Memperbarui sertifikat TLS untuk Cloud

Anda sedang melihat dokumentasi Apigee Edge.
Buka dokumentasi Apigee X. info

Metode yang Anda gunakan untuk menetapkan nama keystore dan truststore di host virtual atau target endpoint/server target akan menentukan cara Anda menjalankan update sertifikat. Anda dapat menentukan nama keystore dan truststore menggunakan:

• Referensi - lebih disukai
• Nama langsung
• Variabel alur

Tiap metode ini memiliki dampak yang berbeda terhadap proses pembaruan sertifikat, seperti yang dijelaskan dalam tabel berikut.

Jenis konfigurasi	Cara memperbarui/mengganti sertifikat	Cara mengupdate host virtual, server endpoint/target target
Referensi (direkomendasikan)	Untuk keystore, buat keystore baru dengan nama baru dan alias dengan nama yang sama dengan alias lama. Untuk truststore, buat truststore dengan nama baru.	Perbarui referensi ke keystore atau truststore. Tidak perlu menghubungi Dukungan Apigee Edge.
Variabel alur (khusus endpoint target)	Untuk keystore, buat keystore baru dengan nama baru dan alias dengan nama yang sama atau dengan nama baru. Untuk truststore, buat truststore dengan nama baru.	Teruskan var alur yang diupdate pada setiap permintaan dengan nama keystore, alias, atau truststore baru. Tidak perlu menghubungi Dukungan Apigee Edge.
Langsung	Buat keystore, alias, truststore baru.	Untuk host virtual, hubungi Dukungan Apigee Edge untuk memulai ulang Router. Jika truststore digunakan oleh server endpoint/target target, deploy ulang proxy.
Langsung	Hapus keystore atau truststore, lalu buat ulang dengan nama yang sama.	Tidak diperlukan update host virtual. Namun, permintaan API akan gagal hingga keystore dan alias baru ditetapkan. Jika keystore digunakan untuk TLS dua arah antara Edge dan layanan backend, hubungi Dukungan Apigee Edge untuk memulai ulang Prosesor Pesan.
Langsung	Khusus untuk truststore, upload sertifikat baru ke truststore.	Untuk host virtual, hubungi Dukungan Apigee Edge untuk memulai ulang Router Edge. Jika truststore digunakan oleh server endpoint/target target, hubungi Dukungan Apigee Edge untuk memulai ulang Message Processors.

Menguji sertifikat sebelum dan sesudah update

Gunakan perintah openssl berikut untuk menguji sertifikat saat ini sebelum Anda mengupdatenya:

echo | openssl s_client -servername HOSTNAME -connect ORG-ENV.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

dengan HOSTNAME adalah alias host dan ORG-ENV adalah organisasi dan lingkungan. Contoh:

echo | openssl s_client -servername example.com -connect myOrg-prod.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

Anda akan melihat output dalam bentuk:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

Gunakan perintah yang sama setelah Anda memperbarui sertifikat untuk mengujinya.

Tentukan cara host virtual atau server endpoint/target target mereferensikan keystore dan truststore

1. Login ke UI pengelolaan Edge di https://enterprise.apigee.com.
2. Di menu UI pengelolaan Edge, pilih nama organisasi Anda.
3. Untuk host virtual, tentukan cara host virtual menentukan keystore dan truststore.
   1. Bergantung pada versi UI Edge Anda:
      1. Jika Anda menggunakan classic Edge UI: Pilih APIs > Environment Configuration.
      2. Jika Anda menggunakan New Edge UI: Pilih Admin > Environments.
   2. Pilih tab Virtual Hosts.
   3. Untuk host virtual tertentu yang sedang Anda update, pilih tombol Show untuk menampilkan propertinya. Layar ini mencakup properti berikut:
      1. Key Store: Nama keystore saat ini, biasanya ditetapkan sebagai referensi di ref://mykeystoreref.
         
         Atau, class ini mungkin ditentukan oleh nama langsung, dalam bentuk myKeystoreName, atau mungkin ditentukan oleh variabel flow, dalam bentuk {ssl.keystore}.
      2. Alias Kunci. Nilai properti ini adalah nama alias di keystore. Keystore baru Anda harus membuat alias dengan nama yang sama.
      3. Trust Store: Nama truststore saat ini, jika ada, biasanya ditetapkan sebagai referensi di ref://mytruststoreref.
         
         Atau, class ini mungkin ditentukan oleh nama langsung, dalam bentuk myTruststoreName, atau mungkin ditentukan oleh variabel flow, dalam bentuk {ssl.truststorestore}.
4. Untuk endpoint/server target target, tentukan cara endpoint target menentukan keystore dan truststore:
   1. Di menu UI pengelolaan Edge, pilih API.
   2. Pilih nama proxy API.
   3. Pilih tab Development.
   4. Di bagian Target Endpoints, pilih default.
   5. Di area kode, definisi TargetEndpoint akan muncul. Periksa elemen <SSLInfo> untuk melihat cara penentuan keystore/truststore.
      
      Catatan: Jika endpoint target menggunakan server target, definisi XML endpoint target akan muncul seperti di bawah ini, dengan tag <LoadBalancer> menentukan server target yang digunakan oleh proxy API.

