گواهی TLS را برای Cloud به روز کنید

شما در حال مشاهده اسناد Apigee Edge هستید.
به مستندات Apigee X بروید . اطلاعات

روشی که برای تعیین نام keystore و truststore در میزبان مجازی یا نقطه پایانی/سرور مقصد هدف استفاده می‌کنید، نحوه انجام به‌روزرسانی گواهی را تعیین می‌کند. با استفاده از موارد زیر می توانید نام keystore و truststore را مشخص کنید:

• مراجع - ترجیح داده می شود
• نام های مستقیم
• متغیرهای جریان

همانطور که در جدول زیر توضیح داده شده است، هر یک از این روش ها اثرات متفاوتی بر روند به روز رسانی گواهی دارند.

تست گواهی قبل و بعد از به روز رسانی

قبل از اینکه گواهینامه فعلی را به روز کنید، از دستورات openssl زیر استفاده کنید:

echo | openssl s_client -servername HOSTNAME -connect ORG-ENV.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

که در آن HOSTNAME نام مستعار میزبان و ORG - ENV سازمان و محیط است. به عنوان مثال:

echo | openssl s_client -servername example.com -connect myOrg-prod.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

شما باید خروجی را به شکل زیر ببینید:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

پس از به‌روزرسانی گواهی، از همین دستور برای آزمایش آن استفاده کنید.

تعیین کنید که چگونه میزبان مجازی یا هدف سرور نقطه پایانی/هدف به فروشگاه کلید و ذخیره‌سازی اعتماد ارجاع می‌دهد

1. وارد رابط کاربری Edge management در https://enterprise.apigee.com شوید.
2. در منوی Edge management UI، نام سازمان خود را انتخاب کنید.
3. برای یک میزبان مجازی ، تعیین کنید که میزبان مجازی چگونه ذخیره‌سازی کلید و Truststore را مشخص می‌کند.
   1. بسته به نسخه Edge UI شما:
      1. اگر از رابط کاربری Classic Edge استفاده می کنید: APIs > Environment Configuration را انتخاب کنید.
      2. اگر از رابط کاربری New Edge استفاده می کنید: Admin > Environments را انتخاب کنید.
   2. تب Virtual Hosts را انتخاب کنید.
   3. برای میزبان مجازی خاصی که در حال به روز رسانی هستید، دکمه Show را انتخاب کنید تا ویژگی های آن نمایش داده شود. صفحه نمایش دارای ویژگی های زیر است:
      1. فروشگاه کلید : نام فروشگاه کلید فعلی که معمولاً به عنوان مرجع در ref:// mykeystoreref مشخص می شود.
         
         از طرف دیگر، ممکن است با یک نام مستقیم، به شکل myKeystoreName ، یا ممکن است توسط یک متغیر جریان، به شکل {ssl.keystore} مشخص شود.
      2. نام مستعار کلیدی. مقدار این ویژگی نام مستعار در keystore است. فروشگاه کلید جدید شما باید یک نام مستعار با همین نام ایجاد کند.
      3. Trust Store : نام Truststore فعلی، در صورت وجود، معمولاً به عنوان مرجع در from ref:// mytruststoreref مشخص می‌شود.
         
         از طرف دیگر، ممکن است با یک نام مستقیم، به شکل myTruststoreName ، یا ممکن است توسط یک متغیر جریان، به شکل {ssl.truststorestore} مشخص شود.
4. برای یک سرور نقطه پایانی/هدف هدف ، تعیین کنید که نقطه پایانی هدف چگونه ذخیره‌سازی کلید و ذخیره‌سازی اعتماد را مشخص می‌کند:
   1. در منوی Edge management UI، APIs را انتخاب کنید.
   2. نام پراکسی API را انتخاب کنید.
   3. تب توسعه را انتخاب کنید.
   4. در قسمت Target Endpoints ، پیش فرض را انتخاب کنید.
   5. در ناحیه کد، تعریف TargetEndpoint ظاهر می شود. عنصر <SSLInfo> را بررسی کنید تا ببینید keystore/truststore چگونه تعریف شده است.
      
      توجه : اگر نقطه پایانی هدف از یک سرور هدف استفاده می کند، تعریف XML نقطه پایانی هدف به صورت زیر ظاهر می شود، جایی که تگ <LoadBalancer> سرورهای مورد استفاده توسط پراکسی API را مشخص می کند.

      <TargetEndpoint name="default">
        …
        <HTTPTargetConnection>
          <LoadBalancer>
            <Server name="target1" />
            <Server name="target2" />
          </LoadBalancer>
          <Path>/test</Path>
        </HTTPTargetConnection>
          …
      </TargetEndpoint>

      عنصر <SSLInfo> را در تعریف سرور مورد نظر بررسی کنید تا تعیین کنید که keystore/truststore چگونه تعریف شده است.

گواهی TLS را در فروشگاه کلید به‌روزرسانی کنید

زمانی که یک گواهی در فروشگاه کلید منقضی می شود، نمی توانید گواهی جدید را در فروشگاه کلید آپلود کنید. در عوض، یک فروشگاه کلید جدید ایجاد می‌کنید و گواهی را آپلود می‌کنید، سپس میزبان‌های مجازی یا نقطه پایانی سرور/هدف خود را به‌روزرسانی می‌کنید تا از فروشگاه کلید جدید استفاده کنید.

به طور معمول، قبل از انقضای گواهی فعلی، یک فروشگاه کلید جدید ایجاد می‌کنید و سپس میزبان‌های مجازی یا نقاط پایانی خود را برای استفاده از فروشگاه کلید جدید به‌روزرسانی می‌کنید تا بتوانید بدون وقفه به درخواست‌های خدمات به دلیل منقضی شده گواهی ادامه دهید. سپس می‌توانید پس از اطمینان از اینکه ذخیره‌سازی کلید جدید به درستی کار می‌کند، ذخیره‌سازی کلید قدیمی را حذف کنید.

