이 페이지는 Cloud Translation API를 통해 번역되었습니다.

클라우드의 TLS 인증서 업데이트

현재 Apigee Edge 문서가 표시되고 있습니다.
Apigee X 문서로 이동 정보

가상 호스트 또는 대상 엔드포인트/대상 서버에서 키 저장소 및 트러스트 저장소의 이름을 지정하는 데 사용하는 방법은 인증서 업데이트 수행 방법을 결정합니다. 다음을 사용하여 키 저장소 및 트러스트 저장소의 이름을 지정할 수 있습니다.

참조 - 권장
직접 이름
흐름 변수

다음 표에 설명된 것처럼 이러한 메서드마다 인증서 업데이트 프로세스에 미치는 영향이 다릅니다.

구성 유형	인증서 업데이트/교체 방법	가상 호스트, 대상 엔드포인트/대상 서버를 업데이트하는 방법
참조 (권장)	키 저장소의 경우 새 이름과 이전 별칭과 동일한 이름의 별칭으로 새 키 저장소를 생성합니다. 트러스트 저장소의 경우 새 이름으로 트러스트 저장소를 만듭니다.	키 저장소 또는 트러스트 저장소 참조를 업데이트합니다. Apigee Edge 지원팀에 문의할 필요가 없습니다.
흐름 변수(대상 엔드포인트만 해당)	키 저장소의 경우 새 이름과 같은 이름이나 새 이름의 별칭으로 새 키 저장소를 생성합니다. 트러스트 저장소의 경우 새 이름으로 트러스트 저장소를 만듭니다.	새 키 저장소, 별칭 또는 트러스트 저장소 이름과 함께 각 요청의 업데이트된 흐름 var를 전달합니다. Apigee Edge 지원팀에 문의할 필요가 없습니다.
직접	새 키 저장소, 별칭, 트러스트 저장소를 만듭니다.	가상 호스트의 경우 Apigee Edge 지원팀에 문의하여 라우터를 다시 시작하세요. 트러스트 저장소가 대상 엔드포인트/대상 서버에서 사용되는 경우 프록시를 다시 배포합니다.
직접	키 저장소 또는 트러스트 저장소를 삭제하고 동일한 이름으로 다시 생성합니다.	가상 호스트를 업데이트할 필요는 없습니다. 그러나 API 요청은 새 키 저장소와 별칭을 설정할 때까지 실패합니다. Edge와 백엔드 서비스 간의 양방향 TLS에 키 저장소가 사용되는 경우 Apigee Edge 지원팀에 문의하여 메시지 프로세서를 다시 시작하세요.
직접	트러스트 저장소의 경우에만 트러스트 저장소에 새 인증서를 업로드합니다.	가상 호스트의 경우 Apigee Edge 지원팀에 문의하여 에지 라우터를 다시 시작하세요. 대상 엔드포인트/대상 서버에서 truststore를 사용하는 경우 Apigee Edge 지원팀에 문의하여 메시지 프로세서를 다시 시작하세요.

업데이트 전후에 인증서 테스트

업데이트하기 전에 다음 openssl 명령어를 사용하여 현재 인증서를 테스트합니다.

echo | openssl s_client -servername HOSTNAME -connect ORG-ENV.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

여기서 HOSTNAME은 호스트 별칭이고 ORG-ENV은 조직 및 환경입니다. 예를 들면 다음과 같습니다.

echo | openssl s_client -servername example.com -connect myOrg-prod.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

다음과 같은 형식으로 출력이 표시됩니다.

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

인증서를 업데이트한 후 동일한 명령어를 사용하여 테스트합니다.

