หน้านี้ได้รับการแปลโดย Cloud Translation API

อัปเดตใบรับรอง TLS สําหรับระบบคลาวด์

คุณกำลังดูเอกสารประกอบ Apigee Edge
ไปที่ เอกสารประกอบเกี่ยวกับ Apigee X. ข้อมูล

วิธีการที่คุณใช้ในการระบุชื่อของคีย์สโตร์และ Truststore ในโฮสต์เสมือน หรือปลายทาง/เซิร์ฟเวอร์เป้าหมายเป้าหมายจะกำหนดวิธีที่คุณอัปเดตใบรับรอง คุณสามารถระบุ ชื่อของคีย์สโตร์และ Truststore โดยใช้ข้อมูลต่อไปนี้

ข้อมูลอ้างอิง - แนะนำ
ชื่อโดยตรง
ตัวแปรโฟลว์

วิธีการแต่ละวิธีให้ผลกระทบที่แตกต่างกันต่อกระบวนการอัปเดตใบรับรองตามที่อธิบายไว้ใน ตารางต่อไปนี้

ประเภทการกำหนดค่า	วิธีอัปเดต/แทนที่ใบรับรอง	วิธีอัปเดตโฮสต์เสมือน เซิร์ฟเวอร์ปลายทาง/เซิร์ฟเวอร์เป้าหมาย
ข้อมูลอ้างอิง (แนะนำ)	สำหรับคีย์สโตร์ ให้สร้างคีย์สโตร์ใหม่ด้วยชื่อใหม่และชื่อแทนที่มี ชื่อเดียวกันกับชื่อแทนเดิม สำหรับ Truststore ให้สร้าง Truststore ด้วยชื่อใหม่	อัปเดตการอ้างอิงเป็นคีย์สโตร์หรือ Truststore โดยไม่จำเป็นต้องติดต่อทีมสนับสนุนของ Apigee Edge
ตัวแปรโฟลว์ (ปลายทางเป้าหมายเท่านั้น)	สำหรับคีย์สโตร์ ให้สร้างคีย์สโตร์ใหม่ด้วยชื่อใหม่และชื่อแทนที่มี ชื่อเดิมหรือใช้ชื่อใหม่ สำหรับ Truststore ให้สร้าง Truststore ด้วยชื่อใหม่	ส่งตัวแปรโฟลว์ที่อัปเดตในคำขอแต่ละรายการด้วยชื่อของคีย์สโตร์ ชื่อแทน หรือ Truststore โดยไม่จำเป็นต้องติดต่อทีมสนับสนุนของ Apigee Edge
โดยตรง	สร้างคีย์สโตร์ ชื่อแทน และ Truststore ใหม่	สำหรับโฮสต์เสมือน โปรดติดต่อทีมสนับสนุนของ Apigee Edge เพื่อรีสตาร์ทเราเตอร์ หากเซิร์ฟเวอร์ปลายทาง/ปลายทางใช้ Truststore ให้เปิดใช้งานพร็อกซีอีกครั้ง
โดยตรง	ลบคีย์สโตร์หรือ Truststore แล้วสร้างใหม่ด้วยชื่อเดียวกัน	ไม่ต้องอัปเดตโฮสต์เสมือน แต่คำขอ API จะล้มเหลวจนกว่าจะได้คีย์สโตร์ใหม่และ ตั้งค่าชื่อแทนแล้ว หากใช้คีย์สโตร์สำหรับ TLS แบบ 2 ทางระหว่าง Edge กับบริการแบ็กเอนด์ ติดต่อทีมสนับสนุนของ Apigee Edge เพื่อรีสตาร์ท Message Processor
โดยตรง	สำหรับ Truststore เท่านั้น ให้อัปโหลดใบรับรองใหม่ไปยัง Truststore	สำหรับโฮสต์เสมือน โปรดติดต่อฝ่ายสนับสนุนของ Apigee Edge เพื่อรีสตาร์ท Edge Router หากเซิร์ฟเวอร์ปลายทาง/ปลายทางใช้ Truststore ให้ติดต่อทีมสนับสนุนของ Apigee Edge เพื่อรีสตาร์ทโปรแกรมประมวลผลข้อความ