برای استقرار Edge مبتنی بر ابر:

1. یک فروشگاه کلید جدید ایجاد کنید و گواهی و کلید را همانطور که در ایجاد فروشگاه کلید و ذخیره‌سازی اعتماد با استفاده از رابط کاربری Edge توضیح داده شده است، آپلود کنید.

   در فروشگاه کلید جدید، اطمینان حاصل کنید که از همان نامی برای نام مستعار کلید استفاده می کنید که در فروشگاه کلید موجود استفاده می شد.

2. برای یک میزبان مجازی که توسط یک اتصال ورودی استفاده می شود، به معنای درخواست API به Edge:
   1. اگر هاست مجازی شما از یک مرجع به keystore استفاده می کند، مرجع را به روز کنید.
   2. اگر میزبان مجازی شما از نام مستقیم فروشگاه کلید استفاده می کند، با پشتیبانی Apigee Edge تماس بگیرید.
3. برای یک سرور نقطه پایانی/هدف مورد استفاده توسط یک اتصال خروجی، به معنی از Apigee به یک سرور باطن:
   1. اگر سرور نقطه پایان/هدف هدف از ارجاعات به keystore استفاده می کند، مرجع را به روز کنید. نیازی به استقرار مجدد پروکسی نیست.
   2. اگر سرور نقطه پایان/هدف هدف از متغیر جریان استفاده می کند، متغیر جریان را به روز کنید. نیازی به استقرار مجدد پروکسی نیست.

   3. اگر سرور نقطه پایانی/هدف هدف از نام مستقیم فروشگاه کلید استفاده می‌کند، پیکربندی سرور نقطه پایان/هدف هدف را برای هر پراکسی API که به ذخیره کلید قدیمی و نام مستعار کلید اشاره کرده است، به‌روزرسانی کنید.

      سپس باید پراکسی را مجدداً مستقر کنید.

4. پس از اینکه تأیید کردید که فروشگاه کلید جدید شما به درستی کار می کند، ذخیره کلید قدیمی را با گواهی و کلید منقضی شده حذف کنید.

یک گواهی TLS را در یک فروشگاه اعتماد به‌روزرسانی کنید

زمانی که یک گواهی در یک Truststore منقضی می‌شود، معمولاً یک Truststore جدید ایجاد می‌کنید و گواهی را آپلود می‌کنید، سپس میزبان‌های مجازی یا نقطه پایانی سرور/هدف خود را برای استفاده از Truststore جدید به‌روزرسانی می‌کنید.

اگر گواهی بخشی از یک زنجیره است، باید یا یک فایل واحد حاوی تمام گواهی‌ها ایجاد کنید و آن فایل را در یک نام مستعار آپلود کنید، یا تمام گواهی‌های موجود در زنجیره را به‌طور جداگانه با استفاده از یک نام مستعار برای هر گواهی، به‌طور جداگانه در Truststore آپلود کنید.

معمولاً، قبل از منقضی شدن گواهی فعلی، یک Truststore جدید ایجاد می‌کنید، و سپس میزبان‌های مجازی یا نقاط پایانی خود را برای استفاده از Truststore جدید به‌روزرسانی می‌کنید تا بتوانید بدون وقفه به درخواست‌ها به دلیل گواهی منقضی شده، به خدمات خود ادامه دهید. سپس می توانید پس از اطمینان از اینکه فروشگاه اعتماد جدید به درستی کار می کند، فروشگاه اعتماد قدیمی را حذف کنید.

برای استقرار Edge مبتنی بر ابر:

1. یک Truststore جدید ایجاد کنید و یک گواهی آپلود کنید همانطور که در Creating keystore and truststore با استفاده از Edge UI توضیح داده شده است.

   هنگامی که گواهی جدید را در فروشگاه اعتماد جدید آپلود می کنید، نام مستعار مهم نیست.

2. برای یک میزبان مجازی که توسط یک اتصال ورودی استفاده می شود، به معنای درخواست API به Edge:
   1. اگر هاست مجازی شما از یک مرجع به Truststore استفاده می کند، مرجع را به روز کنید.
   2. اگر هاست مجازی شما از نام مستقیم Truststore استفاده می کند، با پشتیبانی Apigee Edge تماس بگیرید.
3. برای یک سرور نقطه پایانی/هدف مورد استفاده توسط یک اتصال خروجی، به معنی از Apigee به یک سرور باطن:
   1. اگر نقطه پایانی/سرور هدف از ارجاعاتی به Truststore استفاده می کند، مرجع را به روز کنید. نیازی به استقرار مجدد پروکسی نیست.
   2. اگر سرور نقطه پایان/هدف هدف از متغیر جریان استفاده می کند، متغیر جریان را به روز کنید. نیازی به استقرار مجدد پروکسی نیست.

   3. اگر سرور نقطه پایانی/هدف هدف از نام مستقیم ذخیره‌گاه اعتماد استفاده می‌کند، پیکربندی سرور نقطه پایان/هدف هدف را برای هر پراکسی API که به ذخیره‌سازی اعتماد قدیمی برای ارجاع به فروشگاه کلید و نام مستعار کلید جدید ارجاع داده است، به‌روزرسانی کنید.

      سپس باید پراکسی را مجدداً مستقر کنید.

4. پس از اینکه تأیید کردید که فروشگاه اعتماد جدید شما به درستی کار می کند، فروشگاه اعتماد قدیمی را با گواهی منقضی شده حذف کنید.