TLS-Zertifikat für die Cloud aktualisieren

Sie sehen die Dokumentation zu Apigee Edge.
Sehen Sie sich die Apigee X-Dokumentation an. info

Die Methode, die Sie zur Angabe des Namens des Schlüsselspeichers oder des Truststores auf dem virtuellen Host oder Zielendpunkt/Zielserver nutzen, richtet sich nach der verwendeten Methode. Sie können die Name des Schlüsselspeichers und des Truststores mithilfe von:

  • Referenzen – bevorzugt
  • Direkte Namen
  • Ablaufvariablen

Jede dieser Methoden hat unterschiedliche Auswirkungen auf den Aktualisierungsprozess, wie in folgender Tabelle dargestellt.

Konfigurationstyp Zertifikat aktualisieren/ersetzen Virtuellen Host, Zielendpunkt/Zielserver aktualisieren
Referenz (empfohlen)

Erstellen Sie für einen Schlüsselspeicher einen neuen Schlüsselspeicher mit einem neuen Namen und einem Alias mit denselben Namen wie der alte Alias haben.

Erstellen Sie bei einem Truststore einen Truststore mit einem neuen Namen.

 Aktualisieren SIe den Verweis auf den Schlüsselspeicher oder Truststore.

Sie müssen sich nicht an den Apigee Edge-Support wenden.
Ablaufvariablen (nur Zielendpunkt)

Erstellen Sie für einen Schlüsselspeicher einen neuen Schlüsselspeicher mit einem neuen Namen und einem Alias mit demselben oder einem neuen Namen.

Erstellen Sie bei einem Truststore einen Truststore mit einem neuen Namen.

Übergeben Sie die aktualisierte Ablaufvariable bei jeder Anfrage mit dem Namen des neuen Schlüsselspeichers, Alias oder Truststore.

Sie müssen sich nicht an den Apigee Edge-Support wenden.
Direkt Erstellen Sie einen neuen Schlüsselspeicher, einen Alias oder einen Truststore.

Wenden Sie sich für virtuelle Hosts an den Apigee Edge-Support, um die Router neu zu starten.

Wenn der Truststore von einem Zielendpunkt/Zielserver verwendet wird, stellen Sie den Proxy neu bereit.
Direkt Löschen Sie den Schlüsselspeicher oder Truststore und erstellen Sie ihn noch einmal mit demselben Namen.

Der virtuelle Host muss nicht aktualisiert werden. Allerdings schlagen API-Anfragen fehl, bis der neue Schlüsselspeicher und der neue Alias festgelegt sind.

Wenn der Schlüsselspeicher für das bidirektionale TLS zwischen Edge und dem Back-End-Dienst verwendet wird, wenden Sie sich an den Apigee Edge-Support, um die Nachrichtenprozessoren neu zu starten.
Direkt Laden Sie nur für Truststores ein neues Zertifikat in den Truststore hoch.

Wenden Sie sich für virtuelle Hosts an den Apigee Edge-Support, um die Edge-Router neu zu starten.

Wenn der Truststore von einem Zielendpunkt oder Zielserver verwendet wird, wenden Sie sich an den Apigee Edge-Support, um die Message Processors neu zu starten.

Zertifikat vor und nach dem aktualisieren

Verwenden Sie die folgenden openssl-Befehle, um das aktuelle Zertifikat zu testen, bevor Sie es aktualisieren:

echo | openssl s_client -servername HOSTNAME -connect ORG-ENV.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

Dabei ist HOSTNAME der Host-Alias und ORG-ENV die Organisation und zu verbessern. Beispiel:

echo | openssl s_client -servername example.com -connect myOrg-prod.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

Die Ausgabe sollte im folgenden Format angezeigt werden:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

Verwenden Sie denselben Befehl, um das Zertifikat nach der Aktualisierung zu testen.

