Aggiornare un certificato TLS per il cloud

Stai visualizzando la documentazione di Apigee Edge.
Vai alla documentazione di Apigee X. info

Il metodo che utilizzi per specificare il nome dell'archivio chiavi e dell'archivio chiavi nell'host virtuale o l'endpoint/server di destinazione determina il modo in cui esegui l'aggiornamento del certificato. Puoi specificare il nome del keystore e del truststore utilizzando:

  • Riferimenti - preferiti
  • Nomi diretti
  • Variabili di flusso

Ciascuno di questi metodi ha ripercussioni diverse sul processo di aggiornamento dei certificati, come descritto in la tabella seguente.

Tipo di configurazione Come aggiornare/sostituire un certificato Come aggiornare l'host virtuale, l'endpoint di destinazione/il server di destinazione
Riferimento (consigliato)

Per un archivio chiavi, crea un nuovo archivio chiavi con un nuovo nome e un alias con stesso nome del vecchio alias.

Per un truststore, crea un truststore con un nuovo nome.

 Aggiorna il riferimento al keystore o al truststore.

Non è necessario contattare l'assistenza Apigee Edge.
Variabili di flusso (solo endpoint di destinazione)

Per un archivio chiavi, crea un nuovo archivio chiavi con un nuovo nome e un alias con con lo stesso nome o con un nuovo nome.

Per un archivio attendibilità, crea un archivio attendibilità con un nuovo nome.

Passa una variabile di flusso aggiornata su ogni richiesta con il nome del nuovo archivio chiavi, alias o archivio attendibilità.

Non è necessario contattare l'assistenza Apigee Edge.
Diretto Creare un nuovo archivio chiavi, alias o archivio attendibilità.

Per gli host virtuali, contatta l'assistenza Apigee Edge per riavviare i router.

Se l'archivio attendibili è utilizzato da un endpoint/server di destinazione, esegui nuovamente il deployment del proxy.
Diretto Elimina l'archivio chiavi o l'archivio attendibili e ricrealo con lo stesso nome.

Non è necessario alcun aggiornamento dell'host virtuale. Tuttavia, le richieste API non vanno a buon fine finché il nuovo archivio chiavi e .

Se l'archivio chiavi viene utilizzato per il TLS bidirezionale tra Edge e il servizio di backend, Contatta l'assistenza Apigee Edge per riavviare i processori di messaggi.
Diretto Solo per il truststore, carica un nuovo certificato nel truststore.

Per gli host virtuali, contatta l'assistenza Apigee Edge per riavviare i router Edge.

Se il truststore viene utilizzato da un endpoint/server di destinazione, contatta l'assistenza Apigee Edge per riavviare i Message Processor.

Test del certificato prima e dopo l'aggiornamento

Utilizza i seguenti comandi openssl per testare il certificato corrente prima di aggiornarlo:

echo | openssl s_client -servername HOSTNAME -connect ORG-ENV.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

dove HOSTNAME è l'alias host e ORG-ENV è l'organizzazione e l'ambiente. Ad esempio:

echo | openssl s_client -servername example.com -connect myOrg-prod.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

Dovresti vedere l'output nel seguente formato:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

Utilizza lo stesso comando dopo aver aggiornato il certificato per testarlo.

Determinare in che modo l'host virtuale o l'endpoint/il server di destinazione fa riferimento all'archivio chiavi e archivio attendibilità

  1. Accedi alla UI di gestione Edge all'indirizzo https://enterprise.apigee.com.
  2. Nel menu dell'interfaccia utente di gestione di Edge, seleziona il nome della tua organizzazione.
  3. Per un host virtuale, determina in che modo l'host virtuale specifica il keystore e il truststore.
    1. A seconda della versione dell'interfaccia utente di Edge:
      1. Se utilizzi l'interfaccia utente classica di Edge: seleziona API > Configurazione dell'ambiente.
      2. Se utilizzi la nuova UI di Edge: seleziona Amministrazione > ambienti.
    2. Seleziona la scheda Host virtuali.
    3. Per l'host virtuale specifico che stai aggiornando, seleziona Mostra per visualizzarne le proprietà. Il display include le seguenti proprietà:
      1. Keystore: il nome del keystore corrente, in genere specificato come riferimento nel formato ref://mykeystoreref.

        In alternativa, potrebbe essere specificato da un nome diretto, nel modulo myKeystoreName o potrebbe essere specificato da una variabile di flusso, in formato {ssl.keystore}.
      2. Alias chiave. Il valore di questa proprietà è il nome alias nella un archivio chiavi. Il nuovo archivio chiavi deve creare un alias con lo stesso nome.
      3. Truststore: il nome dell'eventuale truststore corrente, in genere specificato come riferimento in from ref://mytruststoreref.

        In alternativa, può essere specificato tramite un nome diretto, nel formato myTruststoreName, o tramite una variabile di flusso, nel formato {ssl.truststorestore}.
  4. Per un endpoint/server di destinazione, determina in che modo l'endpoint di destinazione specifica l'archivio chiavi e l'archivio chiavi:
    1. Nel menu dell'interfaccia utente di gestione di Edge, seleziona API.
    2. Seleziona il nome del proxy API.
    3. Seleziona la scheda Sviluppo.
    4. In Endpoint di destinazione seleziona valore predefinito.
    5. Nell'area del codice viene visualizzata la definizione di TargetEndpoint. Esamina l'elemento <SSLInfo> per vedere come è definito l'archivio chiavi/l'archivio attendibile.