การทดสอบใบรับรองก่อนและหลัง อัปเดต

ใช้คำสั่ง openssl ต่อไปนี้เพื่อทดสอบใบรับรองปัจจุบันก่อนอัปเดต ดังนี้

echo | openssl s_client -servername HOSTNAME -connect ORG-ENV.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

โดยที่ HOSTNAME เป็นชื่อแทนโฮสต์และ ORG-ENV คือองค์กรและ ของคุณ เช่น

echo | openssl s_client -servername example.com -connect myOrg-prod.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

คุณควรเห็นผลลัพธ์ในแบบฟอร์ม:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

ใช้คำสั่งเดียวกันหลังจากที่คุณอัปเดตใบรับรองเพื่อทดสอบ

กำหนดวิธีที่โฮสต์เสมือนหรือเซิร์ฟเวอร์ปลายทาง/เป้าหมายปลายทางอ้างอิงคีย์สโตร์และ Truststore

เข้าสู่ระบบ UI การจัดการ Edge ที่ https://enterprise.apigee.com
เลือกชื่อองค์กรในเมนู UI การจัดการ Edge
สำหรับโฮสต์เสมือน ให้กำหนดวิธีที่โฮสต์เสมือนระบุคีย์สโตร์ และ Truststore
1. ดำเนินการต่อไปนี้โดยขึ้นอยู่กับเวอร์ชันของ Edge UI
  1. หากคุณใช้ EDGE UI แบบคลาสสิก ให้เลือก API > การกำหนดค่าสภาพแวดล้อม
  2. หากคุณใช้ New Edge UI ให้เลือกผู้ดูแลระบบ > สภาพแวดล้อม
2. เลือกแท็บ Virtual Hosts
3. สำหรับโฮสต์เสมือนเฉพาะที่คุณกำลังอัปเดต ให้เลือกปุ่ม แสดง เพื่อแสดงคุณสมบัติ จอแสดงผลประกอบด้วยพร็อพเพอร์ตี้ต่อไปนี้
  1. แหล่งเก็บคีย์: ชื่อของคีย์สโตร์ปัจจุบัน โดยปกติจะระบุ เป็นข้อมูลอ้างอิงใน จาก ref://mykeystoreref
    
    หรืออาจระบุด้วยชื่อโดยตรงในแบบฟอร์ม myKeystoreName หรืออาจระบุโดยตัวแปรโฟลว์ในรูปแบบ {ssl.keystore}
  2. ชื่อแทนคีย์ ค่าของคุณสมบัตินี้คือชื่อแทนใน คีย์สโตร์ คีย์สโตร์ใหม่ของคุณต้องสร้างชื่อแทนที่มี ชื่อ
  3. Trust Store: ชื่อของ Truststore ปัจจุบัน (หากมี) โดยทั่วไป ระบุเป็นการอ้างอิงใน จาก ref://mytruststoreref
    
    หรืออาจระบุด้วยชื่อโดยตรงในแบบฟอร์ม myTruststoreName หรืออาจระบุโดยตัวแปรโฟลว์ในรูปแบบ {ssl.truststorestore}
สำหรับปลายทาง/เซิร์ฟเวอร์เป้าหมายเป้าหมาย ให้ระบุวิธีที่ปลายทางเป้าหมาย ระบุคีย์สโตร์และ Truststore ดังนี้
1. ในเมนู UI การจัดการ Edge ให้เลือก API
2. เลือกชื่อพร็อกซี API
3. เลือกแท็บการพัฒนา
4. ในส่วน Target Endpoints (ปลายทางเป้าหมาย) ให้เลือก default
5. ในส่วนโค้ด คำจำกัดความของ TargetEndpoint จะปรากฏขึ้น ตรวจสอบ <SSLInfo> เพื่อดูการกำหนดคีย์สโตร์/ทรัสต์สโตร์
  
  หมายเหตุ: หากปลายทางเป้าหมายใช้เซิร์ฟเวอร์เป้าหมาย ระบบจะใช้ XML ปลายทางของปลายทางเป้าหมายปรากฏด้านล่างนี้โดยที่ แท็ก <LoadBalancer> ระบุเซิร์ฟเวอร์เป้าหมายที่ API ใช้ พร็อกซี
```
<TargetEndpoint name="default">
  …
  <HTTPTargetConnection>
    <LoadBalancer>
      <Server name="target1" />
      <Server name="target2" />
    </LoadBalancer>
    <Path>/test</Path>
  </HTTPTargetConnection>
    …
</TargetEndpoint>
```
  ตรวจสอบองค์ประกอบ <SSLInfo> ในคำจำกัดความของเซิร์ฟเวอร์เป้าหมายเพื่อระบุวิธีการ มีการกำหนดคีย์สโตร์/ทรัสต์สโตร์

