Cette page a été traduite par l'API Cloud Translation.

Mettre à jour un certificat TLS pour le cloud

Vous consultez la documentation d'Apigee Edge.
Consultez la documentation Apigee X. en savoir plus

La méthode que vous utilisez pour spécifier le nom du keystore et du truststore dans l'hôte virtuel ou le point de terminaison/serveur cible détermine la manière dont vous effectuez la mise à jour du certificat. Vous pouvez spécifier le nom du keystore et du truststore à l'aide de la commande suivante:

Références - de préférence
Noms directs
Variables de flux

Chacune de ces méthodes a des répercussions différentes sur le processus de mise à jour des certificats, comme décrit dans le tableau suivant.

Type de configuration	Mettre à jour ou remplacer un certificat	Mettre à jour l'hôte virtuel et le point de terminaison cible/le serveur cible
Référence (recommandé)	Pour un keystore, créez un keystore avec un nouveau nom et un alias avec le même nom que l'ancien alias. Pour un truststore, créez un truststore avec un nouveau nom.	Mettez à jour la référence au keystore ou au truststore. Il n'est pas nécessaire de contacter l'assistance Apigee Edge.
Variables de flux (point de terminaison cible uniquement)	Pour un keystore, créez un keystore avec un nouveau nom et un alias avec le même nom ou avec un nouveau nom. Pour un truststore, créez un truststore avec un nouveau nom.	Transmettez à chaque requête la variable de flux mise à jour avec le nom du nouveau keystore, de l'alias ou du nouveau truststore. Il n'est pas nécessaire de contacter l'assistance Apigee Edge.
Directe	Créez un nouveau keystore, un alias et un truststore.	Pour les hôtes virtuels, contactez l'assistance Apigee Edge pour redémarrer les routeurs. Si le truststore est utilisé par un point de terminaison cible/serveur cible, redéployez le proxy.
Directe	Supprimez le keystore ou le truststore et recréez-le avec le même nom.	Aucune mise à jour de l'hôte virtuel n'est requise. Cependant, les requêtes API échouent tant que le nouveau keystore et l'alias ne sont pas définis. Si le keystore est utilisé pour le TLS bidirectionnel entre Edge et le service de backend, contactez l'assistance Apigee Edge pour redémarrer les processeurs de messages.
Directe	Pour le truststore uniquement, importez un nouveau certificat dans le truststore.	Pour les hôtes virtuels, contactez l'assistance Apigee Edge pour redémarrer les routeurs périphériques. Si le magasin de confiance est utilisé par un point de terminaison ou un serveur cible, contactez l'assistance Apigee Edge pour redémarrer les processeurs de messages.

Tester le certificat avant et après la mise à jour

Exécutez les commandes openssl suivantes pour tester le certificat actuel avant de le mettre à jour:

echo | openssl s_client -servername HOSTNAME -connect ORG-ENV.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

où HOSTNAME est l'alias d'hôte et ORG-ENV est l'organisation et l'environnement. Exemple :

echo | openssl s_client -servername example.com -connect myOrg-prod.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

Le résultat doit s'afficher au format suivant :

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

Exécutez la même commande après avoir mis à jour le certificat pour le tester.

Déterminer la manière dont l'hôte virtuel ou le point de terminaison cible/le serveur cible font référence au keystore et au Trustedstore

Connectez-vous à l'interface utilisateur de gestion Edge à l'adresse https://enterprise.apigee.com.
Dans le menu de l'interface utilisateur de gestion Edge, sélectionnez le nom de votre organisation.
Pour un hôte virtuel, déterminez comment l'hôte virtuel spécifie le keystore et le Truststore.
1. Selon votre version de l'interface utilisateur Edge :
  1. Si vous utilisez l'interface utilisateur classique de Edge: sélectionnez APIs > Configuration de l'environnement.
  2. Si vous utilisez la nouvelle interface utilisateur Edge: sélectionnez Admin > Environnements.
2. Sélectionnez l'onglet Virtual Hosts (Hôtes virtuels).
3. Sélectionnez le bouton Afficher pour l'hôte virtuel spécifique que vous mettez à jour pour afficher ses propriétés. Il comprend les propriétés suivantes :
  1. Key Store: nom du keystore actuel, généralement spécifié à titre de référence dans le fichier de ref://mykeystoreref.
    
    Il peut également être spécifié par un nom direct, au format myKeystoreName, ou par une variable de flux, sous la forme {ssl.keystore}.
  2. Alias de clé. La valeur de cette propriété est le nom d'alias dans le keystore. Votre nouveau keystore doit créer un alias portant le même nom.
  3. Trust Store: nom du truststore actuel, le cas échéant, généralement spécifié comme référence dans le ref://mytruststoreref.
    
    Il peut également être spécifié par un nom direct, au format myTruststoreName, ou par une variable de flux, sous la forme {ssl.truststorestore}.
Pour un point de terminaison ou un serveur cible cible, déterminez la manière dont le point de terminaison cible spécifie le keystore et le truststore :
1. Dans le menu de l'interface utilisateur de gestion Edge, sélectionnez API.
2. Sélectionnez le nom du proxy d'API.
3. Sélectionnez l'onglet Développement.
4. Sous Points de terminaison cibles, sélectionnez par défaut.
5. Dans la zone de code, la définition TargetEndpoint s'affiche. Examinez l'élément <SSLInfo> pour voir comment le keystore/truststore est défini.
  
