Aktualizowanie certyfikatu TLS dla chmury

Przeglądasz dokumentację Apigee Edge.
Otwórz dokumentację Apigee X. Informacje

Sposób aktualizacji certyfikatu zależy od metody, której używasz do określenia nazwy magazynu kluczy i magazynu zaufanych certyfikatów na hoście wirtualnym lub docelowym punkcie końcowym/serwerze docelowym. Nazwę magazynu kluczy i magazynu zaufania możesz określić za pomocą:

• Pliki referencyjne – preferowane
• Nazwy bezpośrednie
• Zmienne przepływu

Każda z tych metod ma inny wpływ na proces aktualizacji certyfikatu, co opisano w poniższej tabeli.

Typ konfiguracji	Jak zaktualizować lub zastąpić certyfikat	Jak zaktualizować hosta wirtualnego, docelowy punkt końcowy/serwer docelowy
Materiały referencyjne (zalecane)	W przypadku magazynu kluczy utwórz nowy magazyn kluczy o nowej nazwie i aliasie o tej samej nazwie co stary alias. W przypadku magazynu zaufania utwórz go o nowej nazwie.	Zaktualizuj odwołanie do magazynu kluczy lub magazynu zaufania. Nie musisz kontaktować się z zespołem pomocy Apigee Edge.
Zmienne przepływu (tylko docelowy punkt końcowy)	W przypadku magazynu kluczy utwórz nowy magazyn kluczy o nowej nazwie i aliasie o tej samej lub nowej nazwie. W przypadku magazynu zaufania utwórz go o nowej nazwie.	Przekazuj zaktualizowaną zmienną przepływu w każdym żądaniu z nazwą nowego magazynu kluczy, aliasu lub magazynu zaufanych. Nie musisz kontaktować się z zespołem pomocy Apigee Edge.
Bezpośrednie	Utwórz nowy magazyn kluczy, alias i magazyn zaufania.	W przypadku hostów wirtualnych skontaktuj się z zespołem pomocy Apigee Edge, aby ponownie uruchomić routery. Jeśli magazyn zaufania jest używany przez docelowy punkt końcowy lub serwer docelowy, wdróż ponownie serwer proxy.
Bezpośrednie	Usuń magazyn kluczy lub magazyn zaufania i utwórz go ponownie pod tą samą nazwą.	Nie jest wymagana aktualizacja hosta wirtualnego. Żądania do interfejsu API kończą się jednak niepowodzeniem, dopóki nie ustawisz nowego magazynu kluczy i aliasu. Jeśli magazyn kluczy jest używany do dwukierunkowego protokołu TLS między Edge a usługą backendu, skontaktuj się z zespołem pomocy Apigee Edge, aby ponownie uruchomić procesory wiadomości.
Bezpośrednie	W przypadku magazynu zaufanych certyfikatów prześlij do niego nowy certyfikat.	W przypadku hostów wirtualnych skontaktuj się z zespołem pomocy Apigee Edge, aby ponownie uruchomić routery brzegowe. Jeśli magazyn zaufania jest używany przez docelowy punkt końcowy lub serwer docelowy, skontaktuj się z zespołem pomocy Apigee Edge, aby ponownie uruchomić procesory wiadomości.

Testowanie certyfikatu przed aktualizacją i po niej

Aby przetestować bieżący certyfikat przed jego zaktualizowaniem, użyj tych poleceń openssl:

echo | openssl s_client -servername HOSTNAME -connect ORG-ENV.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

gdzie HOSTNAME to alias hosta, a ORG-ENV to organizacja i środowisko. Na przykład:

echo | openssl s_client -servername example.com -connect myOrg-prod.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

Dane wyjściowe powinny mieć postać:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

Po zaktualizowaniu certyfikatu do przetestowania użyj tego samego polecenia.

Określ, w jaki sposób host wirtualny lub docelowy punkt końcowy/serwer docelowy odwołuje się do magazynu kluczy i zaufanego magazynu

1. Zaloguj się w interfejsie zarządzania brzegowym na https://enterprise.apigee.com.
2. W menu interfejsu zarządzania brzegiem sieci wybierz nazwę swojej organizacji.
3. W przypadku hosta wirtualnego określ, jak host wirtualny określa magazyn kluczy i magazyn zaufania.
   1. W zależności od wersji interfejsu użytkownika Edge:
      1. Jeśli korzystasz z klasycznego interfejsu użytkownika Edge: wybierz Interfejsy API > Konfiguracja środowiska.
      2. Jeśli używasz nowego interfejsu użytkownika Edge: wybierz Administracja > Środowiska.
   2. Wybierz kartę Hosty wirtualne.
   3. W przypadku konkretnego hosta wirtualnego, który chcesz zaktualizować, kliknij przycisk Pokaż, aby wyświetlić jego właściwości. Wyświetlane właściwości mają następujące właściwości:
      1. Magazyn kluczy: nazwa bieżącego magazynu kluczy, zwykle określana jako odwołanie w źródle ref://mykeystoreref.
         
