Diese Seite wurde von der Cloud Translation API übersetzt.

TLS-Zertifikat für die Cloud aktualisieren

Sie sehen die Dokumentation zu Apigee Edge.
Zur Apigee X-Dokumentation weitere Informationen

Die Methode, die Sie zur Angabe des Namens des Schlüsselspeichers oder des Truststores auf dem virtuellen Host oder Zielendpunkt/Zielserver nutzen, richtet sich nach der verwendeten Methode. Sie können den Namen des Schlüsselspeichers und Truststores mit folgendem Befehl angeben:

Referenzen – bevorzugt
Direkte Namen
Ablaufvariablen

Jede dieser Methoden wirkt sich wie in der folgenden Tabelle beschrieben auf die Aktualisierung des Zertifikats aus.

Konfigurationstyp	Zertifikate aktualisieren/ersetzen	Virtuellen Host, Zielendpunkt/Zielserver aktualisieren
Referenz (empfohlen)	Erstellen Sie für einen Schlüsselspeicher einen neuen Schlüsselspeicher mit einem neuen Namen und einem Alias mit demselben Namen wie dem alten Alias. Erstellen Sie bei einem Truststore einen Truststore mit einem neuen Namen.	Aktualisieren Sie den Verweis auf den Schlüsselspeicher oder Truststore. Sie müssen sich nicht an den Apigee Edge-Support wenden.
Ablaufvariablen (nur Zielendpunkt)	Erstellen Sie für einen Schlüsselspeicher einen neuen Schlüsselspeicher mit einem neuen Namen und einem Alias mit demselben oder einem neuen Namen. Erstellen Sie bei einem Truststore einen Truststore mit einem neuen Namen.	Übergeben Sie die aktualisierte Ablaufvariable bei jeder Anfrage mit dem Namen des neuen Schlüsselspeichers, Alias oder Truststores. Sie müssen sich nicht an den Apigee Edge-Support wenden.
Direkt	Erstellen Sie einen neuen Schlüsselspeicher, einen Alias oder einen Truststore.	Wenden Sie sich bei virtuellen Hosts an den Apigee Edge-Support, um die Router neu zu starten. Wenn der Truststore von einem Zielendpunkt/Zielserver verwendet wird, stellen Sie den Proxy neu bereit.
Direkt	Löschen Sie den Schlüsselspeicher oder Truststore und erstellen Sie ihn noch einmal mit demselben Namen.	Der virtuelle Host muss nicht aktualisiert werden. API-Anfragen schlagen jedoch fehl, bis der neue Schlüsselspeicher und der Alias festgelegt wurden. Wenn der Schlüsselspeicher für Zwei-Wege-TLS zwischen Edge und dem Back-End-Dienst verwendet wird, wenden Sie sich an den Apigee Edge-Support, um die Nachrichtenprozessoren neu zu starten.
Direkt	Laden Sie nur für Truststores ein neues Zertifikat in den Truststore hoch.	Wenden Sie sich bei virtuellen Hosts an den Apigee Edge-Support, um die Edge Router neu zu starten. Wenn der Truststore von einem Zielendpunkt/Zielserver verwendet wird, wenden Sie sich an den Apigee Edge-Support, um die Nachrichtenprozessoren neu zu starten.

Zertifikat vor und nach dem Update testen

Verwenden Sie die folgenden openssl-Befehle, um das aktuelle Zertifikat zu testen, bevor Sie es aktualisieren:

echo | openssl s_client -servername HOSTNAME -connect ORG-ENV.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

Dabei ist HOSTNAME der Hostalias und ORG-ENV die Organisation und Umgebung. Beispiel:

echo | openssl s_client -servername example.com -connect myOrg-prod.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

Die Ausgabe sollte im folgenden Format angezeigt werden:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

Verwenden Sie denselben Befehl, nachdem Sie das Zertifikat aktualisiert haben, um es zu testen.

Bestimmen Sie, wie der virtuelle Host oder der Zielendpunkt/Zielserver auf den Schlüsselspeicher und den Truststore verweist

Melden Sie sich bei der Edge-Management-Benutzeroberfläche unter https://enterprise.apigee.com an.
Wählen Sie im Menü der Edge-Verwaltungs-UI den Namen Ihrer Organisation aus.
Ermitteln Sie bei einem virtuellen Host, wie der virtuelle Host den Schlüsselspeicher und den Truststore angibt.
1. Gehen Sie je nach Version der Edge-Benutzeroberfläche so vor:
  1. Wenn Sie die klassische Edge-Benutzeroberfläche verwenden, wählen Sie APIs > Umgebungskonfiguration aus.
  2. Wenn Sie die New Edge-Benutzeroberfläche verwenden, wählen Sie Verwaltung > Umgebungen aus.
2. Wählen Sie den Tab Virtual Hosts (Virtuelle Hosts) aus.
3. Wählen Sie für den virtuellen Host, den Sie aktualisieren, die Schaltfläche Show (Anzeigen) aus, um seine Eigenschaften aufzurufen. Die Anzeige umfasst die folgenden Eigenschaften:
  1. Schlüsselspeicher: Der Name des aktuellen Schlüsselspeichers, der in der Regel als Referenz im von ref://mykeystoreref angegeben wird.
    
