Обновите сертификат TLS для облака

Вы просматриваете документацию Apigee Edge .
Перейдите к документации Apigee X. информация

Метод, который вы используете для указания имени хранилища ключей и хранилища доверенных сертификатов на виртуальном хосте или целевой конечной точке/целевом сервере, определяет, как вы выполняете обновление сертификата. Вы можете указать имя хранилища ключей и хранилища доверенных сертификатов, используя:

  • Рекомендации - желательно
  • Прямые имена
  • Переменные потока

Каждый из этих методов по-разному влияет на процесс обновления сертификата, как описано в следующей таблице.

Тип конфигурации Как обновить/заменить сертификат Как обновить виртуальный хост, целевую конечную точку/целевой сервер
Ссылка (рекомендуется)

Для хранилища ключей создайте новое хранилище ключей с новым именем и псевдонимом с тем же именем , что и у старого псевдонима.

Для хранилища доверенных сертификатов создайте хранилище доверенных сертификатов с новым именем .

 Обновите ссылку на хранилище ключей или хранилище доверенных сертификатов.

Нет необходимости обращаться в службу поддержки Apigee Edge .

Переменные потока (только целевая конечная точка)

Для хранилища ключей создайте новое хранилище ключей с новым именем и псевдонимом с тем же именем или с новым именем.

Для хранилища доверенных сертификатов создайте хранилище доверенных сертификатов с новым именем .

Передавайте обновленную переменную потока при каждом запросе с именем нового хранилища ключей, псевдонима или хранилища доверенных сертификатов.

Нет необходимости обращаться в службу поддержки Apigee Edge .

Прямой Создайте новое хранилище ключей, псевдоним и хранилище доверенных сертификатов.

Для виртуальных хостов обратитесь в службу поддержки Apigee Edge , чтобы перезапустить маршрутизаторы.

Если хранилище доверенных сертификатов используется целевой конечной точкой или целевым сервером, повторно разверните прокси.

Прямой Удалите хранилище ключей или хранилище доверенных сертификатов и воссоздайте его с тем же именем.

Обновление виртуального хоста не требуется. Однако запросы API не выполняются, пока не будут установлены новое хранилище ключей и псевдоним.

Если хранилище ключей используется для двустороннего TLS между Edge и внутренней службой, обратитесь в службу поддержки Apigee Edge, чтобы перезапустить процессоры сообщений.

Прямой Только для хранилища доверенных сертификатов: загрузите в хранилище доверенных сертификатов новый сертификат.

Для виртуальных хостов обратитесь в службу поддержки Apigee Edge , чтобы перезапустить пограничные маршрутизаторы.

Если хранилище доверенных сертификатов используется целевой конечной точкой или целевым сервером, обратитесь в службу поддержки Apigee Edge , чтобы перезапустить процессоры сообщений.

Тестирование сертификата до и после обновления

Используйте следующие команды openssl , чтобы проверить текущий сертификат перед его обновлением:

echo | openssl s_client -servername HOSTNAME -connect ORG-ENV.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

где HOSTNAME — это псевдоним хоста, а ORG - ENV — это организация и среда. Например:

echo | openssl s_client -servername example.com -connect myOrg-prod.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

Вы должны увидеть вывод в форме:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

Используйте ту же команду после обновления сертификата, чтобы проверить его.

Определите, как ваш виртуальный хост или целевой конечный/целевой сервер ссылается на хранилище ключей и хранилище доверенных сертификатов.

  1. Войдите в пользовательский интерфейс управления Edge по адресу https://enterprise.apigee.com .
  2. В меню пользовательского интерфейса управления Edge выберите название своей организации.
  3. Для виртуального хоста определите, как виртуальный хост определяет хранилище ключей и хранилище доверенных сертификатов.
    1. В зависимости от вашей версии пользовательского интерфейса Edge:
      1. Если вы используете классический интерфейс Edge : выберите API > Конфигурация среды .
      2. Если вы используете новый интерфейс Edge : выберите «Администратор» > «Среды» .
    2. Выберите вкладку «Виртуальные хосты» .
    3. Для конкретного виртуального хоста, который вы обновляете, нажмите кнопку «Показать» , чтобы отобразить его свойства. Отображение включает в себя следующие свойства:
      1. Хранилище ключей : имя текущего хранилища ключей, обычно указываемое в виде ссылки в формате from ref:// mykeystoreref .

        В качестве альтернативы оно может быть указано прямым именем в форме myKeystoreName или переменной потока в форме {ssl.keystore} .
      2. Ключевой псевдоним. Значением этого свойства является имя псевдонима в хранилище ключей. Ваше новое хранилище ключей должно создать псевдоним с тем же именем.
      3. Хранилище доверенных сертификатов : имя текущего хранилища доверенных сертификатов, если таковое имеется, обычно указывается в виде ссылки в поле from ref:// mytruststoreref .

        В качестве альтернативы оно может быть указано прямым именем в форме myTruststoreName или переменной потока в форме {ssl.truststorestore} .
  4. Для целевой конечной точки/целевого сервера определите, как целевая конечная точка указывает хранилище ключей и хранилище доверенных сертификатов:
    1. В меню пользовательского интерфейса управления Edge выберите API .
    2. Выберите имя прокси-сервера API.
    3. Выберите вкладку «Разработка» .
    4. В разделе «Целевые конечные точки» выберите «По умолчанию» .
    5. В области кода появится определение TargetEndpoint. Изучите элемент <SSLInfo> , чтобы узнать, как определяется хранилище ключей/доверенное хранилище.

