Mettre à jour un certificat TLS pour le cloud

Vous consultez la documentation d'Apigee Edge.
Accédez à la documentation sur Apigee X. info

La méthode que vous utilisez pour spécifier le nom du keystore et du truststore dans l'hôte virtuel ou le point de terminaison/serveur cible détermine la manière dont vous effectuez la mise à jour du certificat. Vous pouvez spécifier nom du keystore et du truststore à l'aide de la commande suivante:

  • Références (de préférence)
  • Noms directs
  • Variables de flux

Chacune de ces méthodes a des répercussions différentes sur le processus de mise à jour des certificats, comme décrit dans dans le tableau suivant.

Type de configuration Mettre à jour/remplacer un certificat Mettre à jour l'hôte virtuel, le point de terminaison cible/le serveur cible
Référence (recommandé)

Pour un keystore, créez un nouveau keystore avec un nouveau nom et un alias avec le même nom que l'ancien alias.

Pour un truststore, créez un truststore avec un nouveau nom.

 Mettez à jour la référence dans le keystore ou le truststore.

Inutile de contacter l'assistance Apigee Edge.
Variables de flux (point de terminaison cible uniquement)

Pour un keystore, créez-en un avec un nouveau nom et un alias avec le même nom ou avec un nouveau nom.

Pour un truststore, créez un truststore avec un nouveau nom.

Transmettez à chaque requête la variable de flux mise à jour avec le nom du nouveau keystore, de l'alias ou Truststore.

Inutile de contacter l'assistance Apigee Edge.
Direct Créez un nouveau keystore, un alias et un truststore.

Pour les hôtes virtuels, contactez l'assistance Apigee Edge afin de redémarrer les routeurs.

Si le truststore est utilisé par un point de terminaison cible/serveur cible, redéployez le proxy.
Accès direct Supprimez le keystore ou le truststore et recréez-le avec le même nom.

Aucune mise à jour de l'hôte virtuel n'est requise. Toutefois, les requêtes API échouent jusqu'à ce que le nouveau keystore et l'alias soient définis.

Si le keystore est utilisé pour le protocole TLS bidirectionnel entre Edge et le service de backend, contactez l'assistance Apigee Edge afin de redémarrer les processeurs de messages.
Direct Pour le truststore uniquement, importez un nouveau certificat dans le truststore.

Pour les hôtes virtuels, contactez l'assistance Apigee Edge pour redémarrer les routeurs Edge.

Si le magasin de confiance est utilisé par un point de terminaison ou un serveur cible, contactez l'assistance Apigee Edge pour redémarrer les processeurs de messages.

Tester le certificat avant et après le mettre à jour

Exécutez les commandes openssl suivantes pour tester le certificat actuel avant de le mettre à jour comme suit:

echo | openssl s_client -servername HOSTNAME -connect ORG-ENV.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

HOSTNAME est l'alias de l'hôte et ORG-ENV est l'organisation et environnement. Exemple :

echo | openssl s_client -servername example.com -connect myOrg-prod.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

Le résultat doit s'afficher au format suivant :

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

Utilisez la même commande après avoir mis à jour le certificat pour le tester.

déterminer la manière dont votre hôte virtuel ou votre point de terminaison cible/serveur cible référence le keystore ; magasin de confiance

  1. Connectez-vous à l'interface utilisateur de gestion d'Edge à l'adresse https://enterprise.apigee.com.
  2. Dans le menu de l'UI de gestion Edge, sélectionnez le nom de votre organisation.
  3. Pour un hôte virtuel, déterminez comment l'hôte virtuel spécifie le keystore et le truststore.
    1. Selon votre version de l'interface utilisateur Edge: <ph type="x-smartling-placeholder">
        </ph>
      1. Si vous utilisez l'interface utilisateur Edge classique : sélectionnez API > Configuration de l'environnement.
      2. Si vous utilisez la nouvelle interface utilisateur Edge: sélectionnez Admin > Environnements
    2. Sélectionnez l'onglet Virtual Hosts (Hôtes virtuels).
    3. Pour l'hôte virtuel spécifique que vous mettez à jour, sélectionnez l'option Afficher pour afficher ses propriétés. L'affichage inclut les propriétés suivantes: <ph type="x-smartling-placeholder">
        </ph>
      1. Key Store: nom du keystore actuel, généralement spécifié comme référence dans l'élément de ref://mykeystoreref.

        Il peut également être spécifié par un nom direct, au format myKeystoreName, ou être spécifié par une variable de flux au format {ssl.keystore}
      2. Alias de clé. La valeur de cette propriété correspond au nom de l'alias dans le keystore. Votre nouveau keystore doit créer un alias avec le même nom.
      3. Truststore : nom du truststore actuel, le cas échéant, généralement spécifié en tant que référence dans ref://mytruststoreref.

        Il peut également être spécifié par un nom direct, au format myTruststoreName, ou par une variable de flux, au format {ssl.truststorestore}.
  4. Pour un point de terminaison/serveur cible, déterminez comment le point de terminaison cible spécifie le keystore et le truststore:
    1. Dans le menu de l'interface utilisateur de gestion Edge, sélectionnez API.
    2. Sélectionnez le nom du proxy d'API.
    3. Sélectionnez l'onglet Développement.
    4. Sous Points de terminaison cibles, sélectionnez par défaut.
    5. Dans la zone de code, la définition de TargetEndpoint s'affiche. Examinez le <SSLInfo> pour voir comment le keystore/Truststore est défini.