อัปเดตใบรับรอง TLS ในคีย์สโตร์

เมื่อใบรับรองในคีย์สโตร์หมดอายุ คุณจะอัปโหลดใบรับรองใหม่ไปยังคีย์สโตร์ไม่ได้ แต่คุณ สร้างคีย์สโตร์ใหม่และอัปโหลดใบรับรอง จากนั้นอัปเดตโฮสต์เสมือนหรือเซิร์ฟเวอร์/เป้าหมายเป้าหมาย เพื่อใช้คีย์สโตร์ใหม่

โดยปกติ คุณจะสร้างคีย์สโตร์ใหม่ก่อนที่ใบรับรองปัจจุบันจะหมดอายุ แล้วอัปเดต โฮสต์เสมือนหรือปลายทางเป้าหมายให้ใช้คีย์สโตร์ใหม่ เพื่อให้คุณสามารถ คำขอบริการโดยไม่มีการหยุดชะงักเนื่องจากใบรับรองหมดอายุ จากนั้นคุณสามารถลบรายการเก่า คีย์สโตร์หลังจากตรวจสอบแล้วว่าคีย์สโตร์ใหม่ทำงานอย่างถูกต้อง

สำหรับการติดตั้งใช้งาน Edge ในระบบคลาวด์

สร้างคีย์สโตร์ใหม่และอัปโหลดใบรับรองและคีย์ตามที่อธิบายไว้ใน สร้างคีย์สโตร์และ Truststore โดยใช้ Edge UI

ในคีย์สโตร์ใหม่ โปรดตรวจสอบว่าคุณใช้ชื่อเดียวกันกับชื่อแทนคีย์ที่ใช้ใน แหล่งเก็บคีย์ที่มีอยู่
สำหรับโฮสต์เสมือนที่การเชื่อมต่อขาเข้าใช้ ซึ่งหมายความว่าเป็น API คำขอเข้าสู่ Edge
1. หากโฮสต์เสมือนของคุณใช้การอ้างอิงไปยังคีย์สโตร์ ให้อัปเดตข้อมูลอ้างอิง
2. หากโฮสต์เสมือนของคุณใช้ชื่อโดยตรงของคีย์สโตร์ โปรดติดต่อฝ่ายสนับสนุนของ Apigee Edge
สำหรับปลายทาง/เซิร์ฟเวอร์เป้าหมายเป้าหมายที่การเชื่อมต่อขาออกใช้ ซึ่งหมายความว่า จาก Apigee ไปยังเซิร์ฟเวอร์แบ็กเอนด์ได้ดังนี้
1. หากเซิร์ฟเวอร์ปลายทาง/เซิร์ฟเวอร์เป้าหมายใช้การอ้างอิงไปยังคีย์สโตร์ ให้อัปเดต ข้อมูลอ้างอิง ไม่จำเป็นต้องทำให้พร็อกซีใช้งานได้ใหม่
2. หากเซิร์ฟเวอร์ปลายทาง/เซิร์ฟเวอร์เป้าหมายใช้ตัวแปรโฟลว์ ให้อัปเดตตัวแปรโฟลว์ ยังไม่ได้ติดต่อ จำเป็นต้องทำให้พร็อกซีใช้งานได้ใหม่
3. หากปลายทาง/เซิร์ฟเวอร์เป้าหมายเป้าหมายใช้ชื่อโดยตรงของคีย์สโตร์ ให้อัปเดต การกำหนดค่าปลายทาง/เซิร์ฟเวอร์เป้าหมายเป้าหมายสำหรับพร็อกซี API ที่อ้างอิงพร็อกซีเก่า คีย์สโตร์และชื่อแทนคีย์เพื่ออ้างอิงคีย์สโตร์และชื่อแทนคีย์ใหม่
  
  จากนั้นคุณต้องทำให้พร็อกซีใช้งานได้อีกครั้ง
หลังจากที่คุณยืนยันว่าคีย์สโตร์ใหม่ทำงานอย่างถูกต้องแล้ว ให้ลบคีย์สโตร์เก่า คีย์สโตร์ที่มีใบรับรองและคีย์ที่หมดอายุแล้ว

