อัปเดตใบรับรอง TLS สําหรับระบบคลาวด์

คุณกำลังดูเอกสารประกอบของ Apigee Edge
ไปที่เอกสารประกอบของ Apigee X
ข้อมูล

วิธีการที่คุณใช้ระบุชื่อของคีย์สโตร์และ Truststore ในโฮสต์เสมือนหรือเซิร์ฟเวอร์ปลายทาง/ปลายทางเป้าหมายจะกำหนดวิธีที่คุณอัปเดตใบรับรอง คุณระบุชื่อคีย์สโตร์และ Truststore ได้โดยใช้สิ่งต่อไปนี้

  • ข้อมูลอ้างอิง - แนะนำให้มี
  • ชื่อโดยตรง
  • ตัวแปรโฟลว์

โดยแต่ละวิธีจะมีผลต่างกันในกระบวนการอัปเดตใบรับรองตามที่อธิบายไว้ในตารางต่อไปนี้

ประเภทการกำหนดค่า วิธีอัปเดต/แทนที่ใบรับรอง วิธีอัปเดตโฮสต์เสมือน, เซิร์ฟเวอร์ปลายทาง/ปลายทางเป้าหมาย
ข้อมูลอ้างอิง (แนะนำ)

สำหรับคีย์สโตร์ ให้สร้างคีย์สโตร์ใหม่ด้วยชื่อใหม่และชื่อแทนที่มีชื่อเดียวกันกับชื่อแทนเดิม

สำหรับ Truststore ให้สร้าง Truststore ด้วยชื่อใหม่

อัปเดตการอ้างอิงไปยังคีย์สโตร์หรือ Truststore

ไม่จำเป็นต้องติดต่อทีมสนับสนุนของ Apigee Edge

ตัวแปรโฟลว์ (ปลายทางเป้าหมายเท่านั้น)

สำหรับคีย์สโตร์ ให้สร้างคีย์สโตร์ใหม่ด้วยชื่อใหม่และชื่อแทนที่มีชื่อเดียวกันหรือใช้ชื่อใหม่

สำหรับ Truststore ให้สร้าง Truststore ด้วยชื่อใหม่

ส่งตัวแปรขั้นตอนที่อัปเดตสำหรับแต่ละคำขอด้วยชื่อของคีย์สโตร์ ชื่อแทน หรือ Truststore ใหม่

ไม่จำเป็นต้องติดต่อทีมสนับสนุนของ Apigee Edge

Direct สร้างคีย์สโตร์ ชื่อแทน และ Truststore ใหม่

สำหรับโฮสต์เสมือน โปรดติดต่อทีมสนับสนุนของ Apigee Edge เพื่อรีสตาร์ทเราเตอร์

หากปลายทาง/เซิร์ฟเวอร์เป้าหมายปลายทางใช้ Truststore ให้ทำให้พร็อกซีใช้งานได้อีกครั้ง

Direct ลบคีย์สโตร์หรือ Truststore แล้วสร้างใหม่โดยใช้ชื่อเดียวกัน

ไม่ต้องอัปเดตโฮสต์เสมือน อย่างไรก็ตาม คำขอ API จะล้มเหลวจนกว่าจะมีการกำหนดคีย์สโตร์และชื่อแทนใหม่

หากใช้คีย์สโตร์สำหรับ TLS แบบ 2 ทางระหว่าง Edge และบริการแบ็กเอนด์ โปรดติดต่อฝ่ายสนับสนุนของ Apigee Edge เพื่อรีสตาร์ทตัวประมวลผลข้อความ

Direct สำหรับ Truststore เท่านั้น ให้อัปโหลดใบรับรองใหม่ไปยัง Truststore

สำหรับโฮสต์เสมือน โปรดติดต่อฝ่ายสนับสนุนของ Apigee Edge เพื่อรีสตาร์ทเราเตอร์ Edge

