Se usó la API de Cloud Translation para traducir esta página.

Actualiza un certificado TLS para Cloud

Estás viendo la documentación de Apigee Edge.
Ve a la documentación de Apigee X. info

El método que usas para especificar el nombre del almacén de claves y el almacén de confianza en el host virtual o el servidor o extremo de destino determina cómo se realiza la actualización del certificado. Puedes especificar del almacén de claves y del almacén de confianza con lo siguiente:

Referencias (preferidas)
Nombres directos
Variables de flujo

Cada uno de estos métodos tiene diferentes repercusiones en el proceso de actualización de certificados, como se describe en la siguiente tabla.

Tipo de configuración	Cómo actualizar o reemplazar un certificado	Cómo actualizar el host virtual y el extremo o servidor de destino
Referencia (recomendado)	Para un almacén de claves, crea un almacén de claves nuevo con un nombre nuevo y un alias con mismo nombre que el alias anterior. Para un almacén de confianza, crea un almacén de confianza con un nombre nuevo.	Actualiza la referencia al almacén de claves o de confianza. No es necesario que te comuniques con el equipo de asistencia de Apigee Edge.
Variables de flujo (solo extremo de destino)	Para un almacén de claves, crea un almacén de claves nuevo con un nombre nuevo y un alias con el mismo nombre o con un nombre nuevo. Para un almacén de confianza, crea un almacén de confianza con un nombre nuevo.	Pasa la variable de flujo actualizada en cada solicitud con el nombre del nuevo almacén de claves, alias o almacén de confianza. No es necesario que te comuniques con el equipo de asistencia de Apigee Edge.
Directo	Crea un nuevo almacén de claves, un alias y un almacén de confianza.	En el caso de los hosts virtuales, comunícate con el equipo de asistencia de Apigee Edge para reiniciar los routers. Si un servidor o extremo de destino usa el almacén de confianza, vuelve a implementar el proxy.
Directo	Borra el almacén de claves o el almacén de confianza y vuelve a crearlo con el mismo nombre.	No se requiere actualizar el host virtual. Sin embargo, las solicitudes a la API fallan hasta que el nuevo almacén de claves y alias. Si el almacén de claves se usa para la TLS bidireccional entre el perímetro y el servicio de backend, comunícate con Asistencia de Apigee Edge para reiniciar Message Processor.
Directo	Solo para el almacén de confianza, sube un nuevo certificado al almacén de confianza.	Para los hosts virtuales, comunícate con el equipo de asistencia de Apigee Edge para reiniciar los routers del perímetro. Si un extremo o servidor de destino usa el almacén de confianza, comunícate con el equipo de asistencia de Apigee Edge para reiniciar los procesadores de mensajes.

Probar el certificado antes y después del actualizar

Usa los siguientes comandos de openssl para probar la certificación actual antes de actualizarla:

echo | openssl s_client -servername HOSTNAME -connect ORG-ENV.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

En el ejemplo anterior, HOSTNAME es el alias del host y ORG-ENV es la organización. en un entorno de nube. Por ejemplo:

echo | openssl s_client -servername example.com -connect myOrg-prod.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

Deberías ver un resultado como el siguiente:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

Usa el mismo comando después de actualizar el certificado para probarlo.

Determina cómo el host virtual o el extremo o servidor de destino hace referencia al almacén de claves y al almacén de confianza

Accede a la IU de administración de Edge en https://enterprise.apigee.com.
En el menú de la IU de administración de Edge, selecciona el nombre de tu organización.
En el caso de un host virtual, determina cómo este especifica el almacén de claves. y almacén de confianza.
1. Según la versión de la IU de Edge, haz lo siguiente:
  1. Si usas la IU clásica de Edge, selecciona APIs > Configuración del entorno.
  2. Si usas la Nueva IU de Edge, selecciona Administrador > Entornos.
2. Selecciona la pestaña Virtual Hosts.
3. En el host virtual específico que estás actualizando, selecciona el botón Mostrar para mostrar sus propiedades. La pantalla incluye las siguientes propiedades:
  1. Almacén de claves: Es el nombre del almacén de claves actual, que se suele especificar. como referencia en el archivo de ref://mykeystoreref.
    
    Como alternativa, se puede especificar con un nombre directo, de la siguiente forma: myKeystoreName o puede especificarse mediante una variable de flujo, en el formato {ssl.keystore}
  2. Alias de clave. El valor de esta propiedad es el nombre del alias en la el almacén de claves. Tu almacén de claves nuevo debe crear un alias con el mismo nombre.
  3. Almacén de confianza: Es el nombre del almacén de confianza actual, si corresponde, que, por lo general, se especifica como una referencia en ref://mytruststoreref.
    
    Como alternativa, se puede especificar con un nombre directo, en el formato myTruststoreName, o con una variable de flujo, en el formato {ssl.truststorestore}.
Para un extremo o servidor de destino, determina cómo el extremo de destino especifica el almacén de claves y el almacén de confianza:
1. En el menú de la IU de administración de Edge, selecciona APIs.
2. Selecciona el nombre del proxy de API.
3. Selecciona la pestaña Desarrollo.
4. En Extremos de destino, selecciona predeterminado.
5. En el área de código, aparecerá la definición de TargetEndpoint. Examina los <SSLInfo> para ver cómo se define el almacén de claves o el almacén de confianza.
  
