Esta é a documentação do Apigee Edge.
Acesse a
documentação da
Apigee X. info
O método usado para especificar o nome do keystore e truststore no host virtual ou no endpoint de destino/servidor de destino determina como você executa a atualização do certificado. É possível especificar o nome do keystore e do truststore usando:
- Referências: preferencial
- Nomes diretos
- Variáveis de fluxo
Cada um desses métodos tem repercussões diferentes na atualização de certificados, conforme descrito em na tabela a seguir.
| Tipo de configuração | Como atualizar/substituir um certificado | Como atualizar o host virtual, o endpoint de destino/servidor de destino |
|---|---|---|
| Referência (recomendado) |
No caso de keystore, crie um novo keystore com um novo nome e um alias com o mesmo nome do antigo. Para uma truststore, crie um truststore com um novo nome. |
Atualize a referência do keystore ou truststore.
Não é necessário entrar em contato com o suporte do Apigee Edge. |
| Variáveis de fluxo (somente endpoint de destino) |
Para um keystore, crie um keystore com um novo nome e um alias com o mesmo nome ou com um novo nome. Para uma truststore, crie um truststore com um novo nome. |
Transmita var de fluxo atualizado em cada solicitação com o nome do novo keystore, alias ou o truststore. Não é necessário entrar em contato com o suporte do Apigee Edge. |
| Direto | Crie um novo keystore, alias, truststore. |
No caso de hosts virtuais, entre em contato com o suporte do Apigee Edge para reiniciar os roteadores. Se o truststore for usado por um endpoint/servidor de destino, reimplante o proxy. |
| Direto | Exclua o repositório de chaves ou o truststore e recrie-o com o mesmo nome. |
Não é necessário atualizar o host virtual. No entanto, as solicitações de API falham até que o novo keystore e alias forem definidos. Se o keystore for usado para o TLS bidirecional entre o Edge e o serviço de back-end, entre em contato com o suporte do Apigee Edge para reiniciar os processadores de mensagens. |
| Direto | Apenas para truststore, faça upload de um novo certificado para o truststore. |
Para hosts virtuais, entre em contato com o suporte do Apigee Edge para reiniciar os roteadores de borda. Se o truststore for usado por um endpoint/servidor de destino, entre em contato com o suporte do Apigee Edge para reiniciar os processadores de mensagens. |
Como testar o certificado antes e depois da atualização
Use os comandos openssl a seguir para testar o certificado atual antes de atualizar.
ele:
echo | openssl s_client -servername HOSTNAME -connect ORG-ENV.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject
em que HOSTNAME é o alias de host e ORG-ENV é a organização e
de nuvem. Exemplo:
echo | openssl s_client -servername example.com -connect myOrg-prod.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject
Você verá a saída no formulário:
notBefore=Dec 30 22:11:38 2015 GMT notAfter=Dec 30 22:11:38 2016 GMT subject= /OU=Domain Control Validated/CN=*.apigee.net
Use o mesmo comando depois de atualizar o certificado para testá-lo.
Determinar como o host virtual ou o endpoint/servidor de destino faz referência ao keystore e ao truststore
- Faça login na interface de gerenciamento do Edge em https://enterprise.apigee.com.
- No menu da interface de gerenciamento de borda, selecione o nome da sua organização.
-
Para um host virtual, determine como ele especifica o keystore
e o truststore.
- Dependendo da sua versão da interface do Edge:
- Se você estiver usando a interface clássica do Edge, selecione APIs > Configurações do ambiente.
- Se você estiver usando a nova interface do Edge: selecione Administrador > Ambientes.
- Selecione a guia Hosts virtuais.
- Para o host virtual específico que você está atualizando, selecione o botão Mostrar
para exibir as propriedades dele. A tela inclui as seguintes propriedades:
- Keystore: o nome do keystore atual, normalmente especificado
como uma referência em
ref://mykeystoreref.
Como alternativa, pode ser especificado por um nome direto, no formatomyKeystoreNameou pode ser especificado por uma variável de fluxo, no formato{ssl.keystore} - Alias de chave. O valor dessa propriedade é o nome do alias no elemento um repositório de chaves de acesso. Seu novo keystore deve criar um alias com os mesmos nome.
- Truststore: o nome do truststore atual, se houver, normalmente.
especificado como uma referência em
ref://mytruststoreref.
Como alternativa, pode ser especificado por um nome direto, no formatomyTruststoreNameou pode ser especificado por uma variável de fluxo, no formato{ssl.truststorestore}
- Keystore: o nome do keystore atual, normalmente especificado
como uma referência em
- Dependendo da sua versão da interface do Edge:
-
Para um endpoint/servidor de destino, determine como o endpoint de destino
especifica o keystore e o truststore:
- No menu da interface de gerenciamento de borda, selecione APIs.
- Selecione o nome do proxy da API.
- Selecione a guia Desenvolvimento.