Bestimmen Sie, wie Ihr virtueller Host oder Zielendpunkt/Zielserver auf den Schlüsselspeicher verweist, und Truststore

  1. Melden Sie sich bei der Edge-Verwaltungsbenutzeroberfläche unter https://enterprise.apigee.com an.
  2. Wählen Sie in der Edge-Verwaltungsoberfläche den Namen Ihrer Organisation aus.
  3. Für einen virtuellen Host ermitteln Sie, wie der virtuelle Host den Schlüsselspeicher und den Truststore angibt.
    1. Abhängig von Ihrer Version der Edge-Benutzeroberfläche:
      1. Wenn Sie die klassische Edge-Benutzeroberfläche verwenden: Wählen Sie APIs > Umgebungskonfiguration aus.
      2. Wenn Sie die neue Edge-Benutzeroberfläche verwenden: Wählen Sie Verwaltung > Umgebungen aus.
    2. Wählen Sie den Tab Virtuelle Hosts aus.
    3. Wählen Sie für den zu aktualisierenden virtuellen Host die Schaltfläche Anzeigen aus, um seine Eigenschaften aufzurufen. Das Display hat die folgenden Eigenschaften:
      1. Schlüsselspeicher: Der Name des aktuellen Schlüsselspeichers, in der Regel angegeben als Referenz in der aus ref://mykeystoreref.

        Alternativ kann er auch durch einen direkten Namen im Format myKeystoreName oder durch eine Ablaufvariable im Format {ssl.keystore} angegeben werden.
      2. Schlüsselalias Der Wert dieser Property ist der Aliasname im Schlüsselspeicher. Der neue Schlüsselspeicher muss ein Alias mit demselben Name.
      3. Truststore: Der Name des aktuellen Truststores, falls vorhanden, wird in der Regel als Referenz in „from“ ref://mytruststoreref angegeben.

        Alternativ kann er durch einen direkten Namen im Format myTruststoreName, oder es kann durch eine Flussvariable in der Form angegeben werden {ssl.truststorestore}
  4. Ermitteln Sie für einen Zielendpunkt/Zielserver, wie der Zielendpunkt den Schlüsselspeicher und den Truststore angibt:
    1. Wählen Sie in der Edge-Verwaltungsoberfläche das Menü APIs aus.
    2. Wählen Sie den Namen des API-Proxys aus.
    3. Wählen Sie den Tab Entwicklung aus.
    4. Wählen Sie unter Zielendpunkte die Option standard aus.
    5. Im Codebereich wird die TargetEndpoint-Definition angezeigt. Sehen Sie sich das Element <SSLInfo> an, um zu sehen, wie der Keystore/Truststore definiert ist.

      Hinweis: Wenn der Zielendpunkt einen Zielserver verwendet, gilt Folgendes: des Zielendpunkts wie unten dargestellt, wobei Das Tag <LoadBalancer> gibt die von der API verwendeten Zielserver an Proxy. 
      <TargetEndpoint name="default">
  …
  <HTTPTargetConnection>
    <LoadBalancer>
      <Server name="target1" />
      <Server name="target2" />
    </LoadBalancer>
    <Path>/test</Path>
  </HTTPTargetConnection>
    …
</TargetEndpoint>
       Prüfen Sie das Element <SSLInfo> in der Zielserverdefinition, um festzustellen, wie der Schlüsselspeicher/Truststore definiert ist.

TLS-Zertifikat in einem Schlüsselspeicher aktualisieren

Wenn ein Zertifikat in einem Schlüsselspeicher abläuft, können Sie kein neues Zertifikat in den Schlüsselspeicher hochladen. Stattdessen erstellen Sie einen neuen Schlüsselspeicher, laden das Zertifikat hoch und aktualisieren dann Ihre virtuellen Hosts oder Zielserver/Zielendpunkte, um den neuen Schlüsselspeicher zu verwenden.

Normalerweise erstellen Sie einen neuen Keystore, bevor das aktuelle Zertifikat abläuft, und aktualisieren dann Ihre virtuellen Hosts oder Zielendpunkte, damit der neue Keystore verwendet wird. So können Sie Dienstanfragen auch bei einem abgelaufenen Zertifikat fortsetzen. Anschließend können Sie die alte nachdem du sichergestellt hast, dass der neue Schlüsselspeicher ordnungsgemäß funktioniert.

Für eine cloudbasierte Bereitstellung von Edge:

  1. Erstellen Sie einen neuen Schlüsselspeicher und laden Sie ein Zertifikat und einen Schlüssel hoch, wie unter Schlüsselspeicher und Truststore über die Edge-Benutzeroberfläche erstellen beschrieben.

    Achten Sie darauf, im neuen Schlüsselspeicher denselben Namen für den Schlüsselalias zu verwenden wie im vorhandenen Schlüsselspeicher.

