Actualiza un certificado TLS para Cloud

Estás consultando la documentación de Apigee Edge.
Consulta la documentación de Apigee X.
Información

El método que usas para especificar el nombre del almacén de claves y el almacén de confianza en el host virtual o el servidor o extremo de destino determina cómo se realiza la actualización del certificado. Puedes especificar el nombre del almacén de claves y del almacén de confianza con lo siguiente:

  • Referencias: preferido
  • Nombres directos
  • Variables de flujo

Cada uno de estos métodos tiene diferentes repercusiones en el proceso de actualización de certificados, como se describe en la siguiente tabla.

Tipo de configuración Cómo actualizar o reemplazar un certificado Cómo actualizar el host virtual y el servidor de destino o extremo de destino
Referencia (opción recomendada)

Para un almacén de claves, crea un almacén de claves nuevo con un nombre nuevo y un alias con el mismo nombre que el alias anterior.

Para un almacén de confianza, crea un almacén de confianza con un nombre nuevo.

Actualiza la referencia al almacén de claves o de confianza.

No es necesario comunicarse con el equipo de asistencia de Apigee Edge.

Variables de flujo (solo extremo de destino)

Para un almacén de claves, crea un almacén de claves nuevo con un nombre nuevo y un alias con el mismo nombre o uno nuevo.

Para un almacén de confianza, crea un almacén de confianza con un nombre nuevo.

Pasa la variable de flujo actualizada en cada solicitud con el nombre del almacén de claves, el alias o el almacén de confianza nuevos.

No es necesario comunicarse con el equipo de asistencia de Apigee Edge.

Directo Crea un nuevo almacén de claves, un alias y un almacén de confianza.

En el caso de los hosts virtuales, comunícate con el equipo de asistencia de Apigee Edge para reiniciar los routers.

Si un servidor o extremo de destino usa el almacén de confianza, vuelve a implementar el proxy.

Directo Borra el almacén de claves o el almacén de confianza, y vuelve a crearlo con el mismo nombre.

No se requiere actualizar el host virtual. Sin embargo, las solicitudes a la API fallan hasta que se configuran el alias y el almacén de claves nuevos.

Si el almacén de claves se usa para TLS bidireccional entre Edge y el servicio de backend, comunícate con el equipo de asistencia de Apigee Edge para reiniciar los procesadores de mensajes.

Directo Solo para el almacén de confianza, sube un nuevo certificado al almacén de confianza.

En el caso de los hosts virtuales, comunícate con el equipo de asistencia de Apigee Edge para reiniciar los routers perimetrales.

Si un servidor de destino o extremo de destino usa el almacén de confianza, comunícate con el equipo de asistencia de Apigee Edge para reiniciar los procesadores de mensajes.

Prueba el certificado antes y después de la actualización

Usa los siguientes comandos de openssl para probar el certificado actual antes de actualizarlo:

echo | openssl s_client -servername HOSTNAME -connect ORG-ENV.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

En el ejemplo anterior, HOSTNAME es el alias del host y ORG-ENV es la organización y el entorno. Por ejemplo:

echo | openssl s_client -servername example.com -connect myOrg-prod.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

Deberías ver un resultado como el siguiente:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

Usa el mismo comando después de actualizar el certificado para probarlo.

Determina cómo el servidor de extremo/destino de destino o host virtual hace referencia al almacén de claves y al almacén de confianza.

  1. Accede a la IU de administración de Edge en https://enterprise.apigee.com.
  2. En el menú de la IU de administración perimetral, selecciona el nombre de la organización.
  3. Para un host virtual, determina cómo el host virtual especifica el almacén de claves y el almacén de confianza.
    1. Según la versión de la IU de Edge, haz lo siguiente:
      1. Si usas la IU de Edge clásica: Selecciona APIs > Configuración del entorno.
      2. Si usas la IU de Edge nueva: Selecciona Administrador > Entornos.
    2. Selecciona la pestaña Virtual Hosts.
    3. En el host virtual específico que deseas actualizar, selecciona el botón Mostrar para mostrar sus propiedades. La pantalla incluye las siguientes propiedades:
      1. Key Store: Es el nombre del almacén de claves actual, por lo general, se especifica como referencia en desde ref://mykeystoreref.

        De manera alternativa, se puede especificar mediante un nombre directo, en el formato myKeystoreName, o se puede especificar mediante una variable de flujo, con el formato {ssl.keystore}.
      2. Alias de la clave. El valor de esta propiedad es el nombre del alias en el almacén de claves. El almacén de claves nuevo debe crear un alias con el mismo nombre.
      3. Almacén de confianza: Es el nombre del almacén de confianza actual (si existe) que, por lo general, se especifica como referencia en el almacén de confianza desde ref://mytruststoreref.

        De manera alternativa, se puede especificar mediante un nombre directo, en el formato myTruststoreName, o se puede especificar mediante una variable de flujo, con el formato {ssl.truststorestore}.
  4. En el caso de un servidor de extremo o de destino, determina cómo el extremo de destino especifica el almacén de claves y el almacén de confianza:
    1. En el menú de la IU de administración perimetral, selecciona APIs.
    2. Selecciona el nombre del proxy de API.
    3. Selecciona la pestaña Desarrollo.
    4. En Target Endpoints, selecciona default.
    5. En el área de código, aparece la definición TargetEndpoint. Examina el elemento <SSLInfo> para ver cómo se define el almacén de claves o almacén de confianza.

