Aktualizowanie certyfikatu TLS dla chmury

Przeglądasz dokumentację Apigee Edge.
Przejdź do Dokumentacja Apigee X. informacje.

Metoda używana do określania nazwy magazynu kluczy i magazynu zaufania na hoście wirtualnym lub docelowy punkt końcowy/serwer docelowy określa sposób aktualizacji certyfikatu. Możesz określić do magazynu kluczy i magazynu zaufania za pomocą polecenia:

• Materiały referencyjne – preferowane
• Bezpośrednie nazwy
• Zmienne przepływu

Każda z tych metod ma inny wpływ na proces aktualizacji certyfikatu, zgodnie z opisem w sekcjach tabeli poniżej.

Typ konfiguracji	Jak zaktualizować lub zastąpić certyfikat	Aktualizowanie hosta wirtualnego, docelowego punktu końcowego lub serwera docelowego
Materiały referencyjne (zalecane)	Utwórz nowy magazyn kluczy o nowej nazwie i aliasie z ta sama nazwa co stary alias. Utwórz magazyn zaufania o nowej nazwie.	Zaktualizuj odwołanie do magazynu kluczy lub magazynu zaufania. Nie musisz kontaktować się z zespołem pomocy Apigee Edge.
Zmienne przepływu (tylko docelowy punkt końcowy)	Utwórz nowy magazyn kluczy o nowej nazwie i aliasie z z tą samą nazwą lub z nową nazwą. Utwórz magazyn zaufania o nowej nazwie.	Przy każdym żądaniu przekazuj zaktualizowaną zmienną przepływu wraz z nazwą nowego magazynu kluczy, aliasem lub magazynu zaufania. Nie musisz kontaktować się z zespołem pomocy Apigee Edge.
Bezpośrednie	Utwórz nowy magazyn kluczy, alias, magazyn zaufania.	W przypadku hostów wirtualnych skontaktuj się z zespołem pomocy Apigee Edge, aby ponownie uruchomić routery. Jeśli magazyn zaufania jest używany przez docelowy punkt końcowy lub serwer docelowy, wdróż ponownie serwer proxy.
Bezpośrednie	Usuń magazyn kluczy lub magazyn zaufania i utwórz go ponownie z tą samą nazwą.	Nie jest wymagana aktualizacja hosta wirtualnego. Żądania do interfejsu API kończą się jednak niepowodzeniem, dopóki nie zostanie utworzony nowy magazyn kluczy aliasy są skonfigurowane. Jeśli magazyn kluczy jest używany do dwukierunkowego protokołu TLS między Edge a usługą backendu, skontaktuj się z zespołem pomocy Apigee Edge, aby ponownie uruchomić procesory wiadomości.
Bezpośrednie	Prześlij do niego nowy certyfikat tylko w przypadku magazynu zaufania.	W przypadku hostów wirtualnych skontaktuj się z zespołem pomocy Apigee Edge, aby ponownie uruchomić routery brzegowe. Jeśli magazyn zaufania jest używany przez docelowy punkt końcowy lub serwer docelowy, skontaktuj się z zespołem pomocy Apigee Edge, aby ponownie uruchomić procesory wiadomości.

Testowanie certyfikatu przed i po aktualizować

Aby przetestować bieżący certyfikat przed aktualizacją, użyj tych poleceń openssl :

echo | openssl s_client -servername HOSTNAME -connect ORG-ENV.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

gdzie HOSTNAME to alias hosta, a ORG-ENV to organizacja i dla środowiska. Na przykład:

echo | openssl s_client -servername example.com -connect myOrg-prod.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

Dane wyjściowe powinny wyglądać tak:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

Aby przetestować certyfikat, użyj tego samego polecenia po zaktualizowaniu certyfikatu.

