تعديل شهادة بروتوكول أمان طبقة النقل (TLS) لخدمة السحابة الإلكترونية

أنت تعرض مستندات Apigee Edge.
انتقِل إلى مستندات Apigee X. info

الطريقة التي تستخدمها لتحديد اسم ملف تخزين المفاتيح والمخزن الموثوق به في المضيف الظاهري أو نقطة النهاية المستهدفة/الخادم الهدف، أي كيفية إجراء تحديث الشهادة. يمكنك تحديد اسم ملف تخزين المفاتيح وملف تخزين الثقة باستخدام:

• المراجع - مفضّلة
• الأسماء المباشرة
• متغيّرات التدفق

لكل طريقة من هذه الطرق آثار مختلفة على عملية تعديل الشهادة، كما هو موضّح في الجدول التالي.

اختبار شهادة الاعتماد قبل تعديل الشهادة وبعده

استخدِم أوامر openssl التالية لاختبار الشهادة الحالية قبل التحديث فهو:

echo | openssl s_client -servername HOSTNAME -connect ORG-ENV.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

حيث HOSTNAME هو العنوان البديل للبريد الإلكتروني المخصص للمضيف وORG-ENV هو المؤسسة محددة. على سبيل المثال:

echo | openssl s_client -servername example.com -connect myOrg-prod.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

من المفترض أن يظهر لك الناتج على النحو التالي:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

استخدِم الأمر نفسه بعد تعديل الشهادة لاختبارها.

تحديد كيفية إشارة المضيف الافتراضي أو نقطة النهاية المستهدفة/الخادم المستهدف إلى ملف تخزين المفاتيح وملف تخزين الثقة

1. سجِّل الدخول إلى واجهة مستخدم إدارة Edge على الرابط https://enterprise.apigee.com.
2. في قائمة واجهة مستخدم إدارة Edge، حدد اسم مؤسستك.
3. بالنسبة إلى المضيف الافتراضي، حدِّد كيفية تحديد المضيف الافتراضي لمستودع المفاتيح ومستودع الثقة.
   1. بناءً على إصدار واجهة مستخدم Edge:
      1. إذا كنت تستخدم واجهة مستخدم Edge الكلاسيكية: حدد واجهات برمجة التطبيقات > تهيئة البيئة.
      2. إذا كنت تستخدم واجهة مستخدم Edge الجديدة: اختَر المشرف > بيئات العمل.
   2. اختَر علامة التبويب المضيفون الظاهريون.
   3. بالنسبة للمضيف الافتراضي المحدد الذي تقوم بتحديثه، حدد زر إظهار لعرض خصائصه. تتضمّن الشاشة السمات التالية:
      1. متجر المفاتيح: اسم متجر المفاتيح الحالي، والذي يتم تحديده عادةً كمرجع في الحقل from ref://mykeystoreref.
         
         بدلاً من ذلك، يمكن تحديده باسم مباشر، على النحو التالي: myKeystoreName، أو يمكن تحديده باستخدام متغيّر تدفق، على النحو التالي: {ssl.keystore}.
      2. الاسم المستعار للمفتاح: قيمة هذه السمة هي اسم الاسم المعرِّف فيملف تخزين المفاتيح . يجب أن ينشئ ملف تخزين المفاتيح الجديد اسمًا مستعارًا بالاسم نفسه.
      3. المتجر الموثوق به: اسم المتجر الموثوق به الحالي، إن وجد، المحددة كمرجع في الحقل "من" ref://mytruststoreref.
         
         وبدلاً من ذلك، يمكن تحديده باسم مباشر في النموذج. myTruststoreName، أو ربما يتم تحديده بواسطة متغير تدفق في النموذج {ssl.truststorestore}
4. بالنسبة إلى نقطة النهاية المستهدَفة/الخادم المستهدَف، حدِّد كيفية تحديد نقطة النهاية المستهدَفة لمستودع المفاتيح ومستودع الثقة:
   1. في قائمة واجهة مستخدم إدارة Edge، اختَر واجهات برمجة التطبيقات.
   2. اختَر اسم خادم وكيل واجهة برمجة التطبيقات.
   3. انقر على علامة التبويب التطوير.
   4. ضمن نقاط النهاية المستهدَفة، اختَر تلقائي.
   5. في منطقة الرمز البرمجي، يظهر تعريف TargetEndpoint. راجِع العنصر <SSLInfo> لمعرفة كيفية تعريف ملف تخزين المفاتيح/ملف تخزين الثقة.
      
