji sertifikat saat ini sebelum Anda mengupdate
hal tersebut:
echo | openssl s_client -servername HOSTNAME -connect ORG-ENV.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject
dengan HOSTNAME
adalah alias host dan ORG-ENV
adalah organisasi dan
lingkungan fleksibel App Engine. Contoh:
echo | openssl s_client -servername example.com -connect myOrg-prod.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject
Anda akan melihat output dalam bentuk:
notBefore=Dec 30 22:11:38 2015 GMT notAfter=Dec 30 22:11:38 2016 GMT subject= /OU=Domain Control Validated/CN=*.apigee.net
Gunakan perintah yang sama setelah Anda memperbarui sertifikat untuk mengujinya.
Tentukan cara host virtual atau server target/endpoint merujuk keystore dan truststore
- Login ke UI pengelolaan Edge di https://enterprise.apigee.com.
- Di menu UI pengelolaan Edge, pilih nama organisasi Anda.
-
Untuk host virtual, tentukan cara host virtual menentukan keystore
dan truststore.
- Bergantung pada versi UI Edge Anda:
- Jika menggunakan UI Edge Klasik: Pilih API > Konfigurasi Lingkungan.
- Jika Anda menggunakan UI New Edge: Pilih Admin > Lingkungan.
- Pilih tab Virtual Hosts.
- Untuk host virtual tertentu yang sedang Anda update, pilih opsi Show
untuk menampilkan propertinya. Tampilan menyertakan properti berikut:
- Key Store: Nama keystore saat ini, biasanya ditentukan
sebagai referensi di
ref://mykeystoreref
.
Atau, bisa juga ditentukan dengan nama langsung, dalam bentukmyKeystoreName
, atau mungkin ditentukan oleh variabel flow, dalam bentuk{ssl.keystore}
. - Alias Kunci. Nilai properti ini adalah nama alias dalam keystore. Keystore baru Anda harus membuat alias dengan nama.
- Trust Store: Nama truststore saat ini, jika ada, biasanya
yang ditentukan sebagai referensi dalam
ref://mytruststoreref
.
Atau, bisa juga ditentukan dengan nama langsung, dalam bentukmyTruststoreName
, atau mungkin ditentukan oleh variabel flow, dalam bentuk{ssl.truststorestore}
.
- Key Store: Nama keystore saat ini, biasanya ditentukan
sebagai referensi di
- Bergantung pada versi UI Edge Anda:
-
Untuk server target/endpoint target, tentukan cara endpoint target
menentukan keystore dan truststore:
- Di menu UI pengelolaan Edge, pilih API.
- Pilih nama proxy API.
- Pilih tab Development.
- Di bagian Endpoint Target, pilih default.
- Di area kode, definisi TargetEndpoint muncul. Periksa
<SSLInfo>
untuk melihat cara keystore/truststore ditentukan.
Catatan: Jika endpoint target menggunakan server target, maka XML definisi endpoint target akan muncul seperti di bawah ini, Tag<LoadBalancer>
menentukan server target yang digunakan oleh API {i>proxy<i}.<TargetEndpoint name="default"> … <HTTPTargetConnection> <LoadBalancer> <Server name="target1" /> <Server name="target2" /> </LoadBalancer> <Path>/test</Path> </HTTPTargetConnection> … </TargetEndpoint>
Periksa elemen<SSLInfo>
dalam definisi server target untuk menentukan cara keystore/truststore ditentukan.
Memperbarui sertifikat TLS di keystore
Jika masa berlaku sertifikat di keystore habis, Anda tidak dapat mengupload sertifikat baru ke keystore. Sebaliknya, Anda dapat buat keystore baru dan upload sertifikatnya, lalu update host virtual atau server/target target endpoint untuk menggunakan keystore baru.
Biasanya, Anda membuat keystore baru sebelum masa berlaku sertifikat saat ini berakhir, lalu memperbaruinya host virtual atau endpoint target untuk menggunakan keystore baru sehingga Anda bisa terus permintaan layanan tanpa gangguan karena masa berlaku sertifikat telah berakhir. Anda dapat menghapus keystore setelah memastikan bahwa keystore baru berfungsi dengan benar.
