Ta strona została przetłumaczona przez Cloud Translation API.

Aktualizowanie certyfikatu TLS dla chmury

Przeglądasz dokumentację Apigee Edge.
Przejdź do Dokumentacja Apigee X. informacje.

Metoda używana do określania nazwy magazynu kluczy i magazynu zaufania na hoście wirtualnym lub docelowy punkt końcowy/serwer docelowy określa sposób aktualizacji certyfikatu. Możesz określić parametr do magazynu kluczy i magazynu zaufania za pomocą polecenia:

Materiały referencyjne – preferowane
Bezpośrednie nazwy
Zmienne przepływu

Każda z tych metod ma inny wpływ na proces aktualizacji certyfikatu, zgodnie z opisem w sekcjach tabeli poniżej.

Typ konfiguracji	Jak zaktualizować lub zastąpić certyfikat	Jak zaktualizować hosta wirtualnego, docelowy punkt końcowy lub docelowy serwer
Odniesienie (zalecane)	W przypadku magazynu kluczy utwórz nowy magazyn kluczy z nową nazwą i aliasem o tej samej nazwie co stary alias. W przypadku repozytorium zaufania utwórz repozytorium zaufania o nowej nazwie.	Zaktualizuj odwołanie do magazynu kluczy lub magazynu zaufania. Nie musisz kontaktować się z zespołem pomocy Apigee Edge.
zmienne przepływu (tylko w przypadku docelowego punktu końcowego),	Utwórz nowy magazyn kluczy o nowej nazwie i aliasie z z tą samą nazwą lub z nową nazwą. Utwórz magazyn zaufania o nowej nazwie.	Przekazuj zaktualizowaną zmienną przepływu w każdej prośbie z nazwą nowego repozytorium kluczy, aliasu lub repozytorium zaufania. Nie musisz kontaktować się z zespołem pomocy Apigee Edge.
Bezpośrednie	Utwórz nowy magazyn kluczy, alias lub magazyn zaufania.	W przypadku hostów wirtualnych skontaktuj się z zespołem pomocy Apigee Edge, aby ponownie uruchomić routery. Jeśli magazyn zaufania jest używany przez docelowy punkt końcowy lub serwer docelowy, wdróż ponownie serwer proxy.
Bezpośrednie	Usuń magazyn kluczy lub magazyn zaufania i utwórz go ponownie z tą samą nazwą.	Nie trzeba aktualizować hosta wirtualnego. Żądania API kończą się niepowodzeniem, dopóki nie ustawisz nowego schowku kluczy i aliasu. Jeśli magazyn kluczy jest używany do dwukierunkowego protokołu TLS między Edge a usługą backendu, skontaktuj się z zespołem pomocy Apigee Edge, aby ponownie uruchomić procesory wiadomości.
Bezpośrednie	Tylko w przypadku repozytorium zaufania prześlij nowy certyfikat do repozytorium zaufania.	W przypadku hostów wirtualnych skontaktuj się z zespołem pomocy Apigee Edge, aby ponownie uruchomić routery brzegowe. Jeśli magazyn zaufania jest używany przez docelowy punkt końcowy lub serwer docelowy, skontaktuj się z zespołem pomocy Apigee Edge, aby ponownie uruchomić procesory wiadomości.

Testowanie certyfikatu przed i po aktualizować

Aby przetestować bieżący certyfikat przed jego zaktualizowaniem, użyj tych poleceń openssl:

echo | openssl s_client -servername HOSTNAME -connect ORG-ENV.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

gdzie HOSTNAME to alias hosta, a ORG-ENV to organizacja i dla środowiska. Na przykład:

echo | openssl s_client -servername example.com -connect myOrg-prod.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

Powinny się wyświetlić dane wyjściowe w postaci:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

Aby przetestować certyfikat, użyj tego samego polecenia po zaktualizowaniu certyfikatu.

