Memperbarui sertifikat TLS untuk Cloud

Anda sedang melihat dokumentasi Apigee Edge.
Buka Dokumentasi Apigee X. info

Metode yang Anda gunakan untuk menentukan nama keystore dan truststore di host virtual endpoint/target server target menentukan cara Anda melakukan update sertifikat. Anda dapat menentukan nama keystore dan truststore menggunakan:

  • Referensi - lebih disukai
  • Nama langsung
  • Variabel alur

Masing-masing metode ini memiliki dampak yang berbeda terhadap proses pembaruan sertifikat, seperti yang dijelaskan dalam pada tabel berikut.

Jenis konfigurasi Cara memperbarui/mengganti sertifikat Cara mengupdate virtual host, server target/endpoint target
Referensi (direkomendasikan)

Untuk keystore, buat keystore baru dengan nama baru dan alias dengan sama dengan alias lama.

Untuk truststore, buat truststore dengan nama baru.

 Perbarui referensi ke keystore atau truststore.

Tidak perlu menghubungi Dukungan Apigee Edge.
Variabel alur (khusus endpoint target)

Untuk keystore, buat keystore baru dengan nama baru dan alias dengan nama yang sama atau dengan nama baru.

Untuk truststore, buat truststore dengan nama baru.

Teruskan variabel alur yang diperbarui pada setiap permintaan dengan nama keystore, alias, atau truststore baru.

Tidak perlu menghubungi Dukungan Apigee Edge.
Langsung Buat keystore, alias, truststore baru.

Untuk host virtual, hubungi Dukungan Apigee Edge untuk memulai ulang Router.

Jika truststore digunakan oleh server target/endpoint target, deploy ulang proxy.
Langsung Hapus keystore atau truststore dan buat kembali dengan nama yang sama.

Tidak perlu pembaruan host virtual. Namun, permintaan API akan gagal sampai keystore baru dan alias ditetapkan.

Jika keystore digunakan untuk TLS dua arah antara Edge dan layanan backend, hubungi Dukungan Apigee Edge untuk memulai ulang Pemroses Pesan.
Langsung Khusus untuk truststore, upload sertifikat baru ke truststore.

Untuk host virtual, hubungi Dukungan Apigee Edge untuk memulai ulang Router Edge.

Jika truststore digunakan oleh endpoint target/server target, hubungi Dukungan Apigee Edge untuk memulai ulang Message Processor.

Menguji sertifikat sebelum dan sesudah update

Gunakan perintah openssl berikut untuk menguji sertifikat saat ini sebelum Anda mengupdate hal tersebut:

echo | openssl s_client -servername HOSTNAME -connect ORG-ENV.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

dengan HOSTNAME adalah alias host dan ORG-ENV adalah organisasi dan lingkungan fleksibel App Engine. Contoh:

echo | openssl s_client -servername example.com -connect myOrg-prod.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

Anda akan melihat output dalam bentuk:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

Gunakan perintah yang sama setelah Anda memperbarui sertifikat untuk mengujinya.

Tentukan cara host virtual atau server target/endpoint merujuk keystore dan truststore

  1. Login ke UI pengelolaan Edge di https://enterprise.apigee.com.
  2. Di menu UI pengelolaan Edge, pilih nama organisasi Anda.
  3. Untuk host virtual, tentukan cara host virtual menentukan keystore dan truststore.
    1. Bergantung pada versi UI Edge Anda:
      1. Jika menggunakan UI Edge Klasik: Pilih API > Konfigurasi Lingkungan.
      2. Jika Anda menggunakan UI New Edge: Pilih Admin > Lingkungan.
    2. Pilih tab Virtual Hosts.
    3. Untuk host virtual tertentu yang sedang Anda update, pilih opsi Show untuk menampilkan propertinya. Tampilan menyertakan properti berikut:
      1. Key Store: Nama keystore saat ini, biasanya ditentukan sebagai referensi dalam dari ref://mykeystoreref.

        Atau, bisa juga ditentukan dengan nama langsung, dalam bentuk myKeystoreName, atau mungkin ditentukan oleh variabel flow, dalam bentuk {ssl.keystore}.
      2. Alias Kunci. Nilai properti ini adalah nama alias dalam keystore. Keystore baru Anda harus membuat alias dengan nama yang sama.
      3. Trust Store: Nama truststore saat ini, jika ada, biasanya yang ditentukan sebagai referensi dalam ref://mytruststoreref.

        Atau, dapat ditentukan oleh nama langsung, dalam bentuk myTruststoreName, atau dapat ditentukan oleh variabel alur, dalam bentuk {ssl.truststorestore}.
  4. Untuk server target/endpoint target, tentukan cara endpoint target menentukan keystore dan truststore:
    1. Di menu UI pengelolaan Edge, pilih APIs.
    2. Pilih nama proxy API.
    3. Pilih tab Pengembangan.
    4. Di bagian Target Endpoints, pilih default.
    5. Di area kode, definisi TargetEndpoint muncul. Periksa <SSLInfo> untuk melihat cara keystore/truststore ditentukan.