- Em Endpoints de destino, selecione padrão.
- Na área do código, a definição de TargetEndpoint aparece. Analise o
<SSLInfo>para ver como o keystore/truststore está definido.
Observação: se o endpoint de destino usar um servidor de destino, a definição XML do endpoint de destino vai aparecer como abaixo, em que a tag<LoadBalancer>especifica os servidores de destino usados pelo proxy da API.<TargetEndpoint name="default"> … <HTTPTargetConnection> <LoadBalancer> <Server name="target1" /> <Server name="target2" /> </LoadBalancer> <Path>/test</Path> </HTTPTargetConnection> … </TargetEndpoint><SSLInfo>na definição do servidor de destino para determinar como o keystore/truststore está definido.
Atualizar um certificado TLS em um keystore
Quando um certificado de um keystore expira, não é possível fazer upload de um novo certificado para o keystore. Em vez disso, crie um novo keystore e faça upload do certificado. Depois, atualize os hosts virtuais ou servidor/destino de destino para usar o novo keystore.
Normalmente, você cria um novo keystore antes que o certificado atual expire e depois atualiza seus hosts virtuais ou endpoints de destino para usar o novo keystore e continuar solicitações de serviço sem interrupção devido a um certificado expirado. Você pode excluir o keystore antigo depois de garantir que o novo keystore está funcionando corretamente.
Para uma implantação do Edge baseada na nuvem:
Crie um novo keystore e faça upload de um certificado e de uma chave, conforme descrito em Como criar keystores e truststores usando a interface do Edge.
No novo keystore, use o mesmo nome para o alias da chave que foi usado no keystore atual.
-
Para um host virtual usado por uma conexão de entrada, ou seja, uma API
solicitação para o Edge:
- Se o host virtual usar uma referência ao keystore, atualize a referência.
- Se o host virtual usar um nome direto do keystore, entre em contato com o suporte do Apigee Edge.
-
Para um endpoint de destino/servidor de destino usado por uma conexão de saída, ou seja,
da Apigee para um servidor de back-end:
- Se o endpoint/servidor de destino usar referências ao keystore, atualize o de referência. Nenhuma reimplantação do proxy é necessária.
- Se o endpoint/servidor de destino usar uma variável de fluxo, atualize essa variável. Não é necessária uma reimplantação do proxy.
Se o endpoint/servidor de destino usar um nome direto do keystore, atualize o configuração do endpoint/servidor de destino para todos os proxies de API que faziam referência ao keystore e o alias da chave para fazer referência ao novo keystore e o alias da chave.
Em seguida, reimplante o proxy.
- Depois de confirmar que o novo keystore está funcionando corretamente, exclua o antigo com a chave e o certificado expirados.
Atualizar um certificado TLS em um truststore
Quando um certificado em um truststore expira, você normalmente cria um novo truststore e faz upload do certificado. depois atualize os hosts virtuais ou o servidor de destino/endpoint de destino para usar o novo truststore.
Se um certificado fizer parte de uma cadeia, você precisará criar um único arquivo contendo todos os certificados e fazer o upload desse arquivo para um único alias ou fazer o upload de todos os certificados da cadeia separadamente para o truststore usando um alias diferente para cada certificado.
Normalmente, você cria um novo truststore antes que o certificado atual expire e, em seguida, atualiza seus hosts virtuais ou endpoints de destino para usar o novo truststore e continuar a solicitações de serviço sem interrupção devido a um certificado expirado. Você pode excluir o repositório de chaves antigo depois de garantir que o novo repositório de chaves esteja funcionando corretamente.
Para uma implantação do Edge baseada na nuvem:
Crie um novo truststore e faça upload de um certificado conforme descrito em Como criar keystores e truststore usando a IU do Edge.
Quando você faz upload do novo certificado para o novo repositório de confiança, o nome do alias não importa.
-
Para um host virtual usado por uma conexão de entrada, ou seja, uma API
solicitação para o Edge:
- Se o host virtual usar uma referência ao truststore, atualize a referência.
- Se o host virtual usar um nome direto do truststore, entre em contato com o suporte do Apigee Edge.
-
Para um endpoint de destino/servidor de destino usado por uma conexão de saída, ou seja,
da Apigee para um servidor de back-end:
- Se o endpoint/servidor de destino usar referências ao truststore, atualize o de referência. Nenhuma reimplantação do proxy é necessária.
- Se o endpoint/servidor de destino usar uma variável de fluxo, atualize-a. Não e uma reimplantação do proxy será necessária.
Se o endpoint/servidor de destino usar um nome direto do truststore, atualize a configuração do endpoint/servidor de destino para todos os proxies de API que referenciaram o truststore antigo para referenciar o novo keystore e o alias da chave.
Em seguida, reimplante o proxy.
- Depois de confirmar que seu novo truststore está funcionando corretamente, exclua o antigo truststore com o certificado expirado.