Przeglądasz dokumentację Apigee Edge.
Otwórz dokumentację Apigee X. Informacje
Sposób aktualizacji certyfikatu zależy od metody, której używasz do określenia nazwy magazynu kluczy i magazynu zaufanych certyfikatów na hoście wirtualnym lub docelowym punkcie końcowym/serwerze docelowym. Nazwę magazynu kluczy i magazynu zaufania możesz określić za pomocą:
- Pliki referencyjne – preferowane
- Nazwy bezpośrednie
- Zmienne przepływu
Każda z tych metod ma inny wpływ na proces aktualizacji certyfikatu, co opisano w poniższej tabeli.
Typ konfiguracji | Jak zaktualizować lub zastąpić certyfikat | Jak zaktualizować hosta wirtualnego, docelowy punkt końcowy/serwer docelowy |
---|---|---|
Materiały referencyjne (zalecane) |
W przypadku magazynu kluczy utwórz nowy magazyn kluczy o nowej nazwie i aliasie o tej samej nazwie co stary alias. W przypadku magazynu zaufania utwórz go o nowej nazwie. |
Zaktualizuj odwołanie do magazynu kluczy lub magazynu zaufania.
Nie musisz kontaktować się z zespołem pomocy Apigee Edge. |
Zmienne przepływu (tylko docelowy punkt końcowy) |
W przypadku magazynu kluczy utwórz nowy magazyn kluczy o nowej nazwie i aliasie o tej samej lub nowej nazwie. W przypadku magazynu zaufania utwórz go o nowej nazwie. |
Przekazuj zaktualizowaną zmienną przepływu w każdym żądaniu z nazwą nowego magazynu kluczy, aliasu lub magazynu zaufanych. Nie musisz kontaktować się z zespołem pomocy Apigee Edge. |
Bezpośrednie | Utwórz nowy magazyn kluczy, alias i magazyn zaufania. |
W przypadku hostów wirtualnych skontaktuj się z zespołem pomocy Apigee Edge, aby ponownie uruchomić routery. Jeśli magazyn zaufania jest używany przez docelowy punkt końcowy lub serwer docelowy, wdróż ponownie serwer proxy. |
Bezpośrednie | Usuń magazyn kluczy lub magazyn zaufania i utwórz go ponownie pod tą samą nazwą. |
Nie jest wymagana aktualizacja hosta wirtualnego. Żądania do interfejsu API kończą się jednak niepowodzeniem, dopóki nie ustawisz nowego magazynu kluczy i aliasu. Jeśli magazyn kluczy jest używany do dwukierunkowego protokołu TLS między Edge a usługą backendu, skontaktuj się z zespołem pomocy Apigee Edge, aby ponownie uruchomić procesory wiadomości. |
Bezpośrednie | W przypadku magazynu zaufanych certyfikatów prześlij do niego nowy certyfikat. |
W przypadku hostów wirtualnych skontaktuj się z zespołem pomocy Apigee Edge, aby ponownie uruchomić routery brzegowe. Jeśli magazyn zaufania jest używany przez docelowy punkt końcowy lub serwer docelowy, skontaktuj się z zespołem pomocy Apigee Edge, aby ponownie uruchomić procesory wiadomości. |
Testowanie certyfikatu przed aktualizacją i po niej
Aby przetestować bieżący certyfikat przed jego zaktualizowaniem, użyj tych poleceń openssl
:
echo | openssl s_client -servername HOSTNAME -connect ORG-ENV.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject
gdzie HOSTNAME
to alias hosta, a ORG-ENV
to organizacja i środowisko. Na przykład:
echo | openssl s_client -servername example.com -connect myOrg-prod.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject
Dane wyjściowe powinny mieć postać:
notBefore=Dec 30 22:11:38 2015 GMT notAfter=Dec 30 22:11:38 2016 GMT subject= /OU=Domain Control Validated/CN=*.apigee.net
Po zaktualizowaniu certyfikatu do przetestowania użyj tego samego polecenia.
Określ, w jaki sposób host wirtualny lub docelowy punkt końcowy/serwer docelowy odwołuje się do magazynu kluczy i zaufanego magazynu
- Zaloguj się w interfejsie zarządzania brzegowym na https://enterprise.apigee.com.
- W menu interfejsu zarządzania brzegiem sieci wybierz nazwę swojej organizacji.
-
W przypadku hosta wirtualnego określ, jak host wirtualny określa magazyn kluczy i magazyn zaufania.