  2. Für einen virtuellen Host, der von einer eingehenden Verbindung, d. h. einer API, verwendet wird Anfrage an Edge:
    1. Wenn der virtuelle Host einen Verweis auf den Schlüsselspeicher verwendet, aktualisieren Sie diesen.
    2. Wenn Ihr virtueller Host einen direkten Namen für den Schlüsselspeicher verwendet, wenden Sie sich an den Apigee Edge-Support.
  3. Bei einem Zielendpunkt/Zielserver, der von einer ausgehenden Verbindung verwendet wird, was bedeutet, von Apigee zu einem Back-End-Server:
    1. Wenn der Zielendpunkt/Zielserver einen Verweis auf den Schlüsselspeicher verwendet, aktualisieren Sie den Verweis. Es ist keine erneute Bereitstellung des Proxys erforderlich.
    2. Wenn der Zielendpunkt/Zielserver eine Flussvariable verwendet, aktualisieren Sie diese. Nein eine erneute Bereitstellung des Proxys erforderlich ist.

    3. Wenn der Zielendpunkt/Zielserver einen direkten Namen des Schlüsselspeichers verwendet, aktualisieren Sie den Zielendpunkt-/Zielserverkonfiguration für alle API-Proxys, die auf die alte Keystore und Schlüsselalias, um auf den neuen Schlüsselspeicher und den neuen Schlüsselalias zu verweisen.

      Sie müssen den Proxy dann noch einmal bereitstellen.

  4. Nachdem Sie sich vergewissert haben, dass der neue Schlüsselspeicher ordnungsgemäß funktioniert, löschen Sie den alten keystore mit dem abgelaufenen Zertifikat und dem abgelaufenen Schlüssel.

TLS-Zertifikat in einem Truststore aktualisieren

Wenn ein Zertifikat in einem Truststore abläuft, erstellen Sie in der Regel einen neuen Truststore, laden das Zertifikat hoch und aktualisieren dann Ihre virtuellen Hosts oder Zielserver/Zielendpunkte, um den neuen Truststore zu verwenden.

Wenn ein Zertifikat Teil einer Kette ist, müssen Sie entweder eine einzelne Datei mit allen Zertifikaten erstellen und diese Datei in einen einzelnen Alias hochladen oder alle Zertifikate in der Kette separat mit dem Truststore verknüpft werden.

Normalerweise erstellen Sie einen neuen Truststore, bevor das aktuelle Zertifikat abläuft, und aktualisieren dann Ihren virtuellen Hosts oder Zielendpunkten den neuen Truststore zu verwenden, Serviceanfragen ohne Unterbrechung aufgrund eines abgelaufenen Zertifikats ausgeführt werden. Sie können den alten Truststore dann löschen, nachdem Sie sich vergewissert haben, dass der neue Truststore ordnungsgemäß funktioniert.

Für eine cloudbasierte Bereitstellung von Edge:

  1. Erstellen Sie einen neuen Truststore und laden Sie ein Zertifikat hoch, wie unter Schlüsselspeicher und Truststore über die Edge-Benutzeroberfläche erstellen beschrieben.

    Wenn Sie das neue Zertifikat in den neuen Truststore hochladen, spielt der Aliasname keine Rolle.

  2. Für einen virtuellen Host, der von einer eingehenden Verbindung, d. h. einer API, verwendet wird Anfrage an Edge:
    1. Wenn der virtuelle Host einen Verweis auf den Truststore verwendet, aktualisieren Sie diesen.
    2. Wenn Ihr virtueller Host einen direkten Namen des Truststore verwendet, wenden Sie sich an den Apigee Edge-Support.
  3. Für einen Zielendpunkt/Zielserver, der von einer ausgehenden Verbindung verwendet wird, also von Apigee zu einem Backend-Server:
    1. Wenn der Zielendpunkt/Zielserver Verweise auf den Truststore verwendet, aktualisieren Sie die Referenz. Es ist keine erneute Bereitstellung des Proxys erforderlich.
    2. Wenn der Zielendpunkt/Zielserver eine Ablaufvariable verwendet, aktualisieren Sie die Ablaufvariable. Es ist keine erneute Bereitstellung des Proxys erforderlich.

    3. Wenn der Zielendpunkt/Zielserver einen direkten Namen des Truststores verwendet, aktualisieren Sie die Konfiguration des Zielendpunkts/Zielservers für alle API-Proxys, die auf den alten Truststore verwiesen haben, sodass sie auf den neuen Schlüsselspeicher und den Schlüsselalias verweisen.

      Sie müssen den Proxy dann noch einmal bereitstellen.

  4. Nachdem Sie sich vergewissert haben, dass Ihr neuer Truststore ordnungsgemäß funktioniert, löschen Sie den alten Truststore mit dem abgelaufenen Zertifikat.