Aggiornare un certificato TLS per il cloud

Stai visualizzando la documentazione di Apigee Edge.
Vai alla documentazione di Apigee X. informazioni

Il metodo che utilizzi per specificare il nome dell'archivio chiavi e dell'archivio attendibilità nell'host virtuale o nel server di destinazione/endpoint di destinazione determina le modalità di esecuzione dell'aggiornamento dei certificati. Puoi specificare il nome dell'archivio chiavi e dell'archivio attendibilità utilizzando:

• Riferimenti - preferiti
• Nomi diretti
• Variabili di flusso

Ciascuno di questi metodi ha ripercussioni diverse sul processo di aggiornamento dei certificati, come descritto nella tabella riportata di seguito.

Tipo di configurazione	Come aggiornare/sostituire un certificato	Come aggiornare l'host virtuale, l'endpoint di destinazione/il server di destinazione
Riferimento (consigliato)	Per un archivio chiavi, crea un nuovo archivio chiavi con un nuovo nome e un alias con lo stesso nome dell'alias precedente. Crea un archivio attendibilità con un nuovo nome.	Aggiorna il riferimento all'archivio chiavi o all'archivio attendibilità. Non è necessario contattare l'assistenza Apigee Edge.
Variabili di flusso (solo endpoint di destinazione)	Per un archivio chiavi, crea un nuovo archivio chiavi con un nuovo nome e un alias con lo stesso nome o un nuovo nome. Crea un archivio attendibilità con un nuovo nome.	Passa la variabile di flusso aggiornata per ogni richiesta con il nome del nuovo archivio chiavi, alias o truststore. Non è necessario contattare l'assistenza Apigee Edge.
Diretto	Crea un nuovo archivio chiavi, un nuovo alias o un nuovo archivio di attendibilità.	Per gli host virtuali, contatta l'assistenza Apigee Edge per riavviare i router. Se l'archivio attendibilità viene utilizzato da un endpoint/server di destinazione, esegui nuovamente il deployment del proxy.
Diretto	Elimina l'archivio chiavi o l'archivio attendibilità e ricrealo con lo stesso nome.	Non è necessario aggiornare l'host virtuale. Tuttavia, le richieste API non vanno a buon fine finché non vengono impostati i nuovi archivi chiavi e alias. Se l'archivio chiavi viene utilizzato per TLS bidirezionale tra Edge e il servizio di backend, contatta l'assistenza Apigee Edge per riavviare i processori di messaggi.
Diretto	Solo per l'archivio attendibilità, carica un nuovo certificato nell'archivio attendibilità.	Per gli host virtuali, contatta l'assistenza Apigee Edge per riavviare i router Edge. Se l'archivio attendibilità viene utilizzato da un endpoint/server di destinazione, contatta l'assistenza Apigee Edge per riavviare i processori di messaggi.

Test del certificato prima e dopo l'aggiornamento

Utilizza i seguenti comandi openssl per testare il certificato attuale prima di aggiornarlo:

echo | openssl s_client -servername HOSTNAME -connect ORG-ENV.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

dove HOSTNAME è l'alias host e ORG-ENV è l'organizzazione e l'ambiente. Ad esempio:

echo | openssl s_client -servername example.com -connect myOrg-prod.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

Dovresti vedere l'output nel formato:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

Usa lo stesso comando dopo aver aggiornato il certificato per testarlo.