가상 호스트 또는 대상 엔드포인트/대상 서버가 키 저장소 및 트러스트 저장소를 참조하는 방법 확인

https://enterprise.apigee.com에서 에지 관리 UI에 로그인합니다.
에지 관리 UI 메뉴에서 조직 이름을 선택합니다.
가상 호스트의 경우 가상 호스트가 키 저장소와 트러스트 저장소를 지정하는 방법을 결정합니다.
1. Edge UI 버전에 따라 다음 안내를 따르세요.
  1. 기본 Edge UI를 사용하는 경우: API > 환경 구성을 선택합니다.
  2. 새 Edge UI를 사용하는 경우: 관리자 > 환경을 선택합니다.
2. Virtual Hosts(가상 호스트) 탭을 선택합니다.
3. 업데이트할 특정 가상 호스트의 경우 Show 버튼을 선택하여 속성을 표시합니다. 디스플레이에는 다음과 같은 속성이 포함됩니다.
  1. 키 저장소: 현재 키 저장소의 이름으로, 일반적으로 ref://mykeystoreref의 참조로 지정됩니다.
    
    또는 myKeystoreName 형식의 직접적인 이름으로 지정되거나 흐름 변수에서 {ssl.keystore} 형태로 지정될 수 있습니다.
  2. 키 별칭. 이 속성의 값은 키 저장소의 별칭 이름입니다. 새 키 저장소는 같은 이름의 별칭을 만들어야 합니다.
  3. Trust Store: 현재 트러스트 저장소 이름(있는 경우)으로, 일반적으로 ref://mytruststoreref의 참조로 지정됩니다.
    
    또는 myTruststoreName 형식의 직접적인 이름으로 지정되거나 흐름 변수에서 {ssl.truststorestore} 형태로 지정될 수 있습니다.
대상 엔드포인트/대상 서버의 경우 대상 엔드포인트에서 키 저장소와 트러스트 저장소를 지정하는 방법을 결정합니다.
1. 에지 관리 UI 메뉴에서 API를 선택합니다.
2. API 프록시의 이름을 선택합니다.
3. 개발 탭을 선택합니다.
4. 대상 엔드포인트에서 기본값을 선택합니다.
5. 코드 영역에 TargetEndpoint 정의가 표시됩니다. <SSLInfo> 요소를 살펴보고 키 저장소/truststore가 정의된 방식을 확인합니다.
  
  참고: 대상 엔드포인트가 대상 서버를 사용하는 경우 대상 엔드포인트의 XML 정의는 아래와 같이 표시됩니다. 여기서 <LoadBalancer> 태그는 API 프록시에서 사용하는 대상 서버를 지정합니다.
```
<TargetEndpoint name="default">
  …
  <HTTPTargetConnection>
    <LoadBalancer>
      <Server name="target1" />
      <Server name="target2" />
    </LoadBalancer>
    <Path>/test</Path>
  </HTTPTargetConnection>
    …
</TargetEndpoint>
```
  대상 서버 정의에서 <SSLInfo> 요소를 살펴보고 키 저장소/truststore가 정의되는 방식을 결정합니다.

키 저장소의 TLS 인증서 업데이트

키 저장소의 인증서가 만료되면 키 저장소에 새 인증서를 업로드할 수 없습니다. 대신 새 키 저장소를 만들고 인증서를 업로드한 다음 가상 호스트 또는 대상 서버/대상 엔드포인트를 업데이트하여 새 키 저장소를 사용합니다.

일반적으로 현재 인증서가 만료되기 전에 새 키 저장소를 생성한 다음 가상 호스트 또는 대상 엔드포인트를 업데이트하여 새 키 저장소를 사용하도록 합니다. 그러면 만료된 인증서로 인해 중단 없이 요청을 계속 처리할 수 있습니다. 그런 다음 새 키 저장소가 올바르게 작동하는지 확인한 후 이전 키 저장소를 삭제하면 됩니다.

클라우드 기반 Edge 배포의 경우:

Edge UI를 사용하여 키 저장소 및 truststore 만들기에 설명된 대로 새 키 저장소를 만들고 인증서와 키를 업로드합니다.