อัปเดตใบรับรอง TLS ใน Truststore

เมื่อใบรับรองใน Truststore หมดอายุ โดยทั่วไปแล้วคุณจะสร้าง Truststore ใหม่และอัปโหลดใบรับรอง จากนั้นให้อัปเดตโฮสต์เสมือนหรือเซิร์ฟเวอร์/ปลายทางเป้าหมายเพื่อใช้ Truststore ใหม่

หากใบรับรองเป็นส่วนหนึ่งของชุด คุณจะต้องสร้างไฟล์เดียวที่มีใบรับรอง และอัปโหลดไฟล์นั้นไปยังชื่อแทนเดียว หรืออัปโหลดใบรับรองทั้งหมดในเชนแยกกันเพื่อ Truststore โดยใช้ชื่อแทนที่แตกต่างกันสำหรับใบรับรองแต่ละรายการ

โดยปกติ คุณจะสร้าง Truststore ใหม่ก่อนที่ใบรับรองปัจจุบันจะหมดอายุ แล้วอัปเดต โฮสต์เสมือนหรือปลายทางเป้าหมายให้ใช้ Truststore ใหม่เพื่อให้คุณดำเนินการต่อ คำขอบริการโดยไม่มีการหยุดชะงักเนื่องจากใบรับรองที่หมดอายุแล้ว จากนั้นคุณสามารถลบรายการเก่า Truststore หลังจากตรวจสอบว่า Truststore ใหม่ทำงานได้อย่างถูกต้อง

สำหรับการติดตั้งใช้งาน Edge ในระบบคลาวด์

สร้าง Truststore ใหม่และอัปโหลดใบรับรองตามที่อธิบายไว้ใน การสร้างคีย์สโตร์และ Truststore โดยใช้ Edge UI

ชื่อชื่อแทนจะไม่มีความสำคัญเมื่อคุณอัปโหลดใบรับรองใหม่ไปยัง Truststore ใหม่
สำหรับโฮสต์เสมือนที่การเชื่อมต่อขาเข้าใช้ ซึ่งหมายความว่าเป็น API คำขอเข้าสู่ Edge
1. หากโฮสต์เสมือนของคุณใช้การอ้างอิงไปยัง Truststore ให้อัปเดตการอ้างอิง
2. ถ้าโฮสต์เสมือนของคุณใช้ชื่อโดยตรงของ Truststore โปรดติดต่อทีมสนับสนุนของ Apigee Edge
สำหรับปลายทาง/เซิร์ฟเวอร์เป้าหมายเป้าหมายที่การเชื่อมต่อขาออกใช้ ซึ่งหมายความว่า จาก Apigee ไปยังเซิร์ฟเวอร์แบ็กเอนด์ได้ดังนี้
1. หากเซิร์ฟเวอร์ปลายทาง/เซิร์ฟเวอร์เป้าหมายใช้การอ้างอิงไปยัง Truststore ให้อัปเดต ข้อมูลอ้างอิง ไม่จำเป็นต้องทำให้พร็อกซีใช้งานได้ใหม่
2. หากเซิร์ฟเวอร์ปลายทาง/เซิร์ฟเวอร์เป้าหมายใช้ตัวแปรโฟลว์ ให้อัปเดตตัวแปรโฟลว์ ยังไม่ได้ติดต่อ จำเป็นต้องทำให้พร็อกซีใช้งานได้ใหม่
3. หากปลายทาง/เซิร์ฟเวอร์เป้าหมายเป้าหมายใช้ชื่อโดยตรงของ Truststore อัปเดตการกำหนดค่าเซิร์ฟเวอร์ปลายทาง/ปลายทางเป้าหมายสำหรับพร็อกซี API ที่อ้างอิง Truststore เก่าเพื่ออ้างอิงคีย์สโตร์และชื่อแทนคีย์ใหม่
  
  จากนั้นคุณต้องทำให้พร็อกซีใช้งานได้อีกครั้ง
หลังจากคุณยืนยันว่า Truststore ใหม่ทำงานได้อย่างถูกต้องแล้ว ให้ลบเวอร์ชันเก่า Truststore ที่มีใบรับรองที่หมดอายุแล้ว