    Alternativ kann sie durch einen direkten Namen im Format myKeystoreName oder durch eine Flussvariable im Format {ssl.keystore} angegeben werden.
  2. Schlüsselalias. Der Wert dieses Attributs ist der Aliasname im Schlüsselspeicher. Der neue Schlüsselspeicher muss einen Alias mit demselben Namen erstellen.
  3. Trust Store: Der Name des aktuellen Truststores, falls vorhanden. Dieser wird in der Regel als Verweis in der ref://mytruststoreref angegeben.
    
    Alternativ kann sie durch einen direkten Namen im Format myTruststoreName oder durch eine Flussvariable im Format {ssl.truststorestore} angegeben werden.
Legen Sie für einen Zielendpunkt/Zielserver fest, wie der Zielendpunkt den Schlüsselspeicher und den Truststore angibt:
1. Wählen Sie im Menü der Benutzeroberfläche der Edge-Verwaltung die Option APIs aus.
2. Wählen Sie den Namen des API-Proxys aus.
3. Wählen Sie den Tab Development (Entwicklung) aus.
4. Wählen Sie unter Zielendpunkte die Option Standard aus.
5. Im Codebereich wird die TargetEndpoint-Definition angezeigt. Sehen Sie sich das Element <SSLInfo> an, um zu sehen, wie der Keystore/truststore definiert ist.
  
  Hinweis: Wenn der Zielendpunkt einen Zielserver verwendet, wird die XML-Definition des Zielendpunkts wie unten dargestellt angezeigt, wobei das Tag <LoadBalancer> die vom API-Proxy verwendeten Zielserver angibt.
```
<TargetEndpoint name="default">
  …
  <HTTPTargetConnection>
    <LoadBalancer>
      <Server name="target1" />
      <Server name="target2" />
    </LoadBalancer>
    <Path>/test</Path>
  </HTTPTargetConnection>
    …
</TargetEndpoint>
```
  Sehen Sie sich das Element <SSLInfo> in der Zielserverdefinition an, um festzustellen, wie der Schlüsselspeicher/Truststore definiert ist.

TLS-Zertifikat in einem Schlüsselspeicher aktualisieren

Wenn ein Zertifikat in einem Schlüsselspeicher abläuft, können Sie kein neues Zertifikat in den Schlüsselspeicher hochladen. Stattdessen erstellen Sie einen neuen Schlüsselspeicher, laden das Zertifikat hoch und aktualisieren dann Ihre virtuellen Hosts oder Ihren Zielserver/Zielendpunkt so, dass der neue Schlüsselspeicher verwendet wird.

In der Regel erstellen Sie einen neuen Schlüsselspeicher, bevor das aktuelle Zertifikat abläuft. Anschließend aktualisieren Sie Ihre virtuellen Hosts oder Zielendpunkte, um den neuen Schlüsselspeicher zu verwenden, damit Sie Anfragen aufgrund eines abgelaufenen Zertifikats weiterhin ohne Unterbrechung bearbeiten können. Anschließend können Sie den alten Schlüsselspeicher löschen, nachdem Sie sichergestellt haben, dass der neue Schlüsselspeicher ordnungsgemäß funktioniert.

Für eine cloudbasierte Bereitstellung von Edge:

Erstellen Sie einen neuen Schlüsselspeicher und laden Sie ein Zertifikat und einen Schlüssel hoch, wie unter Schlüsselspeicher und Truststore mithilfe der Edge-Benutzeroberfläche erstellen beschrieben.