      Nota: Si el extremo de destino usa un servidor de destino, la definición XML del extremo de destino aparece como se muestra a continuación, donde la etiqueta <LoadBalancer> especifica los servidores de destino que usa el proxy de la API.
      <TargetEndpoint name="default">
        …
        <HTTPTargetConnection>
          <LoadBalancer>
            <Server name="target1" />
            <Server name="target2" />
          </LoadBalancer>
          <Path>/test</Path>
        </HTTPTargetConnection>
          …
      </TargetEndpoint>
      Revisa el elemento <SSLInfo> en la definición del servidor de destino para determinar cómo se define el almacén de claves o el almacén de confianza.

Actualiza un certificado TLS en un almacén de claves

Cuando un certificado de un almacén de claves vence, no puedes subir uno nuevo. En su lugar, debes crear un almacén de claves nuevo, subir el certificado y, luego, actualizar tus hosts virtuales o el servidor o extremo de destino para usar el almacén de claves nuevo.

Por lo general, debes crear un almacén de claves nuevo antes de que venza el certificado actual y, luego, actualizar tus hosts virtuales o extremos de destino para usar el almacén de claves nuevo, de modo que puedas continuar con las solicitudes de servicio sin interrupciones debido a un certificado vencido. Luego, podrás borrar el almacén de claves antiguo una vez que te asegures de que el nuevo funcione correctamente.

Para una implementación de Edge basada en la nube, sigue estos pasos:

  1. Crea un almacén de claves nuevo y sube un certificado y una clave como se describe en Crea almacenes de claves y almacenes de confianza con la IU de Edge.

    En el almacén de claves nuevo, asegúrate de usar el mismo nombre para el alias de la clave que se usó en el almacén de claves existente.

  2. Para un host virtual que usa una conexión entrante, lo que significa una solicitud a la API en Edge:
    1. Si tu host virtual usa una referencia al almacén de claves, actualiza la referencia.
    2. Si tu host virtual usa un nombre directo del almacén de claves, comunícate con el equipo de Asistencia de Apigee Edge.
  3. Para un servidor de extremo/de destino de destino que usa una conexión saliente, es decir, de Apigee a un servidor de backend:
    1. Si el servidor de destino o extremo de destino usa referencias al almacén de claves, actualiza la referencia. No es necesario volver a implementar un proxy.
    2. Si el servidor de destino o extremo de destino usa una variable de flujo, actualízala. No es necesaria la reimplementación de proxy.
    3. Si el servidor de extremo o de destino de destino usa un nombre directo del almacén de claves, actualiza la configuración del servidor de destino o extremo de destino para los proxies de API que hicieran referencia al almacén de claves y al alias de clave anteriores para hacer referencia al nuevo almacén de claves y al alias de la clave.

      Luego, debes volver a implementar el proxy.

  4. Después de confirmar que el almacén de claves nuevo funciona de forma correcta, borra el almacén de claves antiguo con el certificado y la clave vencidos.

Actualiza un certificado TLS en un almacén de confianza

Por lo general, cuando vence un certificado en un almacén de confianza, se crea un almacén de confianza nuevo y se sube el certificado. Luego, se actualizan los hosts virtuales o el servidor o el extremo de destino para usar el almacén de confianza nuevo.

Si un certificado forma parte de una cadena, debes crear un solo archivo que contenga todos los certificados y subirlo a un solo alias o subir todos los certificados de la cadena por separado al almacén de confianza con un alias diferente para cada certificado.

Por lo general, debes crear un almacén de confianza nuevo antes de que venza el certificado actual y, luego, actualizar tus hosts virtuales o extremos de destino para usar el almacén de confianza nuevo a fin de poder continuar con las solicitudes de servicio sin interrupciones debido a un certificado vencido. Luego, puedes borrar el almacén de confianza antiguo una vez que te asegures de que el almacén de confianza nuevo funcione correctamente.

Para una implementación de Edge basada en la nube, sigue estos pasos:

  1. Crea un almacén de confianza nuevo y sube un certificado como se describe en Crea almacenes de claves y almacenes de confianza mediante la IU de Edge.

    Cuando subes el certificado nuevo al almacén de confianza nuevo, el nombre del alias no importa.

  2. Para un host virtual que usa una conexión entrante, lo que significa una solicitud a la API en Edge:
    1. Si tu host virtual usa una referencia al almacén de confianza, actualízala.
    2. Si tu host virtual usa un nombre directo del almacén de confianza, comunícate con el equipo de asistencia de Apigee Edge.
  3. Para un servidor de extremo/de destino de destino que usa una conexión saliente, es decir, de Apigee a un servidor de backend:
    1. Si el extremo/servidor de destino de destino usa referencias al almacén de confianza, actualiza la referencia. No es necesario volver a implementar un proxy.
    2. Si el servidor de destino o extremo de destino usa una variable de flujo, actualízala. No es necesaria la reimplementación de proxy.
    3. Si el extremo o servidor de destino de destino usa un nombre directo del almacén de confianza, actualiza la configuración del servidor de destino o extremo de destino de los proxies de API que hacían referencia al almacén de confianza anterior para que hagan referencia al nuevo almacén de claves y al alias de la clave.

      Luego, debes volver a implementar el proxy.

  4. Después de confirmar que el almacén de confianza nuevo funciona de forma correcta, borra el almacén de confianza antiguo con el certificado vencido.