Określ, w jaki sposób host wirtualny, docelowy punkt końcowy lub serwer docelowy odwołuje się do magazynu kluczy magazyn zaufania

Zaloguj się w interfejsie zarządzania brzegiem na stronie https://enterprise.apigee.com.
W menu interfejsu zarządzania w Edge wybierz nazwę swojej organizacji.
W przypadku hosta wirtualnego określ, jak host wirtualny określa magazyn kluczy i Truststore.
1. W zależności od wersji interfejsu Edge:
  1. Jeśli używasz klasycznego interfejsu użytkownika Edge: wybierz Interfejsy API > Konfiguracja środowiska.
  2. Jeśli używasz nowego interfejsu użytkownika Edge: wybierz Administracja > Środowiska.
2. Wybierz kartę Virtual Hosts (Hosty wirtualne).
3. W przypadku konkretnego hosta wirtualnego, który chcesz zaktualizować, wybierz opcję Pokaż. , aby wyświetlić jego właściwości. Wyświetlane informacje obejmują te właściwości:
  1. Magazyn kluczy: nazwa bieżącego magazynu kluczy, zwykle podana jako odwołanie w polu ref://mykeystoreref.
    
    Możesz też podać nazwę bezpośrednio w formie myKeystoreName lub za pomocą zmiennej przepływu w formie {ssl.keystore}.
  2. Alias klucza. Wartością tej właściwości jest nazwa aliasu w argumencie do magazynu kluczy. Nowy magazyn kluczy musi utworzyć alias o tej samej nazwie.
  3. Zaufany magazyn: nazwa bieżącego zaufanego magazynu (jeśli istnieje), zazwyczaj podana jako odwołanie w sekcji from ref://mytruststoreref.
    
    Można też podać ją bezpośrednio w postaci myTruststoreName lub może być określona przez zmienną przepływu w postaci {ssl.truststorestore}
W przypadku docelowego punktu końcowego lub docelowego serwera określ, jak docelowy punkt końcowy określa magazyn kluczy i magazyn zaufania:
1. W menu interfejsu zarządzania urządzeniami brzegowymi wybierz Interfejsy API.
2. Wybierz nazwę serwera proxy interfejsu API.
3. Kliknij kartę Rozwój.
4. W sekcji Docelowe punkty końcowe wybierz domyślne.
5. W obszarze kodu pojawi się definicja punktu docelowego. Przyjrzyj się <SSLInfo>, aby zobaczyć, jak definiowany jest magazyn kluczy/magazyn kluczy.
  
  Uwaga: jeśli docelowy punkt końcowy używa serwera docelowego, kod XML definicja docelowego punktu końcowego wygląda jak poniżej, gdzie Tag <LoadBalancer> określa serwery docelowe używane przez interfejs API serwera proxy.
```
<TargetEndpoint name="default">
  …
  <HTTPTargetConnection>
    <LoadBalancer>
      <Server name="target1" />
      <Server name="target2" />
    </LoadBalancer>
    <Path>/test</Path>
  </HTTPTargetConnection>
    …
</TargetEndpoint>
```
  Sprawdź element <SSLInfo> w definicji serwera docelowego, aby określić, jak zdefiniowano magazyn kluczy/zaufany magazyn kluczy.

Aktualizowanie certyfikatu TLS w magazynie kluczy

Gdy certyfikat w magazynie kluczy wygasa, nie możesz przesłać do niego nowego certyfikatu. Zamiast tego musisz utworzyć nowy magazyn kluczy i przesłać certyfikat, a następnie zaktualizować hosty wirtualnych lub serwer docelowy/punkt końcowy, aby używały nowego magazynu kluczy.

Zwykle przed wygaśnięciem bieżącego certyfikatu tworzysz nowy magazyn kluczy, a następnie aktualizujesz hosty wirtualnych lub docelowe punkty końcowe, aby używały nowego magazynu kluczy. Dzięki temu możesz nadal obsługiwać żądania bez przerwy spowodowanej wygaśnięciem certyfikatu. Gdy upewnisz się, że nowy magazyn kluczy działa prawidłowo, możesz usunąć stary magazyn kluczy.

W przypadku wdrożenia Edge w chmurze:

Utwórz nowy magazyn kluczy i prześlij certyfikat oraz klucz zgodnie z opisem w sekcji Tworzenie magazynów kluczy i magazynów zaufania za pomocą interfejsu Edge.