      Remarque : Si le point de terminaison cible utilise un serveur cible, la définition XML du point de terminaison cible s'affiche comme ci-dessous, où la balise <LoadBalancer> spécifie les serveurs cibles utilisés par le proxy d'API. 
      <TargetEndpoint name="default">
  …
  <HTTPTargetConnection>
    <LoadBalancer>
      <Server name="target1" />
      <Server name="target2" />
    </LoadBalancer>
    <Path>/test</Path>
  </HTTPTargetConnection>
    …
</TargetEndpoint>
       Examinez l'élément <SSLInfo> dans la définition du serveur cible pour déterminer comment le keystore/truststore est défini.

Mettre à jour un certificat TLS dans un keystore

Lorsqu'un certificat dans un keystore expire, vous ne pouvez pas en importer un nouveau dans le keystore. Au lieu de cela, vous créer un keystore et importer le certificat, puis mettre à jour vos hôtes virtuels ou le serveur/la cible cible pour utiliser le nouveau keystore.

Généralement, vous créez un keystore avant l'expiration du certificat actuel, puis vous mettez à jour vos hôtes virtuels ou points de terminaison cibles pour utiliser le nouveau keystore afin que vous puissiez continuer des requêtes de service sans interruption en raison de l'expiration d'un certificat. Vous pouvez ensuite supprimer l'ancien keystore après vous être assuré que le nouveau fonctionne correctement.

Pour un déploiement de périphérie dans le cloud:

  1. Créez un keystore, puis importez un certificat et une clé comme décrit dans la section Créer des keystores et des truststores à l'aide de l'UI Edge.

    Dans le nouveau keystore, assurez-vous d'utiliser le même nom pour l'alias de clé que celui utilisé dans le keystore existant.

  2. Pour un hôte virtuel utilisé par une connexion entrante, c'est-à-dire une API dans Edge:
    1. Si votre hôte virtuel utilise une référence au keystore, mettez-la à jour.
    2. Si votre hôte virtuel utilise un nom direct du keystore, contactez l'assistance Apigee Edge.
  3. Pour un point de terminaison cible/serveur cible utilisé par une connexion sortante, c'est-à-dire d'Apigee vers un serveur backend :
    1. Si le point de terminaison cible/le serveur cible utilise des références au keystore, mettez à jour la référence. Aucun redéploiement de proxy n'est nécessaire.
    2. Si le point de terminaison ou le serveur cible utilisent une variable de flux, mettez-la à jour. Non un redéploiement du proxy est nécessaire.

    3. Si le point de terminaison cible/le serveur cible utilise un nom direct du keystore, mettez à jour la configuration du point de terminaison cible/du serveur cible pour tous les proxys d'API qui référençaient l'ancien keystore et l'ancien alias de clé afin de les remplacer par le nouveau keystore et l'alias de clé.

      Vous devez ensuite redéployer le proxy.

  4. Après avoir vérifié que votre nouveau keystore fonctionne correctement, supprimez l'ancien keystore avec le certificat et la clé expirés.

Mettre à jour un certificat TLS dans un truststore

Lorsqu'un certificat dans un truststore expire, vous créez généralement un nouveau truststore et importez le certificat, puis mettez à jour vos hôtes virtuels ou le serveur cible/point de terminaison cible pour utiliser le nouveau truststore.

Si un certificat fait partie d'une chaîne, vous devez soit créer un fichier unique contenant tous les certificats et l'importer dans un seul alias, ou importer séparément tous les certificats de la chaîne dans le truststore à l'aide d'un alias différent pour chaque certificat.

En règle générale, vous devez créer un nouveau truststore avant l'expiration du certificat actuel, puis mettre à jour vos hôtes virtuels ou vos points de terminaison cibles pour qu'ils utilisent le nouveau truststore afin de pouvoir continuer à traiter les requêtes sans interruption en raison d'un certificat expiré. Vous pouvez ensuite supprimer l'ancienne confiancestore après avoir vérifié que le nouveau « Truststore » fonctionne correctement.

Pour un déploiement de périphérie dans le cloud:

  1. Créez un truststore et importez un certificat comme décrit dans la section Créer des keystores et des truststores à l'aide de l'UI Edge.

    Lorsque vous importez le nouveau certificat dans le nouveau truststore, le nom de l'alias n'a pas d'importance.

  2. Pour un hôte virtuel utilisé par une connexion entrante, c'est-à-dire une requête API dans Edge :
    1. Si votre hôte virtuel utilise une référence au truststore, mettez-la à jour.
    2. Si votre hôte virtuel utilise un nom direct du truststore, contactez l'assistance Apigee Edge.
  3. Pour un point de terminaison cible/serveur cible utilisé par une connexion sortante, c'est-à-dire d'Apigee vers un serveur backend :
    1. Si le point de terminaison cible/serveur cible utilise des références au truststore, mettez à jour la référence. Aucun redéploiement de proxy n'est nécessaire.
    2. Si le point de terminaison ou le serveur cible utilisent une variable de flux, mettez-la à jour. Aucun redéploiement de proxy n'est nécessaire.

    3. Si le point de terminaison/le serveur cible utilise un nom direct du truststore, mettre à jour la configuration du point de terminaison/du serveur cible pour tous les proxys d'API qui ont référencé l'ancien Truststore pour référencer le nouveau keystore et l'alias de clé.

      Vous devez ensuite redéployer le proxy.

  4. Une fois que vous avez vérifié que votre nouveau truststore fonctionne correctement, supprimez l'ancien truststore avec le certificat expiré.