      Примечание . Если целевая конечная точка использует целевой сервер, то XML-определение целевой конечной точки выглядит следующим образом, где тег <LoadBalancer> указывает целевые серверы, используемые прокси-сервером API.
      <TargetEndpoint name="default">
  …
  <HTTPTargetConnection>
    <LoadBalancer>
      <Server name="target1" />
      <Server name="target2" />
    </LoadBalancer>
    <Path>/test</Path>
  </HTTPTargetConnection>
    …
</TargetEndpoint>
       Изучите элемент <SSLInfo> в определении целевого сервера, чтобы определить, как определяется хранилище ключей/доверенное хранилище.

Обновление сертификата TLS в хранилище ключей

По истечении срока действия сертификата в хранилище ключей вы не сможете загрузить в хранилище ключей новый сертификат. Вместо этого вы создаете новое хранилище ключей и загружаете сертификат, а затем обновляете свои виртуальные хосты или целевой сервер/целевую конечную точку для использования нового хранилища ключей.

Обычно вы создаете новое хранилище ключей до истечения срока действия текущего сертификата, а затем обновляете свои виртуальные хосты или целевые конечные точки для использования нового хранилища ключей, чтобы вы могли продолжать обслуживать запросы без перерывов из-за истекшего сертификата. Затем вы можете удалить старое хранилище ключей, убедившись, что новое хранилище ключей работает правильно.

Для облачного развертывания Edge:

  1. Создайте новое хранилище ключей и загрузите сертификат и ключ, как описано в разделе Создание хранилищ ключей и хранилища доверенных сертификатов с помощью пользовательского интерфейса Edge .

    В новом хранилище ключей убедитесь, что вы используете то же имя для псевдонима ключа, которое использовалось в существующем хранилище ключей.

  2. Для виртуального хоста, используемого входящим соединением, то есть запросом API в Edge:
    1. Если ваш виртуальный хост использует ссылку на хранилище ключей, обновите ссылку.
    2. Если ваш виртуальный хост использует прямое имя хранилища ключей, обратитесь в службу поддержки Apigee Edge .
  3. Для целевой конечной точки/целевого сервера, используемого исходящим соединением, то есть от Apigee к внутреннему серверу:
    1. Если целевая конечная точка/целевой сервер использует ссылки на хранилище ключей, обновите ссылку. Перераспределение прокси не требуется.
    2. Если целевая конечная точка/целевой сервер использует переменную потока, обновите переменную потока. Перераспределение прокси не требуется.

    3. Если целевая конечная точка/целевой сервер использует прямое имя хранилища ключей, обновите конфигурацию целевой конечной точки/целевого сервера для всех прокси API, которые ссылались на старое хранилище ключей и псевдоним ключа, чтобы они ссылались на новое хранилище ключей и псевдоним ключа.

      Затем вам необходимо повторно развернуть прокси.

  4. Убедившись, что ваше новое хранилище ключей работает правильно, удалите старое хранилище ключей с просроченным сертификатом и ключом.

Обновите сертификат TLS в хранилище доверенных сертификатов.

Когда срок действия сертификата в хранилище доверенных сертификатов истекает, вы обычно создаете новое хранилище доверенных сертификатов и загружаете сертификат, а затем обновляете свои виртуальные хосты или целевой сервер/целевую конечную точку для использования нового хранилища доверенных сертификатов.

Если сертификат является частью цепочки, вам необходимо либо создать один файл, содержащий все сертификаты, и загрузить этот файл под один псевдоним, либо загрузить все сертификаты в цепочке отдельно в хранилище доверенных сертификатов, используя разные псевдонимы для каждого сертификата.

Обычно вы создаете новое хранилище доверенных сертификатов до истечения срока действия текущего сертификата, а затем обновляете свои виртуальные хосты или целевые конечные точки для использования нового хранилища доверенных сертификатов, чтобы вы могли продолжать обслуживать запросы без перерывов из-за истекшего сертификата. Затем вы можете удалить старое хранилище доверенных сертификатов, убедившись, что новое хранилище работает правильно.

Для облачного развертывания Edge:

  1. Создайте новое хранилище доверенных сертификатов и загрузите сертификат, как описано в разделе Создание хранилищ ключей и хранилища доверенных сертификатов с помощью пользовательского интерфейса Edge .

    Когда вы загружаете новый сертификат в новое хранилище доверенных сертификатов, имя псевдонима не имеет значения.

  2. Для виртуального хоста, используемого входящим соединением, то есть запросом API в Edge:
    1. Если ваш виртуальный хост использует ссылку на хранилище доверенных сертификатов, обновите ссылку.
    2. Если ваш виртуальный хост использует прямое имя хранилища доверенных сертификатов, обратитесь в службу поддержки Apigee Edge .
  3. Для целевой конечной точки/целевого сервера, используемого исходящим соединением, то есть от Apigee к внутреннему серверу:
    1. Если целевая конечная точка/целевой сервер использует ссылки на хранилище доверенных сертификатов, обновите ссылку. Перераспределение прокси не требуется.
    2. Если целевая конечная точка/целевой сервер использует переменную потока, обновите переменную потока. Перераспределение прокси не требуется.

    3. Если целевая конечная точка/целевой сервер использует прямое имя хранилища доверенных сертификатов, обновите конфигурацию целевой конечной точки/целевого сервера для всех прокси-серверов API, которые ссылались на старое хранилище доверенных сертификатов, чтобы они ссылались на новое хранилище ключей и псевдоним ключа.

      Затем вам необходимо повторно развернуть прокси.

  4. Убедившись, что ваше новое хранилище доверенных сертификатов работает правильно, удалите старое хранилище доверенных сертификатов с истекшим сертификатом.