Untuk deployment Edge berbasis Cloud:
Buat keystore baru lalu upload sertifikat dan kunci seperti yang dijelaskan di Membuat keystore dan truststore menggunakan UI Edge.
Di keystore baru, pastikan Anda menggunakan nama yang sama untuk alias kunci seperti yang digunakan di key store yang sudah ada.
-
Untuk host virtual yang digunakan oleh koneksi masuk, artinya API
permintaan ke Edge:
- Jika host virtual Anda menggunakan referensi ke keystore, perbarui referensi tersebut.
- Jika host virtual Anda menggunakan nama langsung untuk keystore, hubungi Dukungan Apigee Edge.
-
Untuk server target/endpoint target yang digunakan oleh koneksi keluar, artinya
dari Apigee ke server backend:
- Jika server target/endpoint target menggunakan referensi ke keystore, update alamat IP internal. Deployment ulang proxy tidak diperlukan.
- Jika server target/endpoint target menggunakan variabel alur, perbarui variabel alur. Lain kali deployment ulang proxy diperlukan.
Jika server target/endpoint target menggunakan nama langsung untuk keystore, update konfigurasi server target/endpoint target untuk proxy API apa pun yang mereferensikan keystore dan alias kunci untuk mereferensikan keystore dan alias kunci baru.
Kemudian, Anda harus men-deploy ulang proxy.
- Setelah mengonfirmasi bahwa keystore baru berfungsi dengan benar, hapus keystore lama keystore dengan sertifikat dan kunci yang sudah tidak berlaku.
Memperbarui sertifikat TLS di truststore
Jika masa berlaku sertifikat di truststore habis masa berlakunya, biasanya Anda membuat truststore baru, lalu perbarui host virtual atau endpoint target/server target untuk menggunakan truststore baru.
Jika sertifikat merupakan bagian dari rantai, Anda harus membuat satu file yang berisi semua sertifikat dan mengunggah file tersebut ke satu alias, atau unggah semua sertifikat dalam rantai secara terpisah untuk truststore menggunakan alias yang berbeda untuk setiap sertifikat.
Biasanya, Anda membuat truststore baru sebelum masa berlaku sertifikat saat ini berakhir, lalu memperbaruinya host virtual atau endpoint target Anda untuk menggunakan truststore baru, sehingga Anda dapat terus permintaan layanan tanpa gangguan karena masa berlaku sertifikat telah berakhir. Anda dapat menghapus truststore setelah memastikan bahwa truststore baru berfungsi dengan benar.
Untuk deployment Edge berbasis Cloud:
Buat truststore baru dan upload sertifikat seperti yang dijelaskan di Membuat keystore dan truststore menggunakan UI Edge.
Saat Anda mengupload sertifikat baru ke truststore baru, nama alias tidak menjadi masalah.
-
Untuk host virtual yang digunakan oleh koneksi masuk, artinya API
permintaan ke Edge:
- Jika host virtual Anda menggunakan referensi ke truststore, perbarui referensi.
- Jika host virtual Anda menggunakan nama langsung truststore, hubungi Dukungan Apigee Edge.
-
Untuk server target/endpoint target yang digunakan oleh koneksi keluar, artinya
dari Apigee ke server backend:
- Jika endpoint/server target target menggunakan referensi ke truststore, update alamat IP internal. Deployment ulang proxy tidak diperlukan.
- Jika server target/endpoint target menggunakan variabel alur, perbarui variabel alur. Lain kali deployment ulang proxy diperlukan.
Jika server target/endpoint target menggunakan nama langsung dari truststore, mengupdate konfigurasi server target/endpoint target untuk proxy API apa pun yang mereferensikan truststore lama untuk mereferensikan keystore dan alias kunci baru.
Kemudian, Anda harus men-deploy ulang proxy.
- Setelah mengonfirmasi bahwa truststore baru berfungsi dengan benar, hapus truststore lama truststore dengan sertifikat yang sudah tidak berlaku.