Determina il modo in cui l'host virtuale o l'endpoint/server di destinazione fa riferimento all'archivio chiavi e all'archivio attendibilità

1. Accedi all'interfaccia utente di gestione perimetrale all'indirizzo https://enterprise.apigee.com.
2. Nel menu dell'interfaccia utente di Gestione perimetrale, seleziona il nome della tua organizzazione.
3. Per un host virtuale, determina in che modo l'host virtuale specifica l'archivio chiavi e l'archivio attendibilità.
   1. A seconda della versione dell'interfaccia utente Edge:
      1. Se utilizzi l'UI classica di Edge: seleziona API > Configurazione dell'ambiente.
      2. Se usi la nuova UI di Edge: seleziona Amministrazione > Ambienti.
   2. Seleziona la scheda Host virtuali.
   3. Per l'host virtuale specifico che stai aggiornando, seleziona il pulsante Mostra per visualizzarne le proprietà. La visualizzazione include le seguenti proprietà:
      1. Archivio chiavi: il nome dell'archivio chiavi corrente, in genere specificato come riferimento nel campo ref://mykeystoreref.
         
         In alternativa, può essere specificato da un nome diretto, nel formato myKeystoreName, oppure da una variabile di flusso, nel formato {ssl.keystore}.
      2. Alias chiave. Il valore di questa proprietà è il nome dell'alias nell'archivio chiavi. Il nuovo archivio chiavi deve creare un alias con lo stesso nome.
      3. Archivio attendibilità: il nome dell'archivio attendibilità corrente, se presente, generalmente specificato come riferimento nel documento ref://mytruststoreref.
         
         In alternativa, può essere specificato da un nome diretto, nel formato myTruststoreName, oppure da una variabile di flusso, nel formato {ssl.truststorestore}.
4. Per un endpoint di destinazione o un server di destinazione, determina in che modo l'endpoint di destinazione specifica l'archivio chiavi e l'archivio attendibilità:
   1. Nel menu dell'interfaccia utente di Gestione perimetrale, seleziona API.
   2. Seleziona il nome del proxy API.
   3. Seleziona la scheda Sviluppo.
   4. In Endpoint di destinazione, seleziona predefinito.
   5. Nell'area del codice viene visualizzata la definizione TargetEndpoint. Esamina l'elemento <SSLInfo> per vedere come viene definito l'archivio chiavi o l'archivio attendibilità.
      
      Nota: se l'endpoint di destinazione utilizza un server di destinazione, la definizione XML dell'endpoint di destinazione viene visualizzata come segue, dove il tag <LoadBalancer> specifica i server di destinazione utilizzati dal proxy API.

      <TargetEndpoint name="default">
        …
        <HTTPTargetConnection>
          <LoadBalancer>
            <Server name="target1" />
            <Server name="target2" />
          </LoadBalancer>
          <Path>/test</Path>
        </HTTPTargetConnection>
          …
      </TargetEndpoint>

      Esamina l'elemento <SSLInfo> nella definizione del server di destinazione per determinare in che modo vengono definiti l'archivio chiavi/l'archivio attendibilità.

Aggiorna un certificato TLS in un archivio chiavi

Quando un certificato in un archivio chiavi scade, non puoi caricarne uno nuovo nell'archivio chiavi. Puoi invece creare un nuovo archivio chiavi e caricare il certificato, quindi aggiornare gli host virtuali o l'endpoint server/target di destinazione in modo che utilizzi il nuovo archivio chiavi.

In genere, devi creare un nuovo archivio chiavi prima della scadenza del certificato attuale, quindi aggiornare gli host virtuali o gli endpoint di destinazione in modo che utilizzino il nuovo archivio chiavi, così da poter continuare a gestire le richieste di servizio senza interruzioni a causa di un certificato scaduto. Puoi quindi eliminare il vecchio archivio chiavi dopo aver verificato il corretto funzionamento del nuovo archivio chiavi.

Per un deployment di Edge basato su cloud:

1. Crea un nuovo archivio chiavi e carica un certificato e una chiave come descritto in Creazione di keystore e truststore mediante l'interfaccia utente Edge.

   Nel nuovo archivio chiavi, assicurati di utilizzare per l'alias chiave lo stesso nome utilizzato nell'archivio chiavi esistente.