      <TargetEndpoint name="default">
        …
        <HTTPTargetConnection>
          <LoadBalancer>
            <Server name="target1" />
            <Server name="target2" />
          </LoadBalancer>
          <Path>/test</Path>
        </HTTPTargetConnection>
          …
      </TargetEndpoint>

      Periksa elemen <SSLInfo> dalam definisi server target untuk menentukan cara keystore/truststore ditentukan.

Memperbarui sertifikat TLS di keystore

Jika masa berlaku sertifikat dalam keystore telah berakhir, Anda tidak dapat mengupload sertifikat baru ke keystore. Sebagai gantinya, Anda membuat keystore baru dan mengupload sertifikat, lalu mengupdate host virtual atau endpoint server/target target agar dapat menggunakan keystore baru.

Biasanya, Anda akan membuat keystore baru sebelum masa berlaku sertifikat saat ini berakhir, lalu mengupdate host virtual atau endpoint target agar dapat menggunakan keystore baru sehingga Anda dapat terus melayani permintaan tanpa gangguan karena sertifikat yang sudah tidak berlaku. Anda kemudian dapat menghapus keystore lama setelah memastikan bahwa keystore baru berfungsi dengan benar.

Untuk deployment Edge berbasis Cloud:

1. Buat keystore baru lalu upload sertifikat dan kunci seperti yang dijelaskan dalam Membuat keystore dan truststore menggunakan UI Edge.

   Di keystore baru, pastikan Anda menggunakan nama yang sama untuk alias kunci seperti yang digunakan di key store yang sudah ada.

2. Untuk host virtual yang digunakan oleh koneksi masuk, artinya permintaan API ke Edge:
   1. Jika host virtual Anda menggunakan referensi ke keystore, perbarui referensi tersebut.
   2. Jika host virtual Anda menggunakan nama langsung keystore, hubungi Dukungan Apigee Edge.
3. Untuk endpoint/server target target yang digunakan oleh koneksi keluar, yang berarti dari Apigee ke server backend:
   1. Jika endpoint/server target target menggunakan referensi ke keystore, perbarui referensi tersebut. Penerapan ulang proxy tidak diperlukan.
   2. Jika endpoint/server target target menggunakan variabel alur, perbarui variabel alur. Tidak perlu deployment ulang proxy.

   3. Jika endpoint/server target target menggunakan nama langsung keystore, perbarui konfigurasi server target/endpoint target untuk proxy API apa pun yang mereferensikan keystore dan alias kunci lama agar mereferensikan keystore dan alias kunci baru.

      Kemudian, Anda harus men-deploy ulang proxy.

4. Setelah mengonfirmasi bahwa keystore baru berfungsi dengan benar, hapus keystore lama dengan sertifikat dan kunci yang sudah tidak berlaku.

Memperbarui sertifikat TLS di truststore

Saat sertifikat di truststore berakhir, Anda biasanya membuat truststore baru dan mengupload sertifikat, lalu mengupdate host virtual atau endpoint server/target target agar dapat menggunakan truststore baru.

Jika sertifikat adalah bagian dari rantai, Anda harus membuat satu file yang berisi semua sertifikat dan mengupload file tersebut ke satu alias, atau mengupload semua sertifikat dalam rantai tersebut secara terpisah ke truststore menggunakan alias yang berbeda untuk setiap sertifikat.

Biasanya, Anda membuat truststore baru sebelum masa berlaku sertifikat saat ini berakhir, lalu memperbarui host virtual atau endpoint target untuk menggunakan truststore baru sehingga Anda dapat terus melayani permintaan tanpa gangguan karena sertifikat yang habis masa berlakunya. Selanjutnya, Anda dapat menghapus truststore lama setelah memastikan truststore baru berfungsi dengan benar.

Untuk deployment Edge berbasis Cloud:

1. Buat truststore baru lalu upload sertifikat seperti yang dijelaskan dalam Membuat keystore dan truststore menggunakan UI Edge.

   Saat Anda mengupload sertifikat baru ke truststore baru, nama alias tidak akan berpengaruh.

2. Untuk host virtual yang digunakan oleh koneksi masuk, artinya permintaan API ke Edge:
   1. Jika host virtual Anda menggunakan referensi ke truststore, perbarui referensi tersebut.
   2. Jika host virtual Anda menggunakan nama langsung dari truststore, hubungi Dukungan Apigee Edge.
3. Untuk endpoint/server target target yang digunakan oleh koneksi keluar, yang berarti dari Apigee ke server backend:
   1. Jika endpoint/server target target menggunakan referensi ke truststore, perbarui referensi tersebut. Penerapan ulang proxy tidak diperlukan.
   2. Jika endpoint/server target target menggunakan variabel alur, perbarui variabel alur. Tidak perlu deployment ulang proxy.

   3. Jika endpoint/server target target menggunakan nama langsung truststore, perbarui konfigurasi server target/endpoint target untuk semua proxy API yang merujuk truststore lama agar mereferensikan keystore dan alias kunci baru.

      Kemudian, Anda harus men-deploy ulang proxy.

4. Setelah mengonfirmasi bahwa truststore baru Anda berfungsi dengan benar, hapus truststore lama dengan sertifikat yang sudah tidak berlaku.