  Nota: Si el extremo de destino usa un servidor de destino, la definición XML del extremo de destino aparece como se indica a continuación, en la que la etiqueta <LoadBalancer> especifica los servidores de destino que usa el proxy de API.
```
<TargetEndpoint name="default">
  …
  <HTTPTargetConnection>
    <LoadBalancer>
      <Server name="target1" />
      <Server name="target2" />
    </LoadBalancer>
    <Path>/test</Path>
  </HTTPTargetConnection>
    …
</TargetEndpoint>
```
  Examina el elemento <SSLInfo> en la definición del servidor de destino para determinar cómo se defina el almacén de claves o el almacén de confianza.

Actualiza un certificado TLS en un almacén de claves

Cuando vence un certificado de un almacén de claves, no puedes subir uno nuevo. En su lugar, debes crear un almacén de claves nuevo y subir el certificado. Luego, debes actualizar tus hosts virtuales o el extremo o servidor de destino para usar el nuevo almacén de claves.

Generalmente, se crea un almacén de claves nuevo antes de que caduque el certificado actual y, luego, se actualiza tus hosts virtuales o extremos de destino para usar el nuevo almacén de claves, de modo que puedas continuar solicitudes de servicio sin interrupciones debido a un certificado vencido. Luego, puedes borrar el archivo el almacén de claves nuevo después de asegurarte de que funcione correctamente.

Para una implementación de Edge basada en la nube, haz lo siguiente:

Crea un nuevo almacén de claves y sube un certificado y una clave como se describe en Cómo crear almacenes de claves y almacenes de confianza con la IU de Edge

En el nuevo almacén de claves, asegúrate de usar el mismo nombre para el alias de clave que se utilizó en el almacén de claves existente.
Para un host virtual que usa una conexión entrante, es decir, una solicitud a la API en Edge:
1. Si tu host virtual usa una referencia al almacén de claves, actualízala.
2. Si tu host virtual usa un nombre directo del almacén de claves, comunícate con el equipo de asistencia de Apigee Edge.
Para un extremo/servidor de destino de destino que utiliza una conexión saliente, lo que significa de Apigee a un servidor de backend:
1. Si el extremo o servidor de destino usa referencias al almacén de claves, actualiza el referencia. No es necesario volver a implementar el proxy.
2. Si el extremo o servidor de destino usa una variable de flujo, actualízala. No la reimplementación del proxy.
3. Si el extremo o servidor de destino usa un nombre directo del almacén de claves, actualiza la configuración del extremo o servidor de destino para los proxies de API que hagan referencia al almacén de claves y al alias de clave anteriores para que hagan referencia al almacén de claves y al alias de clave nuevos.
  
  Luego, debes volver a implementar el proxy.
Después de confirmar que el nuevo almacén de claves funciona correctamente, borra el almacén de claves anterior con la clave y el certificado vencidos.

Actualiza un certificado TLS en un almacén de confianza

Cuando vence un certificado de un almacén de confianza, por lo general, se crea uno nuevo y se sube el certificado. Luego, se actualizan los hosts virtuales o el extremo o servidor de destino para que usen el nuevo almacén de confianza.

Si un certificado es parte de una cadena, debes crear un solo archivo que contenga todos los certificados y subir ese archivo a un solo alias, o subir todos los certificados de la cadena por separado al almacén de confianza mediante un alias diferente para cada certificado.

Normalmente, creas un nuevo almacén de confianza antes de que venza el certificado actual y, luego, actualizas a sus hosts virtuales o a los endpoints de destino para usar el nuevo almacén de confianza, de modo que pueda continuar solicitudes de servicio sin interrupciones debido a un certificado vencido. Luego, puedes borrar el archivo almacén de confianza después de asegurarse de que el nuevo funcione correctamente.

Para una implementación de Edge basada en la nube:

Crea un almacén de confianza nuevo y sube un certificado como se describe en Cómo crear almacenes de claves y de confianza con la IU de Edge.

Cuando subas el certificado nuevo al almacén de confianza nuevo, el nombre del alias no importa.
Para un host virtual que usa una conexión entrante, es decir, una API solicitud a Edge:
1. Si tu host virtual usa una referencia al almacén de confianza, actualízala.
2. Si tu host virtual usa un nombre directo del almacén de confianza, comunícate con el equipo de Asistencia de Apigee Edge.
Para un extremo/servidor de destino de destino que utiliza una conexión saliente, lo que significa de Apigee a un servidor de backend:
1. Si el extremo o servidor de destino usa referencias al almacén de confianza, actualiza la referencia. No es necesario volver a implementar el proxy.
2. Si el extremo o servidor de destino usa una variable de flujo, actualízala. No la reimplementación del proxy.
3. Si el extremo o servidor de destino usa un nombre directo del almacén de confianza, actualiza la configuración del extremo o servidor de destino para cualquier proxy de API que haga referencia el almacén de confianza antiguo para hacer referencia al nuevo almacén de claves y al alias de clave.
  
  Luego, debes volver a implementar el proxy.
Después de confirmar que el nuevo almacén de confianza funciona correctamente, borra el almacén de confianza anterior con el certificado vencido.