      Nota: se l'endpoint di destinazione utilizza un server di destinazione, la definizione XML dell'endpoint di destinazione viene visualizzata come mostrato di seguito, dove il tag <LoadBalancer> specifica i server di destinazione utilizzati dal proxy API. 
      <TargetEndpoint name="default">
  …
  <HTTPTargetConnection>
    <LoadBalancer>
      <Server name="target1" />
      <Server name="target2" />
    </LoadBalancer>
    <Path>/test</Path>
  </HTTPTargetConnection>
    …
</TargetEndpoint>
       Esamina l'elemento <SSLInfo> nella definizione del server di destinazione per determinare come viene definito il keystore/truststore.

Aggiornare un certificato TLS in un archivio chiavi

Quando un certificato in un keystore scade, non puoi caricarne uno nuovo nel keystore. Invece, crea un nuovo archivio chiavi e carica il certificato, quindi aggiorna gli host virtuali o il server/destinazione per utilizzare il nuovo archivio chiavi.

In genere, si crea un nuovo archivio chiavi prima della scadenza del certificato attuale e poi si aggiorna agli host virtuali o agli endpoint di destinazione di utilizzare il nuovo archivio chiavi in modo da poter continuare richieste di servizio senza interruzioni a causa di un certificato scaduto. Puoi quindi eliminare il vecchio dopo aver verificato che il nuovo archivio chiavi funzioni correttamente.

Per un deployment di Edge basato su cloud:

  1. Crea un nuovo archivio chiavi e carica un certificato e una chiave come descritto in Creare archivi chiavi e truststore utilizzando l'interfaccia utente di Edge.

    Nel nuovo archivio chiavi, assicurati di utilizzare per l'alias di chiave lo stesso nome usato nell'archivio chiavi l'archivio chiavi esistente.

  2. Per un host virtuale utilizzato da una connessione in entrata, ovvero una richiesta API in Edge:
    1. Se l'host virtuale utilizza un riferimento all'archivio chiavi, aggiorna il riferimento.
    2. Se il tuo host virtuale utilizza un nome diretto del keystore, contatta l'assistenza Apigee Edge.
  3. Per un endpoint/server di destinazione utilizzato da una connessione in uscita, ovvero da Apigee a un server di backend:
    1. Se l'endpoint/il server di destinazione utilizza un riferimento al keystore, aggiorna il riferimento. Non è necessario il ricollocamento dei proxy.
    2. Se l'endpoint/server di destinazione utilizza una variabile di flusso, aggiornala. No è necessario eseguire nuovamente il deployment del proxy.

    3. Se l'endpoint/il server di destinazione utilizza un nome diretto dell'archivio chiavi, aggiorna il valore configurazione endpoint/server di destinazione per eventuali proxy API che facevano riferimento al precedente un archivio chiavi e un alias di chiave per fare riferimento al nuovo archivio chiavi e all'alias della chiave.

      Devi quindi eseguire nuovamente il deployment del proxy.

  4. Dopo aver verificato che il nuovo keystore funzioni correttamente, elimina il vecchio keystore con il certificato e la chiave scaduti.

Aggiorna un certificato TLS in un archivio attendibilità

Quando un certificato in un truststore scade, in genere crei un nuovo truststore e carichi il certificato, quindi aggiorni gli host virtuali o il server di destinazione/l'endpoint di destinazione in modo che utilizzino il nuovo truststore.

Se un certificato fa parte di una catena, devi creare un unico file contenente tutti i certificati e caricarlo in un singolo alias oppure caricare tutti i certificati della catena separatamente nel truststore utilizzando un alias diverso per ogni certificato.

In genere, crei un nuovo truststore prima della scadenza del certificato corrente e poi aggiorni i tuoi host virtuali o gli endpoint di destinazione in modo che utilizzino il nuovo truststore, in modo da poter continuare a gestire le richieste di servizio senza interruzioni a causa di un certificato scaduto. Dopo aver verificato che il nuovo truststore funzioni correttamente, puoi eliminare quello precedente.

Per un deployment di Edge basato su cloud:

  1. Crea un nuovo archivio attendibilità e carica un certificato come descritto in Creazione di archivi chiavi e archivi attendibili mediante l'interfaccia utente Edge.

    Quando carichi il nuovo certificato nel nuovo archivio attendibilità, il nome dell'alias non è importante.

  2. Per un host virtuale utilizzato da una connessione in entrata, ovvero un'API richiesta a Edge:
    1. Se l'host virtuale utilizza un riferimento al truststore, aggiornalo.
    2. Se il tuo host virtuale utilizza un nome diretto di truststore, contatta l'assistenza Apigee Edge.
  3. Per un endpoint/server di destinazione utilizzato da una connessione in uscita, vale a dire da Apigee a un server di backend:
    1. Se l'endpoint/il server di destinazione utilizza un riferimento al truststore, aggiorna il riferimento. Non è necessario eseguire nuovamente il deployment del proxy.
    2. Se l'endpoint/server di destinazione utilizza una variabile di flusso, aggiornala. No è necessario eseguire nuovamente il deployment del proxy.

    3. Se l'endpoint/il server di destinazione utilizza un nome diretto dell'archivio attendibili, aggiorna la configurazione dell'endpoint/del server di destinazione per tutti i proxy API che fanno riferimento il vecchio archivio attendibilità per fare riferimento al nuovo archivio chiavi e all'alias della chiave.

      Dovrai quindi eseguire nuovamente il deployment del proxy.

  4. Dopo aver verificato che il nuovo archivio attendibilità funziona correttamente, elimina il vecchio truststore con il certificato scaduto.