2. Per un host virtuale utilizzato da una connessione in entrata, ovvero una richiesta API in Edge:
   1. Se l'host virtuale utilizza un riferimento all'archivio chiavi, aggiornalo.
   2. Se l'host virtuale utilizza un nome diretto dell'archivio chiavi, contatta l'assistenza Apigee Edge.
3. Per un endpoint/server di destinazione utilizzato da una connessione in uscita, ovvero da Apigee a un server di backend:
   1. Se l'endpoint o il server di destinazione utilizza un riferimento all'archivio chiavi, aggiorna il riferimento. Non è necessario ripetere il deployment del proxy.
   2. Se l'endpoint/server di destinazione utilizza una variabile di flusso, aggiornala. Non è necessario ripetere il deployment del proxy.

   3. Se l'endpoint o il server di destinazione di destinazione utilizza un nome diretto dell'archivio chiavi, aggiorna la configurazione dell'endpoint o del server di destinazione per tutti i proxy API che facevano riferimento all'archivio chiavi e all'alias chiave precedenti in modo che facciano riferimento al nuovo archivio chiavi e al nuovo alias chiave.

      Devi quindi eseguire nuovamente il deployment del proxy.

4. Dopo aver verificato che il nuovo archivio chiavi funziona correttamente, elimina quello precedente con il certificato e la chiave scaduti.

Aggiorna un certificato TLS in un archivio attendibilità

Quando un certificato in un archivio attendibilità scade, in genere devi creare un nuovo archivio attendibilità e caricare il certificato, quindi aggiornare gli host virtuali o l'endpoint del server/di destinazione di destinazione in modo che utilizzi il nuovo archivio attendibilità.

Se un certificato fa parte di una catena, devi creare un singolo file contenente tutti i certificati e caricare il file su un singolo alias oppure caricare separatamente tutti i certificati della catena nell'archivio di attendibilità utilizzando un alias diverso per ciascun certificato.

In genere, devi creare un nuovo archivio attendibilità prima della scadenza del certificato corrente, quindi aggiornare gli host virtuali o gli endpoint di destinazione in modo che utilizzino il nuovo archivio attendibilità, in modo da poter continuare a gestire le richieste di servizio senza interruzioni a causa di un certificato scaduto. Puoi quindi eliminare l'archivio attendibilità precedente dopo aver verificato che il nuovo archivio attendibilità funzioni correttamente.

Per un deployment di Edge basato su cloud:

1. Crea un nuovo archivio attendibilità e carica un certificato come descritto in Creare un archivio chiavi e un archivio attendibilità utilizzando l'interfaccia utente Edge.

   Quando carichi il nuovo certificato nel nuovo truststore, il nome dell'alias non è importante.

2. Per un host virtuale utilizzato da una connessione in entrata, ovvero una richiesta API in Edge:
   1. Se l'host virtuale utilizza un riferimento all'archivio attendibilità, aggiornalo.
   2. Se l'host virtuale utilizza un nome diretto del truststore, contatta l'assistenza Apigee Edge.
3. Per un endpoint/server di destinazione utilizzato da una connessione in uscita, ovvero da Apigee a un server di backend:
   1. Se l'endpoint/server di destinazione utilizza un riferimento all'archivio attendibilità, aggiorna il riferimento. Non è necessario ripetere il deployment del proxy.
   2. Se l'endpoint/server di destinazione utilizza una variabile di flusso, aggiornala. Non è necessario ripetere il deployment del proxy.

   3. Se il server di destinazione/endpoint di destinazione utilizza un nome diretto dell'archivio attendibilità, aggiorna la configurazione dell'endpoint/server di destinazione per tutti i proxy API che facevano riferimento all'archivio attendibilità precedente in modo che faccia riferimento al nuovo archivio chiavi e all'alias chiave.

      Devi quindi eseguire nuovamente il deployment del proxy.

4. Dopo aver verificato che il nuovo archivio attendibilità funziona correttamente, elimina quello precedente con il certificato scaduto.