         Możesz też podać ją bezpośrednio w postaci nazwy myKeystoreName lub przez zmienną przepływu o postaci {ssl.keystore}.
      2. Alias klucza. Wartością tej właściwości jest nazwa aliasu w magazynie kluczy. Nowy magazyn kluczy musi utworzyć alias o tej samej nazwie.
      3. Magazyn zaufania: nazwa bieżącego magazynu zaufania (jeśli istnieje), zwykle określana jako odwołanie w obiekcie ref://mytruststoreref.
         
         Możesz też podać ją bezpośrednio w postaci nazwy myTruststoreName lub przez zmienną przepływu o postaci {ssl.truststorestore}.
4. W przypadku docelowego punktu końcowego/serwera docelowego określ, jak docelowy punkt końcowy określa magazyn kluczy i magazyn zaufanych certyfikatów:
   1. W menu interfejsu zarządzania urządzeniami brzegowymi wybierz Interfejsy API.
   2. Wybierz nazwę serwera proxy interfejsu API.
   3. Wybierz kartę Programowanie.
   4. W polu Docelowe punkty końcowe wybierz default (domyślne).
   5. W obszarze kodowym pojawi się definicja punktu końcowego docelowego (TargetEndpoint). Sprawdź element <SSLInfo>, aby zobaczyć, jak zdefiniowano magazyn kluczy lub magazyn zaufania.
      
      Uwaga: jeśli w punkcie końcowym jest używany serwer docelowy, definicja XML tego punktu końcowego jest widoczna poniżej, gdzie tag <LoadBalancer> określa serwery docelowe używane przez serwer proxy interfejsu API.

      <TargetEndpoint name="default">
        …
        <HTTPTargetConnection>
          <LoadBalancer>
            <Server name="target1" />
            <Server name="target2" />
          </LoadBalancer>
          <Path>/test</Path>
        </HTTPTargetConnection>
          …
      </TargetEndpoint>

      Sprawdź element <SSLInfo> w definicji serwera docelowego, aby określić sposób definiowania magazynu kluczy/magazynu zaufania.

Aktualizowanie certyfikatu TLS w magazynie kluczy

Gdy certyfikat w magazynie kluczy utraci ważność, nie można przesłać do niego nowego certyfikatu. Zamiast tego utwórz nowy magazyn kluczy i prześlij certyfikat, a następnie zaktualizuj hosty wirtualne lub serwer docelowy/docelowy punkt końcowy tak, aby używać nowego magazynu kluczy.

Zwykle tworzysz nowy magazyn kluczy przed wygaśnięciem bieżącego certyfikatu, a następnie aktualizujesz hosty wirtualne lub docelowe punkty końcowe tak, aby używały nowego magazynu kluczy, aby można było kontynuować żądania usługi bez zakłóceń z powodu wygasłego certyfikatu. Następnie możesz usunąć stary magazyn kluczy, gdy upewnisz się, że nowy magazyn kluczy działa prawidłowo.

W przypadku wdrożenia Edge w chmurze:

1. Utwórz nowy magazyn kluczy i prześlij certyfikat oraz klucz zgodnie z opisem w sekcji Tworzenie magazynów kluczy i magazynu zaufanych certyfikatów przy użyciu interfejsu Edge.

   W nowym magazynie kluczy upewnij się, że używasz tej samej nazwy aliasu klucza co w istniejącym magazynie kluczy.