      ملاحظة: إذا كانت نقطة النهاية المستهدَفة تستخدِم خادمًا مستهدَفًا، سيظهر تعريف XML لنقطة النهاية المستهدَفة على النحو الموضّح أدناه، حيث تحدِّد علامة <LoadBalancer> الخوادم المستهدَفة التي يستخدمها وكيل واجهة برمجة التطبيقات .

      <TargetEndpoint name="default">
        …
        <HTTPTargetConnection>
          <LoadBalancer>
            <Server name="target1" />
            <Server name="target2" />
          </LoadBalancer>
          <Path>/test</Path>
        </HTTPTargetConnection>
          …
      </TargetEndpoint>

      راجِع عنصر <SSLInfo> في تعريف الخادم المستهدَف لتحديد كيفية تحديد ملف تخزين المفاتيح/ملف تخزين الثقة.

تعديل شهادة بروتوكول أمان طبقة النقل (TLS) في ملف تخزين مفاتيح

عندما تنتهي صلاحية شهادة في ملف تخزين المفاتيح، لا يمكنك تحميل شهادة جديدة إلى ملف تخزين المفاتيح. بدلاً من ذلك، يمكنك إنشاء ملف تخزين مفاتيح جديد وتحميل الشهادة، ثم تعديل المضيفين الظاهريين أو الخادم المستهدَف/نقطة نهاية المستهدَفة لاستخدام ملف تخزين المفاتيح الجديد.

عادةً ما يتم إنشاء ملف تخزين مفاتيح تشفير جديد قبل انتهاء صلاحية الشهادة الحالية، ثم تعديل المضيفين الظاهريين أو نقاط النهاية المستهدَفة لاستخدام ملف تخزين المفاتيح التشفير الجديد حتى تتمكّن من مواصلة معالجة طلبات الخدمة بدون انقطاع بسبب شهادة منتهي الصلاحية. يمكنك بعد ذلك حذف البيانات القديمة ملف تخزين المفاتيح بعد التأكد من عمل ملف تخزين المفاتيح الجديد بشكل صحيح.

بالنسبة إلى نشر Edge المستنِد إلى السحابة الإلكترونية:

1. يمكنك إنشاء ملف تخزين مفاتيح جديد وتحميل شهادة ومفتاح كما هو موضح في . إنشاء ملفات تخزين مفاتيح وتخزين الثقة باستخدام واجهة مستخدم Edge

   في مخبّر المفاتيح الجديد، احرص على استخدام الاسم نفسه للاسم المستعار للمفتاح كما هو مستخدَم في مخبّر المفاتيح الحالي.

2. بالنسبة إلى مضيف افتراضي يستخدمه اتصال وارد، أي طلب واجهة برمجة التطبيقات إلى Edge:
   1. إذا كان المضيف الافتراضي يستخدم إشارة إلى ملف تخزين المفاتيح، عدِّل الإشارة.
   2. إذا كان المضيف الظاهري يستخدم اسمًا مباشرًا لملف تخزين المفاتيح، يُرجى التواصل مع Apigee Edge Support.
3. بالنسبة إلى نقطة نهاية/خادم مستهدَف يستخدمه اتصال ناتج، أي من Apigee إلى خادم خلفية:
   1. إذا كانت نقطة النهاية/الخادم المستهدف يستخدمان مراجعًا لملف تخزين المفاتيح، عليك تحديث المرجع. ولا يلزم إعادة نشر الخادم الوكيل.
   2. إذا كانت نقطة النهاية المستهدَفة/الخادم المستهدَف يستخدمان متغيّر مسار، عدِّل متغيّر المسار. لا أمرٌ ضروري إعادة نشر الوكيل.