Określ, w jaki sposób host wirtualny, docelowy punkt końcowy lub serwer docelowy odwołuje się do magazynu kluczy magazyn zaufania

1. Zaloguj się w interfejsie zarządzania brzegiem na stronie https://enterprise.apigee.com.
2. W menu UI zarządzania brzegiem wybierz nazwę swojej organizacji.
3. W przypadku hosta wirtualnego określ, jak host wirtualny określa magazyn kluczy i Truststore.
   1. W zależności od wersji interfejsu Edge:
      1. Jeśli używasz interfejsu Classic Edge: wybierz Interfejsy API > Konfiguracja środowiska.
      2. Jeśli używasz nowego interfejsu użytkownika Edge: wybierz Administracja > Środowiska.
   2. Wybierz kartę Virtual Hosts (Hosty wirtualne).
   3. W przypadku konkretnego hosta wirtualnego, który chcesz zaktualizować, wybierz opcję Pokaż. , aby wyświetlić jego właściwości. Zawiera ona te właściwości:
      1. Magazyn kluczy: nazwa bieżącego magazynu kluczy, zwykle określana jako odwołanie w dokumencie ref://mykeystoreref.
         
         Można też podać ją bezpośrednio w postaci myKeystoreName lub może być określona przez zmienną przepływu w postaci {ssl.keystore}
      2. Alias klucza. Wartością tej właściwości jest nazwa aliasu w argumencie do magazynu kluczy. Nowy magazyn kluczy musi utworzyć alias o tym samym imię i nazwisko.
      3. Magazyn zaufania: nazwa bieżącego magazynu zaufania (jeśli istnieje), zwykle został określony jako odwołanie w dokumencie ref://mytruststoreref.
         
         Można też podać ją bezpośrednio w postaci myTruststoreName lub może być określona przez zmienną przepływu w postaci {ssl.truststorestore}
4. W przypadku docelowego punktu końcowego/serwera docelowego określ, jak określa magazyn kluczy i magazyn zaufania:
   1. W menu interfejsu zarządzania urządzeniami brzegowymi wybierz Interfejsy API.
   2. Wybierz nazwę serwera proxy interfejsu API.
   3. Kliknij kartę Programowanie.
   4. W sekcji Docelowe punkty końcowe wybierz domyślne.
   5. W obszarze kodu pojawi się definicja punktu końcowego. Przyjrzyj się <SSLInfo>, aby zobaczyć, jak definiowany jest magazyn kluczy/magazyn kluczy.
      
      Uwaga: jeśli docelowy punkt końcowy używa serwera docelowego, kod XML definicja docelowego punktu końcowego wygląda jak poniżej, gdzie Tag <LoadBalancer> określa serwery docelowe używane przez interfejs API serwera proxy.

      <TargetEndpoint name="default">
        …
        <HTTPTargetConnection>
          <LoadBalancer>
            <Server name="target1" />
            <Server name="target2" />
          </LoadBalancer>
          <Path>/test</Path>
        </HTTPTargetConnection>
          …
      </TargetEndpoint>

      Sprawdź element <SSLInfo> w definicji serwera docelowego, aby dowiedzieć się, jak to zrobić magazyn kluczy/magazynu zaufania.

Aktualizowanie certyfikatu TLS w magazynie kluczy

Gdy certyfikat w magazynie kluczy wygasa, nie możesz przesłać do niego nowego certyfikatu. Zamiast tego: utwórz nowy magazyn kluczy i prześlij certyfikat, a następnie zaktualizuj hosty wirtualne lub serwer docelowy/docelowy do użycia nowego magazynu kluczy.

Zwykle tworzysz nowy magazyn kluczy przed wygaśnięciem bieżącego certyfikatu, a następnie aktualizujesz do obsługi hostów wirtualnych lub punktów końcowych, aby używać nowego magazynu kluczy, żądań usługi bez zakłóceń z powodu wygasłego certyfikatu. Potem można usunąć stary po upewnieniu się, że nowy magazyn kluczy działa prawidłowo.

W przypadku wdrożenia Edge w chmurze:

1. Utwórz nowy magazyn kluczy i prześlij certyfikat oraz klucz zgodnie z opisem w sekcji Tworzenie magazynów kluczy i magazynów zaufania za pomocą interfejsu Edge.

   W nowym magazynie kluczy upewnij się, że nazwa aliasu klucza jest taka sama jak w w dotychczasowym magazynie kluczy.