- W zależności od wersji interfejsu użytkownika Edge:
- Jeśli korzystasz z klasycznego interfejsu użytkownika Edge: wybierz Interfejsy API > Konfiguracja środowiska.
- Jeśli używasz nowego interfejsu użytkownika Edge: wybierz Administracja > Środowiska.
- Wybierz kartę Hosty wirtualne.
- W przypadku konkretnego hosta wirtualnego, który chcesz zaktualizować, kliknij przycisk Pokaż, aby wyświetlić jego właściwości. Wyświetlane właściwości mają następujące właściwości:
- Magazyn kluczy: nazwa bieżącego magazynu kluczy, zwykle określana jako odwołanie w źródle
ref://mykeystoreref
.
Możesz też podać ją bezpośrednio w postaci nazwymyKeystoreName
lub przez zmienną przepływu o postaci{ssl.keystore}
. - Alias klucza. Wartością tej właściwości jest nazwa aliasu w magazynie kluczy. Nowy magazyn kluczy musi utworzyć alias o tej samej nazwie.
- Magazyn zaufania: nazwa bieżącego magazynu zaufania (jeśli istnieje), zwykle określana jako odwołanie w obiekcie
ref://mytruststoreref
.
Możesz też podać ją bezpośrednio w postaci nazwymyTruststoreName
lub przez zmienną przepływu o postaci{ssl.truststorestore}
.
- Magazyn kluczy: nazwa bieżącego magazynu kluczy, zwykle określana jako odwołanie w źródle
- W zależności od wersji interfejsu użytkownika Edge:
-
W przypadku docelowego punktu końcowego/serwera docelowego określ, jak docelowy punkt końcowy określa magazyn kluczy i magazyn zaufanych certyfikatów:
- W menu interfejsu zarządzania urządzeniami brzegowymi wybierz Interfejsy API.
- Wybierz nazwę serwera proxy interfejsu API.
- Wybierz kartę Programowanie.
- W polu Docelowe punkty końcowe wybierz default (domyślne).
- W obszarze kodowym pojawi się definicja punktu końcowego docelowego (TargetEndpoint). Sprawdź element
<SSLInfo>
, aby zobaczyć, jak zdefiniowano magazyn kluczy lub magazyn zaufania.
Uwaga: jeśli w punkcie końcowym jest używany serwer docelowy, definicja XML tego punktu końcowego jest widoczna poniżej, gdzie tag<LoadBalancer>
określa serwery docelowe używane przez serwer proxy interfejsu API.<TargetEndpoint name="default"> … <HTTPTargetConnection> <LoadBalancer> <Server name="target1" /> <Server name="target2" /> </LoadBalancer> <Path>/test</Path> </HTTPTargetConnection> … </TargetEndpoint>
Sprawdź element<SSLInfo>
w definicji serwera docelowego, aby określić sposób definiowania magazynu kluczy/magazynu zaufania.
Aktualizowanie certyfikatu TLS w magazynie kluczy
Gdy certyfikat w magazynie kluczy utraci ważność, nie można przesłać do niego nowego certyfikatu. Zamiast tego utwórz nowy magazyn kluczy i prześlij certyfikat, a następnie zaktualizuj hosty wirtualne lub serwer docelowy/docelowy punkt końcowy tak, aby używać nowego magazynu kluczy.
Zwykle tworzysz nowy magazyn kluczy przed wygaśnięciem bieżącego certyfikatu, a następnie aktualizujesz hosty wirtualne lub docelowe punkty końcowe tak, aby używały nowego magazynu kluczy, aby można było kontynuować żądania usługi bez zakłóceń z powodu wygasłego certyfikatu. Następnie możesz usunąć stary magazyn kluczy, gdy upewnisz się, że nowy magazyn kluczy działa prawidłowo.
W przypadku wdrożenia Edge w chmurze:
Utwórz nowy magazyn kluczy i prześlij certyfikat oraz klucz zgodnie z opisem w sekcji Tworzenie magazynów kluczy i magazynu zaufanych certyfikatów przy użyciu interfejsu Edge.
W nowym magazynie kluczy upewnij się, że używasz tej samej nazwy aliasu klucza co w istniejącym magazynie kluczy.
-
W przypadku hosta wirtualnego używanego przez połączenie przychodzące, czyli żądanie interfejsu API do Edge:
- Jeśli host wirtualny korzysta z odwołania do magazynu kluczy, zaktualizuj to odwołanie.