   3. إذا كانت نقطة النهاية المستهدَفة أو الخادم المستهدَف يستخدمان اسمًا مباشرًا لمستودع المفاتيح، عدِّل إعدادات نقطة النهاية المستهدَفة أو الخادم المستهدَف لأيّ وكلاء واجهة برمجة تطبيقات يشير إلى مستودع المفاتيح القديم واسم المفتاح البديل للإشارة إلى مستودع المفاتيح الجديد واسم المفتاح البديل.

      بعد ذلك، عليك إعادة نشر الخادم الوكيل.

4. بعد التأكّد من أنّ ملف تخزين المفاتيح الجديد يعمل بشكل صحيح، احذف ملف تخزين المفاتيح القديم الذي يتضمّن الشهادة والمفتاح المنتهية صلاحيته.

تعديل شهادة بروتوكول أمان طبقة النقل (TLS) في مخزن شهادات

عند انتهاء صلاحية شهادة في ملف تخزين ثقة، يتم عادةً إنشاء ملف تخزين ثقة جديد وتحميل الشهادة، ثم تعديل المضيفين الظاهريين أو الخادم المستهدَف/نقطة النهاية المستهدَفة لاستخدام ملف تخزين الثقة الجديد.

إذا كان أحد الشهادات جزءًا من سلسلة، عليك إنشاء ملف واحد يحتوي على كل الشهادات وتحميل هذا الملف إلى عنوان بديل واحد، أو تحميل كل الشهادات في السلسلة بشكل منفصل إلى ملف تخزين الموثوق بهم باستخدام عنوان بديل مختلف لكل شهادة.

عليك عادةً إنشاء مخزن شهادات جديد قبل انتهاء صلاحية الشهادة الحالية، ثم إجراء تعديل للمضيفين الظاهرية أو نقاط النهاية المستهدفة لاستخدام Truststore الجديد حتى تتمكن من طلبات خدمة بدون انقطاع بسبب شهادة منتهية الصلاحية. يمكنك بعد ذلك حذف البيانات القديمة بعد التأكد من أن Truststore الجديد يعمل بشكل صحيح.

بالنسبة إلى نشر Edge المستنِد إلى السحابة الإلكترونية:

1. أنشئ ملف تخزين ثقة جديدًا وحمِّل شهادة كما هو موضّح في مقالة إنشاء ملفات تخزين مفاتيح وملف تخزين ثقة باستخدام واجهة مستخدم Edge.

   عند تحميل الشهادة الجديدة إلى ملف تخزين الثقة الجديد، لا يهم اسم الاسم المعرِّف.

2. بالنسبة إلى مضيف افتراضي يستخدمه اتصال وارد، أي طلب واجهة برمجة التطبيقات إلى Edge:
   1. إذا كان المضيف الظاهري يستخدم مرجعًا إلى Truststore، يمكنك تعديل المرجع.
   2. إذا كان المضيف الظاهري يستخدم اسمًا مباشرًا من Truststore، يُرجى التواصل مع فريق دعم Apigee Edge.
3. بالنسبة إلى نقطة نهاية/خادم مستهدَف يستخدمه اتصال ناتج، أي من Apigee إلى خادم خلفية:
   1. إذا كانت نقطة النهاية المستهدفة أو الخادم المستهدف يستخدم مراجع إلى Truststore، يجب تعديل المرجع. ليست هناك حاجة لإعادة نشر الوكيل.
   2. إذا كان خادم نقطة النهاية/الخادم الهدف يستخدم متغير تدفق، فعليك تعديل متغير التدفق. ليس هناك حاجة إلى إعادة نشر الخادم الوكيل.

   3. إذا كانت نقطة النهاية المستهدَفة/الخادم المستهدَف يستخدمان اسمًا مباشرًا لمستودع الثقة، عدِّل إعدادات نقطة النهاية المستهدَفة/الخادم المستهدَف لأيّ وكلاء واجهة برمجة تطبيقات تمت الإشارة بهم إلى مستودع الثقة القديم للإشارة إلى مستودع المفاتيح الجديد والعنوان البديل للمفتاح.

      بعد ذلك، عليك إعادة نشر الخادم الوكيل.

4. بعد التأكّد من أنّ ملف تخزين الثقة الجديد يعمل بشكل صحيح، احذف ملف تخزين الثقة القديم الذي يتضمّن الشهادة المنتهية الصلاحية.