W nowym magazynie kluczy upewnij się, że alias klucza ma taką samą nazwę jak w bieżącym magazynie kluczy.
W przypadku hosta wirtualnego używanego przez połączenie przychodzące, czyli interfejs API do Edge:
1. Jeśli host wirtualny używa odwołania do magazynu kluczy, zaktualizuj to odwołanie.
2. Jeśli Twój host wirtualny używa bezpośredniej nazwy magazynu kluczy, skontaktuj się z zespołem pomocy Apigee Edge.
w przypadku docelowego punktu końcowego/serwera docelowego używanego przez połączenie wychodzące; co oznacza, z Apigee na serwer backendu:
1. Jeśli docelowy punkt końcowy lub serwer docelowy używa odwołań do magazynu kluczy, zaktualizuj atrybut odwołania. Ponowne wdrażanie serwera proxy nie jest konieczne.
2. Jeśli docelowy punkt końcowy lub docelowy serwer używa zmiennej przepływu, zaktualizuj tę zmienną. Nie trzeba ponownie wdrażać serwera proxy.
3. Jeśli docelowy punkt końcowy lub docelowy serwer używa bezpośredniej nazwy repozytorium kluczy, zaktualizuj konfigurację docelowego punktu końcowego lub docelowego serwera dla wszystkich serwerów proxy interfejsu API, które odwołują się do starego repozytorium kluczy i aliasu klucza, aby odwoływały się do nowego repozytorium kluczy i aliasu klucza.
  
  Następnie musisz ponownie wdrożyć serwer proxy.
Po potwierdzeniu, że nowy magazyn kluczy działa prawidłowo, usuń stary magazyn kluczy z wygasłym certyfikatem i kluczem.

Zaktualizowanie certyfikatu TLS w magazynie zaufania

Gdy certyfikat w repozytorium zaufania wygaśnie, zwykle tworzysz nowe repozytorium zaufania i przesyłasz certyfikat, a następnie aktualizujesz hosty wirtualnych lub serwer docelowy/docelowy punkt końcowy, aby używać nowego repozytorium zaufania.

Jeśli certyfikat jest częścią łańcucha, musisz utworzyć pojedynczy plik zawierający wszystkie certyfikaty i przesłać go do pojedynczego aliasu lub przesłać wszystkie certyfikaty w łańcuchu osobno do repozytorium zaufania, używając innego aliasu dla każdego certyfikatu.

Nowy magazyn zaufania zazwyczaj tworzy się przed wygaśnięciem bieżącego certyfikatu, a następnie aktualizuje się hosty wirtualnych lub docelowe punkty końcowe, aby używały nowego magazynu zaufania. Dzięki temu można nadal obsługiwać żądania bez przerwy spowodowanej wygaśnięciem certyfikatu. Gdy upewnisz się, że nowy magazyn zaufania działa prawidłowo, możesz usunąć stary magazyn zaufania.

W przypadku wdrożenia Edge w chmurze:

Utwórz nowy magazyn zaufania i prześlij certyfikat zgodnie z opisem w sekcji Tworzenie magazynów kluczy i magazynów zaufania przy użyciu interfejsu Edge.

Podczas przesyłania nowego certyfikatu do nowego repozytorium zaufania nazwa aliasu nie ma znaczenia.
W przypadku hosta wirtualnego używanego przez połączenie przychodzące, czyli żądanie interfejsu API do Edge:
1. Jeśli host wirtualny używa odwołania do magazynu zaufania, zaktualizuj to odwołanie.
2. Jeśli Twój host wirtualny używa bezpośredniej nazwy repozytorium zaufania, skontaktuj się z zespołem pomocy Apigee Edge.
W przypadku docelowego punktu końcowego lub docelowego serwera używanego przez połączenie wychodzące, czyli z Apigee do serwera zaplecza:
1. Jeśli docelowy punkt końcowy lub serwer docelowy używa odwołań do magazynu zaufania, zaktualizuj atrybut odwołania. Nie trzeba ponownie wdrażać serwera proxy.
2. Jeśli docelowy punkt końcowy lub docelowy serwer używa zmiennej przepływu, zaktualizuj tę zmienną. Nie trzeba ponownie wdrażać serwera proxy.
3. Jeśli docelowy punkt końcowy lub docelowy serwer używa bezpośredniej nazwy repozytorium zaufania, zaktualizuj konfigurację docelowego punktu końcowego lub docelowego serwera w przypadku wszystkich serwerów proxy interfejsu API, które odwołują się do starego repozytorium zaufania, aby odwoływały się do nowego repozytorium kluczy i aliasu klucza.
  
  Następnie musisz ponownie wdrożyć serwer proxy.
Gdy upewnisz się, że nowy magazyn zaufania działa prawidłowo, usuń stary Truststore z wygasłym certyfikatem.