  Remarque: Si le point de terminaison cible utilise un serveur cible, sa définition XML du point de terminaison cible apparaît comme ci-dessous, où la balise <LoadBalancer> spécifie les serveurs cibles utilisés par le proxy d'API.
```
<TargetEndpoint name="default">
  …
  <HTTPTargetConnection>
    <LoadBalancer>
      <Server name="target1" />
      <Server name="target2" />
    </LoadBalancer>
    <Path>/test</Path>
  </HTTPTargetConnection>
    …
</TargetEndpoint>
```
  Examinez l'élément <SSLInfo> dans la définition du serveur cible pour déterminer comment le keystore/truststore est défini.

Mettre à jour un certificat TLS dans un keystore

Lorsqu'un certificat d'un keystore expire, vous ne pouvez pas en importer un nouveau. À la place, vous devez créer un keystore et importer le certificat, puis mettre à jour vos hôtes virtuels ou vos serveurs/points de terminaison cibles cibles pour qu'ils utilisent le nouveau keystore.

En règle générale, vous devez créer un keystore avant l'expiration du certificat actuel, puis mettre à jour vos hôtes virtuels ou vos points de terminaison cibles pour qu'ils utilisent ce nouveau keystore. Vous pouvez ainsi continuer à traiter les requêtes de service sans interruption en raison de l'expiration d'un certificat. Vous pouvez ensuite supprimer l'ancien keystore après vous être assuré que le nouveau fonctionne correctement.

Pour un déploiement de périphérie dans le cloud:

Créez un keystore et importez un certificat et une clé, comme décrit dans la section Créer des keystores et des truststores à l'aide de l'interface utilisateur Edge.

Dans le nouveau keystore, assurez-vous d'utiliser pour l'alias de clé le même nom que celui utilisé dans le magasin de clés existant.
Pour un hôte virtuel utilisé par une connexion entrante, c'est-à-dire une requête API dans Edge:
1. Si votre hôte virtuel utilise une référence au keystore, mettez-la à jour.
2. Si votre hôte virtuel utilise un nom direct du keystore, contactez l'assistance Apigee Edge.
Pour un point de terminaison/serveur cible utilisé par une connexion sortante, c'est-à-dire d'Apigee vers un serveur backend :
1. Si le point de terminaison ou le serveur cible utilise des références au keystore, mettez à jour la référence. Aucun redéploiement du proxy n'est nécessaire.
2. Si le point de terminaison ou le serveur cible utilise une variable de flux, mettez-la à jour. Aucun redéploiement du proxy n'est nécessaire.
3. Si le point de terminaison ou le serveur cible cible utilise un nom direct du keystore, mettez à jour la configuration du point de terminaison ou du serveur cible pour tous les proxys d'API faisant référence à l'ancien keystore et à l'ancien alias de clé afin de référencer le nouveau keystore et l'alias de clé.
  
  Vous devez ensuite redéployer le proxy.
Après avoir vérifié que votre nouveau keystore fonctionne correctement, supprimez-le avec le certificat et la clé expirés.

Mettre à jour un certificat TLS dans un Truststore

Lorsqu'un certificat d'un Truststore expire, vous créez généralement un nouveau Truststore et vous l'importez, puis vous mettez à jour vos hôtes virtuels ou vos serveurs/points de terminaison cibles cibles pour qu'ils utilisent le nouveau Truststore.

Si un certificat fait partie d'une chaîne, vous devez soit créer un fichier unique contenant tous les certificats et l'importer dans un seul alias, soit importer tous les certificats de la chaîne séparément dans le magasin de confiance en utilisant un alias différent pour chaque certificat.

En règle générale, vous devez créer un nouveau magasin de confiance avant l'expiration du certificat actuel, puis mettre à jour vos hôtes virtuels ou vos points de terminaison cibles pour qu'ils utilisent le nouveau magasin de confiance. Vous pouvez ainsi continuer à traiter les requêtes de service sans interruption en raison de l'expiration d'un certificat. Vous pouvez ensuite supprimer l'ancien truststore après vous être assuré que le nouveau fonctionne correctement.

Pour un déploiement de périphérie dans le cloud:

Créez un nouveau Truststore et importez un certificat, comme décrit dans la section Créer des keystores et un Truststore à l'aide de l'interface utilisateur Edge.

Lorsque vous importez le nouveau certificat dans le nouveau Trustedstore, le nom de l'alias n'a pas d'importance.
Pour un hôte virtuel utilisé par une connexion entrante, c'est-à-dire une requête API dans Edge:
1. Si votre hôte virtuel utilise une référence au Trustedstore, mettez-la à jour.
2. Si votre hôte virtuel utilise un nom direct du magasin de confiance, contactez l'assistance Apigee Edge.
Pour un point de terminaison/serveur cible utilisé par une connexion sortante, c'est-à-dire d'Apigee vers un serveur backend :
1. Si le point de terminaison ou le serveur cible cible utilise une référence au Trustedstore, mettez-la à jour. Aucun redéploiement du proxy n'est nécessaire.
2. Si le point de terminaison ou le serveur cible utilise une variable de flux, mettez-la à jour. Aucun redéploiement du proxy n'est nécessaire.
3. Si le point de terminaison/le serveur cible cible utilise un nom direct du truststore, mettez à jour la configuration du point de terminaison/serveur cible pour tous les proxys d'API faisant référence à l'ancien truststore afin de référencer le nouveau keystore et l'alias de clé.
  
  Vous devez ensuite redéployer le proxy.
Après avoir vérifié que votre nouveau truststore fonctionne correctement, supprimez-le avec le certificat expiré.