2. W przypadku hosta wirtualnego używanego przez połączenie przychodzące, czyli interfejs API do Edge:
   1. Jeśli host wirtualny używa odwołania do magazynu kluczy, zaktualizuj to odwołanie.
   2. Jeśli host wirtualny używa bezpośredniej nazwy magazynu kluczy, skontaktuj się z zespołem pomocy Apigee Edge.
3. w przypadku docelowego punktu końcowego/serwera docelowego używanego przez połączenie wychodzące; co oznacza, z Apigee na serwer backendu:
   1. Jeśli docelowy punkt końcowy lub serwer docelowy używa odwołań do magazynu kluczy, zaktualizuj atrybut odwołania. Ponowne wdrażanie serwera proxy nie jest konieczne.
   2. Jeśli docelowy punkt końcowy lub serwer docelowy używa zmiennej przepływu, zaktualizuj zmienną przepływu. Nie ponowne wdrożenie serwera proxy jest konieczne.

   3. Jeśli docelowy punkt końcowy lub serwer docelowy używa bezpośredniej nazwy magazynu kluczy, zaktualizuj parametr konfiguracja docelowego punktu końcowego/serwera docelowego dla dowolnych serwerów proxy interfejsu API, które odwołują się do starego i aliasu kluczy, aby odwołać się do nowego magazynu kluczy i aliasu kluczy.

      Następnie musisz ponownie wdrożyć serwer proxy.

4. Gdy upewnisz się, że nowy magazyn kluczy działa prawidłowo, usuń stary magazyn kluczy z wygasłym certyfikatem i kluczem.

Aktualizowanie certyfikatu TLS w magazynie zaufania

Gdy certyfikat w magazynie zaufania wygasa, zwykle tworzysz nowy i przesyłasz certyfikat. a następnie zaktualizuj hosty wirtualne lub docelowy serwer bądź docelowy punkt końcowy, aby używać nowego magazynu zaufania.

Jeśli certyfikat jest częścią łańcucha, musisz utworzyć jeden plik zawierający wszystkie certyfikatów i przesłać ten plik na jeden alias lub przesłać wszystkie certyfikaty w łańcuchu osobno do w magazynie zaufania, używając innego aliasu dla każdego certyfikatu.

Zwykle tworzysz nowy magazyn zaufania przed wygaśnięciem bieżącego certyfikatu, a następnie aktualizujesz do obsługi hostów wirtualnych lub docelowych punktów końcowych, aby używać nowego magazynu zaufania, aby można było żądań usługi bez zakłóceń z powodu wygasłego certyfikatu. Potem można usunąć stary po upewnieniu się, że nowy magazyn zaufania działa prawidłowo.

W przypadku wdrożenia Edge w chmurze:

1. Utwórz nowy magazyn zaufania i prześlij certyfikat zgodnie z opisem w sekcji Tworzenie magazynów kluczy i magazynów zaufania przy użyciu interfejsu Edge.

   Gdy przesyłasz nowy certyfikat do nowego magazynu zaufania, nazwa aliasu nie ma znaczenia.

2. W przypadku hosta wirtualnego używanego przez połączenie przychodzące, czyli interfejs API do Edge:
   1. Jeśli host wirtualny używa odwołania do magazynu zaufania, zaktualizuj to odwołanie.
   2. Jeśli host wirtualny używa bezpośredniej nazwy magazynu zaufania, skontaktuj się z zespołem pomocy Apigee Edge.
3. w przypadku docelowego punktu końcowego/serwera docelowego używanego przez połączenie wychodzące; co oznacza, z Apigee na serwer backendu:
   1. Jeśli docelowy punkt końcowy lub serwer docelowy używa odwołań do magazynu zaufania, zaktualizuj atrybut odwołania. Ponowne wdrażanie serwera proxy nie jest konieczne.
   2. Jeśli docelowy punkt końcowy lub serwer docelowy używa zmiennej przepływu, zaktualizuj zmienną przepływu. Nie ponowne wdrożenie serwera proxy jest konieczne.

   3. Jeśli docelowy punkt końcowy lub serwer docelowy używa bezpośredniej nazwy magazynu zaufania, zaktualizuj docelowy punkt końcowy lub konfigurację serwera docelowego dla wszystkich serwerów proxy interfejsu API, do których się odwołuje ze starym magazynem zaufania, aby odwoływać się do nowego magazynu kluczy i aliasu.

      Następnie musisz ponownie wdrożyć serwer proxy.

4. Po potwierdzeniu, że nowy magazyn zaufania działa prawidłowo, usuń stary Truststore z wygasłym certyfikatem.