      Catatan: Jika endpoint target menggunakan server target, definisi XML endpoint target akan muncul seperti di bawah, dengan tag <LoadBalancer> menentukan server target yang digunakan oleh proxy API. 
      <TargetEndpoint name="default">
  …
  <HTTPTargetConnection>
    <LoadBalancer>
      <Server name="target1" />
      <Server name="target2" />
    </LoadBalancer>
    <Path>/test</Path>
  </HTTPTargetConnection>
    …
</TargetEndpoint>
       Periksa elemen <SSLInfo> dalam definisi server target untuk menentukan cara keystore/truststore ditentukan.

Memperbarui sertifikat TLS di keystore

Jika masa berlaku sertifikat di keystore berakhir, Anda tidak dapat mengupload sertifikat baru ke keystore. Sebagai gantinya, Anda membuat keystore baru dan mengupload sertifikat, lalu memperbarui host virtual atau server target/endpoint target untuk menggunakan keystore baru.

Biasanya, Anda membuat keystore baru sebelum sertifikat saat ini berakhir masa berlakunya, lalu mengupdate host virtual atau endpoint target untuk menggunakan keystore baru sehingga Anda dapat terus melayani permintaan tanpa gangguan karena sertifikat yang sudah tidak berlaku. Anda dapat menghapus keystore setelah memastikan bahwa keystore baru berfungsi dengan benar.

Untuk deployment Edge berbasis Cloud:

  1. Buat keystore baru dan upload sertifikat dan kunci seperti yang dijelaskan dalam Membuat keystore dan truststore menggunakan UI Edge.

    Di keystore baru, pastikan Anda menggunakan nama yang sama untuk alias kunci seperti yang digunakan di key store yang sudah ada.

  2. Untuk host virtual yang digunakan oleh koneksi masuk, yang berarti permintaan API ke Edge:
    1. Jika host virtual Anda menggunakan referensi ke keystore, perbarui referensi tersebut.
    2. Jika host virtual Anda menggunakan nama langsung untuk keystore, hubungi Dukungan Apigee Edge.
  3. Untuk server target/endpoint target yang digunakan oleh koneksi keluar, artinya dari Apigee ke server backend:
    1. Jika endpoint target/server target menggunakan referensi ke keystore, perbarui referensi. Tidak perlu deployment ulang proxy.
    2. Jika endpoint target/server target menggunakan variabel alur, perbarui variabel alur. Lain kali deployment ulang proxy diperlukan.

    3. Jika endpoint target/server target menggunakan nama langsung keystore, perbarui konfigurasi endpoint target/server target untuk setiap proxy API yang mereferensikan keystore dan alias kunci lama untuk mereferensikan keystore dan alias kunci baru.

      Kemudian, Anda harus men-deploy ulang proxy.

  4. Setelah Anda mengonfirmasi bahwa keystore baru berfungsi dengan benar, hapus keystore lama dengan kunci dan sertifikat yang sudah tidak berlaku.

Memperbarui sertifikat TLS di truststore

Jika masa berlaku sertifikat di truststore habis masa berlakunya, biasanya Anda membuat truststore baru, lalu perbarui host virtual atau endpoint target/server target untuk menggunakan truststore baru.

Jika sertifikat adalah bagian dari rantai, Anda harus membuat satu file yang berisi semua sertifikat dan mengupload file tersebut ke satu alias, atau mengupload semua sertifikat dalam rantai secara terpisah ke truststore menggunakan alias yang berbeda untuk setiap sertifikat.

Biasanya, Anda membuat truststore baru sebelum masa berlaku sertifikat saat ini berakhir, lalu mengupdate host virtual atau endpoint target untuk menggunakan truststore baru sehingga Anda dapat terus melayani permintaan tanpa gangguan karena sertifikat yang sudah tidak berlaku. Kemudian, Anda dapat menghapus truststore lama setelah memastikan bahwa truststore baru berfungsi dengan benar.

Untuk deployment Edge berbasis Cloud:

  1. Buat truststore baru dan upload sertifikat seperti yang dijelaskan di Membuat keystore dan truststore menggunakan UI Edge.

    Saat Anda mengupload sertifikat baru ke truststore baru, nama alias tidak akan memengaruhi apa pun.

  2. Untuk host virtual yang digunakan oleh koneksi masuk, artinya API permintaan ke Edge:
    1. Jika host virtual Anda menggunakan referensi ke truststore, perbarui referensi.
    2. Jika host virtual Anda menggunakan nama langsung truststore, hubungi Dukungan Apigee Edge.
  3. Untuk server target/endpoint target yang digunakan oleh koneksi keluar, artinya dari Apigee ke server backend:
    1. Jika endpoint target/server target menggunakan referensi ke truststore, perbarui referensi. Deployment ulang proxy tidak diperlukan.
    2. Jika endpoint target/server target menggunakan variabel alur, perbarui variabel alur. Lain kali deployment ulang proxy diperlukan.

    3. Jika endpoint target/server target menggunakan nama langsung truststore, perbarui konfigurasi endpoint target/server target untuk setiap proxy API yang mereferensikan truststore lama untuk mereferensikan keystore dan alias kunci baru.

      Kemudian, Anda harus men-deploy ulang proxy.

  4. Setelah Anda mengonfirmasi bahwa truststore baru berfungsi dengan benar, hapus truststore lama dengan sertifikat yang sudah tidak berlaku.