2. W przypadku hosta wirtualnego używanego przez połączenie przychodzące, czyli żądanie interfejsu API do Edge:
   1. Jeśli host wirtualny korzysta z odwołania do magazynu kluczy, zaktualizuj to odwołanie.
   2. Jeśli host wirtualny używa bezpośredniej nazwy magazynu kluczy, skontaktuj się z zespołem pomocy Apigee Edge.
3. Docelowy punkt końcowy/serwer docelowy używany przez połączenie wychodzące, czyli z Apigee do serwera backendu:
   1. Jeśli docelowy punkt końcowy lub serwer docelowy używa odwołań do magazynu kluczy, zaktualizuj odwołanie. Nie jest konieczne ponowne wdrożenie serwera proxy.
   2. Jeśli docelowy punkt końcowy/serwer docelowy używa zmiennej przepływu, zaktualizuj zmienną przepływu. Nie jest konieczne ponowne wdrożenie serwera proxy.

   3. Jeśli docelowy punkt końcowy/serwer docelowy używa bezpośredniej nazwy magazynu kluczy, zaktualizuj docelowy punkt końcowy/konfigurację docelowego serwera dla wszystkich serwerów proxy interfejsu API, które odwołują się do starego magazynu kluczy i aliasu kluczy, aby odwoływały się do nowego magazynu kluczy i aliasu kluczy.

      Następnie musisz ponownie wdrożyć serwer proxy.

4. Gdy potwierdzisz, że nowy magazyn kluczy działa prawidłowo, usuń stary magazyn kluczy z wygasłym certyfikatem i kluczem.

Aktualizowanie certyfikatu TLS w magazynie zaufania

Gdy certyfikat w magazynie zaufania utraci ważność, zwykle należy utworzyć nowy magazyn zaufania i przesłać go, a następnie zaktualizować hosty wirtualne lub serwer docelowy/docelowy punkt końcowy tak, aby używać nowego magazynu zaufania.

Jeśli certyfikat jest częścią łańcucha, musisz utworzyć jeden plik zawierający wszystkie certyfikaty i przesłać go do jednego aliasu lub przesłać wszystkie certyfikaty w łańcuchu oddzielnie do magazynu zaufania, używając osobnego aliasu dla każdego certyfikatu.

Zwykle tworzysz nowy magazyn zaufanych certyfikatów przed wygaśnięciem bieżącego certyfikatu, a następnie aktualizujesz hosty wirtualne lub docelowe punkty końcowe tak, aby używały nowego magazynu zaufanych certyfikatów. Dzięki temu będzie można kontynuować żądania usługi bez zakłóceń z powodu wygasłego certyfikatu. Po upewnieniu się, że nowy magazyn zaufania działa prawidłowo, możesz usunąć stary magazyn zaufania.

W przypadku wdrożenia Edge w chmurze:

1. Utwórz nowy magazyn zaufania i prześlij certyfikat zgodnie z opisem w sekcji Tworzenie magazynów kluczy i magazynu zaufanych certyfikatów przy użyciu interfejsu użytkownika Edge.

   Gdy prześlesz nowy certyfikat do nowego magazynu zaufania, nazwa aliasu nie ma znaczenia.

2. W przypadku hosta wirtualnego używanego przez połączenie przychodzące, czyli żądanie interfejsu API do Edge:
   1. Jeśli host wirtualny korzysta z odwołania do magazynu zaufanych certyfikatów, zaktualizuj to odwołanie.
   2. Jeśli host wirtualny używa bezpośredniej nazwy magazynu zaufanych certyfikatów, skontaktuj się z zespołem pomocy Apigee Edge.
3. Docelowy punkt końcowy/serwer docelowy używany przez połączenie wychodzące, czyli z Apigee do serwera backendu:
   1. Jeśli docelowy punkt końcowy/serwer docelowy używa odwołań do magazynu zaufanych certyfikatów, zaktualizuj odwołanie. Nie jest konieczne ponowne wdrożenie serwera proxy.
   2. Jeśli docelowy punkt końcowy/serwer docelowy używa zmiennej przepływu, zaktualizuj zmienną przepływu. Nie jest konieczne ponowne wdrożenie serwera proxy.

   3. Jeśli docelowy punkt końcowy/serwer docelowy używa bezpośredniej nazwy magazynu zaufanych certyfikatów, zaktualizuj konfigurację docelowego punktu końcowego/docelowego serwera dla wszystkich serwerów proxy interfejsu API, które odwołują się do starego magazynu zaufanych certyfikatów, aby odwoływały się do nowego magazynu kluczy i aliasu kluczy.

      Następnie musisz ponownie wdrożyć serwer proxy.

4. Po potwierdzeniu, że nowy magazyn zaufania działa prawidłowo, usuń stary magazyn zaufania z wygasłym certyfikatem.