Estás viendo la documentación de Apigee Edge.
Ve a la
Documentación de Apigee X. información
El método que usas para especificar el nombre del almacén de claves y el almacén de confianza en el host virtual o el servidor o extremo de destino determina cómo se realiza la actualización del certificado. Puedes especificar del almacén de claves y del almacén de confianza con lo siguiente:
- Referencias (preferidas)
- Nombres directos
- Variables de flujo
Cada uno de estos métodos tiene diferentes repercusiones en el proceso de actualización del certificado, como se describe en en la siguiente tabla.
Tipo de configuración | Cómo actualizar o reemplazar un certificado | Cómo actualizar el host virtual y el extremo o servidor de destino |
---|---|---|
Referencia (recomendado) |
Para un almacén de claves, crea un almacén de claves nuevo con un nombre nuevo y un alias con mismo nombre que el alias anterior. Para un almacén de confianza, crea un almacén de confianza con un nombre nuevo. |
Actualiza la referencia al almacén de claves o de confianza.
No es necesario que te comuniques con el equipo de asistencia de Apigee Edge. |
Variables de flujo (solo extremo de destino) |
Para un almacén de claves, crea un almacén de claves nuevo con un nombre nuevo y un alias con el mismo nombre o con uno nuevo. Para un almacén de confianza, crea un almacén de confianza con un nombre nuevo. |
Pasa la variable de flujo actualizada en cada solicitud con el nombre del nuevo almacén de claves, alias o almacén de confianza. No es necesario que te comuniques con el equipo de asistencia de Apigee Edge. |
Directo | Crea un nuevo almacén de claves, un alias y un almacén de confianza. |
En el caso de los hosts virtuales, comunícate con el equipo de asistencia de Apigee Edge para reiniciar los routers. Si un servidor o extremo de destino usa el almacén de confianza, vuelve a implementar el proxy. |
Directo | Borra el almacén de claves o el almacén de confianza y vuelve a crearlo con el mismo nombre. |
No se requiere actualizar el host virtual. Sin embargo, las solicitudes a la API fallan hasta que el nuevo almacén de claves y alias. Si el almacén de claves se usa para TLS bidireccional entre Edge y el servicio de backend, comunícate con el equipo de asistencia de Apigee Edge para reiniciar los procesadores de mensajes. |
Directo | Solo para el almacén de confianza, sube un nuevo certificado al almacén de confianza. |
En el caso de los hosts virtuales, comunícate con el equipo de asistencia de Apigee Edge para reiniciar los routers perimetrales. Si un extremo o servidor de destino usa el almacén de confianza, comunícate con el equipo de asistencia de Apigee Edge para reiniciar los procesadores de mensajes. |
Probar el certificado antes y después del actualizar
Usa los siguientes comandos de openssl
para probar el certificado actual antes de actualizar
de la siguiente manera:
echo | openssl s_client -servername HOSTNAME -connect ORG-ENV.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject
En el ejemplo anterior, HOSTNAME
es el alias del host y ORG-ENV
es la organización.
en un entorno de nube. Por ejemplo:
echo | openssl s_client -servername example.com -connect myOrg-prod.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject
Deberías ver un resultado como el siguiente:
notBefore=Dec 30 22:11:38 2015 GMT notAfter=Dec 30 22:11:38 2016 GMT subject= /OU=Domain Control Validated/CN=*.apigee.net
Usa el mismo comando después de actualizar el certificado para probarlo.
Determina cómo el host virtual o el extremo o servidor de destino de destino hacen referencia al almacén de claves. almacén de confianza
- Accede a la IU de la administración de Edge en https://enterprise.apigee.com.
- En el menú de la IU de administración de Edge, selecciona el nombre de tu organización.
-
En el caso de un host virtual, determina cómo este especifica el almacén de claves.
y almacén de confianza.
- Según la versión de la IU de Edge, haz lo siguiente:
- Si usas la IU clásica de Edge, selecciona APIs > Configuración del entorno.
- Si usas la Nueva IU de Edge, selecciona Administrador > Entornos.
- Selecciona la pestaña Virtual Hosts.
- Para el host virtual específico que estés actualizando, selecciona Mostrar
para mostrar sus propiedades. La pantalla incluye las siguientes propiedades:
- Almacén de claves: Es el nombre del almacén de claves actual, que se suele especificar.
como referencia en el archivo de
ref://mykeystoreref
.
Como alternativa, se puede especificar con un nombre directo, de la siguiente forma:myKeystoreName
o puede especificarse mediante una variable de flujo, en el formato{ssl.keystore}
- Alias de clave. El valor de esta propiedad es el nombre del alias en la el almacén de claves. Tu almacén de claves nuevo debe crear un alias con el mismo nombre.
- Almacén de confianza: Es el nombre del almacén de confianza actual, si lo hay.
especificado como referencia en el archivo
ref://mytruststoreref
.
Como alternativa, se puede especificar con un nombre directo, de la siguiente forma:myTruststoreName
o puede especificarse mediante una variable de flujo, en el formato{ssl.truststorestore}
- Almacén de claves: Es el nombre del almacén de claves actual, que se suele especificar.
como referencia en el archivo de
- Según la versión de la IU de Edge, haz lo siguiente:
-
Para un extremo o servidor de destino, determina cómo el extremo
especifica el almacén de claves y el almacén de confianza:
- En el menú de la IU de administración perimetral, selecciona APIs.