Achten Sie darauf, dass Sie im neuen Schlüsselspeicher denselben Namen für den Schlüsselalias verwenden wie im vorhandenen Schlüsselspeicher.
Für einen virtuellen Host, der von einer eingehenden Verbindung verwendet wird, d. h. einer API-Anfrage an Edge:
1. Wenn der virtuelle Host einen Verweis auf den Schlüsselspeicher verwendet, aktualisieren Sie den Verweis.
2. Wenn der virtuelle Host einen direkten Namen des Schlüsselspeichers verwendet, wenden Sie sich an den Apigee Edge-Support.
Für einen Zielendpunkt/Zielserver, der von einer ausgehenden Verbindung verwendet wird, d. h. von Apigee zu einem Back-End-Server:
1. Wenn der Zielendpunkt/Zielserver Verweise auf den Schlüsselspeicher verwendet, aktualisieren Sie den Verweis. Es ist keine erneute Proxybereitstellung erforderlich.
2. Wenn der Zielendpunkt/Zielserver eine Ablaufvariable verwendet, aktualisieren Sie diese Variable. Eine erneute Proxybereitstellung ist nicht erforderlich.
3. Wenn der Zielendpunkt/Zielserver einen direkten Namen des Schlüsselspeichers verwendet, aktualisieren Sie die Konfiguration des Zielendpunkts/Zielservers für alle API-Proxys, die auf den alten Schlüsselspeicher und den Schlüsselalias verwiesen haben, um auf den neuen Schlüsselspeicher und den neuen Schlüsselalias zu verweisen.
  
  Anschließend müssen Sie den Proxy noch einmal bereitstellen.
Nachdem Sie sich vergewissert haben, dass der neue Schlüsselspeicher ordnungsgemäß funktioniert, löschen Sie den alten Schlüsselspeicher mit dem abgelaufenen Zertifikat und Schlüssel.

TLS-Zertifikat in einem Truststore aktualisieren

Wenn ein Zertifikat in einem Truststore abläuft, erstellen Sie in der Regel einen neuen Truststore und laden das Zertifikat hoch. Aktualisieren Sie dann Ihre virtuellen Hosts oder Ihren Zielserver/Zielendpunkt so, dass der neue Truststore verwendet wird.

Wenn ein Zertifikat Teil einer Kette ist, müssen Sie entweder eine einzelne Datei mit allen Zertifikaten erstellen und diese Datei in einen einzelnen Alias hochladen oder alle Zertifikate in der Kette separat in den Truststore hochladen. Verwenden Sie für jedes Zertifikat einen anderen Alias.

In der Regel erstellen Sie einen neuen Truststore, bevor das aktuelle Zertifikat abläuft. Anschließend aktualisieren Sie Ihre virtuellen Hosts oder Zielendpunkte, um den neuen Truststore zu verwenden, damit Sie Anfragen aufgrund eines abgelaufenen Zertifikats weiterhin ohne Unterbrechung bearbeiten können. Anschließend können Sie den alten Truststore löschen, nachdem Sie sich vergewissert haben, dass er ordnungsgemäß funktioniert.

Für eine cloudbasierte Bereitstellung von Edge:

Erstellen Sie einen neuen Truststore und laden Sie ein Zertifikat hoch, wie unter Schlüsselspeicher und Truststore mithilfe der Edge-Benutzeroberfläche erstellen beschrieben.

Wenn Sie das neue Zertifikat in den neuen Truststore hochladen, spielt der Aliasname keine Rolle.
Für einen virtuellen Host, der von einer eingehenden Verbindung verwendet wird, d. h. einer API-Anfrage an Edge:
1. Wenn der virtuelle Host einen Verweis auf den Truststore verwendet, aktualisieren Sie den Verweis.
2. Wenn der virtuelle Host einen direkten Namen des Truststores verwendet, wenden Sie sich an den Apigee Edge-Support.
Für einen Zielendpunkt/Zielserver, der von einer ausgehenden Verbindung verwendet wird, d. h. von Apigee zu einem Back-End-Server:
1. Wenn der Zielendpunkt/Zielserver Verweise auf den Truststore verwendet, aktualisieren Sie den Verweis. Es ist keine erneute Proxybereitstellung erforderlich.
2. Wenn der Zielendpunkt/Zielserver eine Ablaufvariable verwendet, aktualisieren Sie diese Variable. Eine erneute Proxybereitstellung ist nicht erforderlich.
3. Wenn der Zielendpunkt/Zielserver einen direkten Namen des Truststores verwendet, aktualisieren Sie die Konfiguration des Zielendpunkts/Zielservers für alle API-Proxys, die auf den alten Truststore verweisen, um auf den neuen Schlüsselspeicher und den neuen Schlüsselalias zu verweisen.
  
  Anschließend müssen Sie den Proxy noch einmal bereitstellen.
Nachdem Sie sich vergewissert haben, dass der neue Truststore ordnungsgemäß funktioniert, löschen Sie den alten Truststore mit dem abgelaufenen Zertifikat.