새 키 저장소에서 기존 키 저장소에 사용된 것과 동일한 키 별칭 이름을 사용해야 합니다.
인바운드 연결에서 사용하는 가상 호스트(Edge에 대한 API 요청):
1. 가상 호스트가 키 저장소에 대한 참조를 사용하는 경우 참조를 업데이트합니다.
2. 가상 호스트에서 키 저장소의 직접 이름을 사용하는 경우 Apigee Edge 지원팀에 문의하세요.
아웃바운드 연결에 사용되는 대상 엔드포인트/대상 서버(Apigee에서 백엔드 서버로의 경우):
1. 대상 엔드포인트/대상 서버가 키 저장소에 대한 참조를 사용하는 경우 참조를 업데이트합니다. 프록시 재배포는 필요하지 않습니다.
2. 대상 엔드포인트/대상 서버가 흐름 변수를 사용하는 경우 흐름 변수를 업데이트합니다. 프록시 재배포는 필요하지 않습니다.
3. 대상 엔드포인트/대상 서버가 키 저장소의 직접적인 이름을 사용하는 경우 이전 키 저장소 및 키 별칭을 참조한 모든 API 프록시의 대상 엔드포인트/대상 서버 구성을 업데이트하여 새 키 저장소 및 키 별칭을 참조하도록 합니다.
  
  그런 다음 프록시를 다시 배포해야 합니다.
새 키 저장소가 올바르게 작동하는지 확인한 후 만료된 인증서와 키가 있는 이전 키 저장소를 삭제합니다.

트러스트 저장소에서 TLS 인증서 업데이트

트러스트 저장소의 인증서가 만료되면 일반적으로 새 트러스트 저장소를 만들고 인증서를 업로드한 다음 새 트러스트 저장소를 사용하도록 가상 호스트 또는 대상 서버/대상 엔드포인트를 업데이트합니다.

인증서가 체인의 일부인 경우 모든 인증서가 포함된 단일 파일을 만들어 이 파일을 단일 별칭에 업로드하거나, 인증서마다 다른 별칭을 사용하여 체인의 모든 인증서를 개별적으로 트러스트 저장소에 업로드해야 합니다.

일반적으로 현재 인증서가 만료되기 전에 새 트러스트 저장소를 만든 다음 가상 호스트 또는 대상 엔드포인트를 업데이트하여 새 트러스트 저장소를 사용하도록 합니다. 그러면 만료된 인증서로 인해 중단 없이 요청을 계속 처리할 수 있습니다. 그런 다음 새 트러스트 저장소가 올바르게 작동하는지 확인한 후 이전 트러스트 저장소를 삭제하면 됩니다.

클라우드 기반 Edge 배포의 경우:

Edge UI를 사용하여 키 저장소 및 트러스트 저장소 만들기에 설명된 대로 새 트러스트 저장소를 만들고 인증서를 업로드합니다.

새 트러스트를 새 트러스트 저장소에 업로드할 때 별칭 이름은 중요하지 않습니다.
인바운드 연결에서 사용하는 가상 호스트(Edge에 대한 API 요청):
1. 가상 호스트가 트러스트 저장소에 대한 참조를 사용하는 경우 참조를 업데이트합니다.
2. 가상 호스트에서 트러스트 저장소의 직접 이름을 사용하는 경우 Apigee Edge 지원팀에 문의하세요.
아웃바운드 연결에 사용되는 대상 엔드포인트/대상 서버(Apigee에서 백엔드 서버로의 경우):
1. 대상 엔드포인트/대상 서버가 트러스트 저장소에 대한 참조를 사용하는 경우 참조를 업데이트합니다. 프록시 재배포는 필요하지 않습니다.
2. 대상 엔드포인트/대상 서버가 흐름 변수를 사용하는 경우 흐름 변수를 업데이트합니다. 프록시 재배포는 필요하지 않습니다.
3. 대상 엔드포인트/대상 서버가 트러스트 저장소의 직접 이름을 사용하는 경우 이전 트러스트 저장소를 참조한 API 프록시의 대상 엔드포인트/대상 서버 구성을 업데이트하여 새 키 저장소 및 키 별칭을 참조합니다.
  
  그런 다음 프록시를 다시 배포해야 합니다.
새 트러스트 저장소가 올바르게 작동하는지 확인한 후 만료된 인증서가 있는 이전 트러스트 저장소를 삭제합니다.