- Jeśli host wirtualny używa bezpośredniej nazwy magazynu kluczy, skontaktuj się z zespołem pomocy Apigee Edge.
-
Docelowy punkt końcowy/serwer docelowy używany przez połączenie wychodzące, czyli z Apigee do serwera backendu:
- Jeśli docelowy punkt końcowy lub serwer docelowy używa odwołań do magazynu kluczy, zaktualizuj odwołanie. Nie jest konieczne ponowne wdrożenie serwera proxy.
- Jeśli docelowy punkt końcowy/serwer docelowy używa zmiennej przepływu, zaktualizuj zmienną przepływu. Nie jest konieczne ponowne wdrożenie serwera proxy.
Jeśli docelowy punkt końcowy/serwer docelowy używa bezpośredniej nazwy magazynu kluczy, zaktualizuj docelowy punkt końcowy/konfigurację docelowego serwera dla wszystkich serwerów proxy interfejsu API, które odwołują się do starego magazynu kluczy i aliasu kluczy, aby odwoływały się do nowego magazynu kluczy i aliasu kluczy.
Następnie musisz ponownie wdrożyć serwer proxy.
- Gdy potwierdzisz, że nowy magazyn kluczy działa prawidłowo, usuń stary magazyn kluczy z wygasłym certyfikatem i kluczem.
Aktualizowanie certyfikatu TLS w magazynie zaufania
Gdy certyfikat w magazynie zaufania utraci ważność, zwykle należy utworzyć nowy magazyn zaufania i przesłać go, a następnie zaktualizować hosty wirtualne lub serwer docelowy/docelowy punkt końcowy tak, aby używać nowego magazynu zaufania.
Jeśli certyfikat jest częścią łańcucha, musisz utworzyć jeden plik zawierający wszystkie certyfikaty i przesłać go do jednego aliasu lub przesłać wszystkie certyfikaty w łańcuchu oddzielnie do magazynu zaufania, używając osobnego aliasu dla każdego certyfikatu.
Zwykle tworzysz nowy magazyn zaufanych certyfikatów przed wygaśnięciem bieżącego certyfikatu, a następnie aktualizujesz hosty wirtualne lub docelowe punkty końcowe tak, aby używały nowego magazynu zaufanych certyfikatów. Dzięki temu będzie można kontynuować żądania usługi bez zakłóceń z powodu wygasłego certyfikatu. Po upewnieniu się, że nowy magazyn zaufania działa prawidłowo, możesz usunąć stary magazyn zaufania.
W przypadku wdrożenia Edge w chmurze:
Utwórz nowy magazyn zaufania i prześlij certyfikat zgodnie z opisem w sekcji Tworzenie magazynów kluczy i magazynu zaufanych certyfikatów przy użyciu interfejsu użytkownika Edge.
Gdy prześlesz nowy certyfikat do nowego magazynu zaufania, nazwa aliasu nie ma znaczenia.
-
W przypadku hosta wirtualnego używanego przez połączenie przychodzące, czyli żądanie interfejsu API do Edge:
- Jeśli host wirtualny korzysta z odwołania do magazynu zaufanych certyfikatów, zaktualizuj to odwołanie.
- Jeśli host wirtualny używa bezpośredniej nazwy magazynu zaufanych certyfikatów, skontaktuj się z zespołem pomocy Apigee Edge.
-
Docelowy punkt końcowy/serwer docelowy używany przez połączenie wychodzące, czyli z Apigee do serwera backendu:
- Jeśli docelowy punkt końcowy/serwer docelowy używa odwołań do magazynu zaufanych certyfikatów, zaktualizuj odwołanie. Nie jest konieczne ponowne wdrożenie serwera proxy.
- Jeśli docelowy punkt końcowy/serwer docelowy używa zmiennej przepływu, zaktualizuj zmienną przepływu. Nie jest konieczne ponowne wdrożenie serwera proxy.
Jeśli docelowy punkt końcowy/serwer docelowy używa bezpośredniej nazwy magazynu zaufanych certyfikatów, zaktualizuj konfigurację docelowego punktu końcowego/docelowego serwera dla wszystkich serwerów proxy interfejsu API, które odwołują się do starego magazynu zaufanych certyfikatów, aby odwoływały się do nowego magazynu kluczy i aliasu kluczy.
Następnie musisz ponownie wdrożyć serwer proxy.
- Po potwierdzeniu, że nowy magazyn zaufania działa prawidłowo, usuń stary magazyn zaufania z wygasłym certyfikatem.