- Selecciona el nombre del proxy de API.
- Selecciona la pestaña Desarrollo.
- En Destinos extremos, selecciona predeterminada.
- En el área de código, aparecerá la definición de TargetEndpoint. Examina los
<SSLInfo>
para ver cómo se define el almacén de claves o el almacén de confianza.
Nota: Si el extremo de destino usa un servidor de destino, el archivo XML del extremo de destino aparece como se muestra a continuación, donde el La etiqueta<LoadBalancer>
especifica los servidores de destino que usa la API proxy.<TargetEndpoint name="default"> … <HTTPTargetConnection> <LoadBalancer> <Server name="target1" /> <Server name="target2" /> </LoadBalancer> <Path>/test</Path> </HTTPTargetConnection> … </TargetEndpoint>
Examina el elemento<SSLInfo>
en la definición del servidor de destino para determinar cómo se defina el almacén de claves o el almacén de confianza.
Actualiza un certificado TLS en un almacén de claves
Cuando vence un certificado de un almacén de claves, no puedes subir uno nuevo. En cambio, Crea un almacén de claves nuevo, sube el certificado y, luego, actualiza los hosts virtuales o el servidor o destino de destino. para usar el nuevo almacén de claves.
Normalmente, se crea un almacén de claves nuevo antes de que caduque el certificado actual y, luego, se actualiza tus hosts virtuales o extremos de destino para usar el nuevo almacén de claves, de modo que puedas continuar solicitudes de servicio sin interrupciones debido a un certificado vencido. Luego, puedes borrar el archivo el almacén de claves nuevo después de asegurarte de que funcione correctamente.
Para una implementación de Edge basada en la nube:
Crea un nuevo almacén de claves y sube un certificado y una clave como se describe en Cómo crear almacenes de claves y almacenes de confianza con la IU de Edge
En el nuevo almacén de claves, asegúrate de usar el mismo nombre para el alias de clave que se utilizó en el almacén de claves existente.
-
Para un host virtual que usa una conexión entrante, es decir, una API
solicitud a Edge:
- Si tu host virtual usa una referencia al almacén de claves, actualiza la referencia.
- Si tu host virtual usa un nombre directo del almacén de claves, comunícate con el equipo de asistencia de Apigee Edge.
-
Para un extremo/servidor de destino de destino que utiliza una conexión saliente, lo que significa
de Apigee a un servidor de backend:
- Si el extremo o servidor de destino usa referencias al almacén de claves, actualiza el referencia. No es necesario volver a implementar el proxy.
- Si el extremo o servidor de destino usa una variable de flujo, actualízala. No la reimplementación del proxy.
Si el extremo o servidor de destino usa un nombre directo del almacén de claves, actualiza el configuración del extremo o servidor de destino para cualquier proxy de API que hiciera referencia a la Almacén de claves y alias de clave para hacer referencia al nuevo Almacén de claves y alias de clave.
Luego, debes volver a implementar el proxy.
- Una vez que hayas confirmado que el nuevo almacén de claves funciona correctamente, borra el anterior. Almacén de claves con el certificado y la clave vencidos.
Actualizar un certificado TLS en un almacén de confianza
Cuando vence un certificado en un almacén de confianza, por lo general, se crea un almacén de confianza nuevo y se sube el certificado. y, luego, actualicen sus hosts virtuales o servidor de destino/extremo de destino para usar el nuevo almacén de confianza.
Si un certificado es parte de una cadena, debes crear un único archivo que contenga todos los certificados y subir ese archivo a un único alias, o bien subir todos los certificados de la cadena por separado a en el almacén de confianza con un alias diferente para cada certificado.
Normalmente, creas un nuevo almacén de confianza antes de que venza el certificado actual y, luego, actualizas tus hosts virtuales o los extremos de destino para usar el nuevo almacén de confianza, de modo que puedas continuar solicitudes de servicio sin interrupciones debido a un certificado vencido. Luego, puedes borrar el archivo almacén de confianza después de asegurarse de que el nuevo funcione correctamente.
Para una implementación de Edge basada en la nube:
Crea un nuevo almacén de confianza y sube un certificado como se describe en Crea almacenes de claves y almacenes de confianza mediante la IU de Edge.
Cuando subes el certificado nuevo al nuevo almacén de confianza, el nombre del alias no importa.
-
Para un host virtual que usa una conexión entrante, es decir, una API
solicitud a Edge:
- Si tu host virtual usa una referencia al almacén de confianza, actualiza la referencia.
- Si tu host virtual usa un nombre directo del almacén de confianza, comunícate con el equipo de asistencia de Apigee Edge.
-
Para un extremo/servidor de destino de destino que utiliza una conexión saliente, lo que significa
de Apigee a un servidor de backend:
- Si el extremo o servidor de destino usa referencias al almacén de confianza, actualiza el referencia. No es necesario volver a implementar el proxy.
- Si el extremo o servidor de destino usa una variable de flujo, actualízala. No la reimplementación del proxy.
Si el extremo o servidor de destino usa un nombre directo del almacén de confianza, actualiza la configuración del extremo o servidor de destino para cualquier proxy de API que haga referencia el almacén de confianza antiguo para hacer referencia al nuevo almacén de claves y al alias de clave.
Luego, debes volver a implementar el proxy.
- Después de confirmar que tu nuevo almacén de confianza funciona correctamente, borra el anterior de confianza con el certificado vencido.