หากเซิร์ฟเวอร์ปลายทาง/เป้าหมายใช้ Truststore โปรดติดต่อฝ่ายสนับสนุนของ Apigee Edge เพื่อรีสตาร์ทเครื่องมือประมวลผลข้อความ

การทดสอบใบรับรองก่อนและหลังการอัปเดต

ใช้คำสั่ง openssl ต่อไปนี้เพื่อทดสอบใบรับรองปัจจุบันก่อนอัปเดต

echo | openssl s_client -servername HOSTNAME -connect ORG-ENV.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

โดยที่ HOSTNAME คือชื่อแทนของโฮสต์และ ORG-ENV คือองค์กรและสภาพแวดล้อม เช่น

echo | openssl s_client -servername example.com -connect myOrg-prod.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

คุณควรเห็นเอาต์พุตในรูปแบบต่อไปนี้

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

ใช้คำสั่งเดียวกันหลังจากอัปเดตใบรับรองเพื่อทดสอบ

กำหนดวิธีที่โฮสต์เสมือนหรือปลายทาง/เซิร์ฟเวอร์เป้าหมายอ้างอิงคีย์สโตร์และ Truststore

  1. เข้าสู่ระบบ UI การจัดการ Edge ที่ https://enterprise.apigee.com
  2. ในเมนู UI การจัดการ Edge ให้เลือกชื่อองค์กรของคุณ
  3. สำหรับโฮสต์เสมือน ให้ระบุวิธีที่โฮสต์เสมือนจะระบุคีย์สโตร์และ Truststore
    1. ดำเนินการดังต่อไปนี้โดยขึ้นอยู่กับเวอร์ชันของ Edge UI ที่คุณใช้
      1. หากคุณใช้ UI แบบคลาสสิก ให้เลือก API > การกำหนดค่าสภาพแวดล้อม
      2. หากคุณใช้ UI ของ Edge ใหม่ ให้เลือกผู้ดูแลระบบ > สภาพแวดล้อม
    2. เลือกแท็บ Virtual Hosts
    3. สำหรับโฮสต์เสมือนที่คุณกำลังอัปเดต ให้เลือกปุ่มแสดงเพื่อแสดงพร็อพเพอร์ตี้ของโฮสต์ดังกล่าว จอแสดงผลประกอบด้วยพร็อพเพอร์ตี้ต่อไปนี้
      1. คีย์สโตร์: ชื่อของคีย์สโตร์ปัจจุบัน ซึ่งโดยปกติจะระบุเป็นข้อมูลอ้างอิงใน "จาก ref://mykeystoreref"

        หรืออาจระบุด้วยชื่อโดยตรงในรูปแบบ myKeystoreName หรืออาจระบุโดยตัวแปรโฟลว์ในรูปแบบ {ssl.keystore}
      2. ชื่อแทนคีย์ ค่าของพร็อพเพอร์ตี้นี้คือชื่อแทนในคีย์สโตร์ คีย์สโตร์ใหม่ต้องสร้างชื่อแทนที่มีชื่อเดียวกัน
      3. Trust Store: ชื่อของ Truststore ปัจจุบัน (หากมี) ซึ่งโดยปกติแล้วจะระบุเป็นข้อมูลอ้างอิงใน "จาก ref://mytruststoreref"

        หรืออาจระบุด้วยชื่อโดยตรงในรูปแบบ myTruststoreName หรืออาจระบุโดยตัวแปรโฟลว์ในรูปแบบ {ssl.truststorestore}
  4. สำหรับปลายทาง/เซิร์ฟเวอร์เป้าหมาย ให้ระบุวิธีที่ปลายทางเป้าหมายระบุคีย์สโตร์และ Truststore ดังนี้
    1. ในเมนู UI การจัดการ Edge ให้เลือก API
    2. เลือกชื่อพร็อกซี API
    3. เลือกแท็บการพัฒนา
    4. ในส่วนปลายทางเป้าหมาย ให้เลือกค่าเริ่มต้น
    5. ในพื้นที่โค้ด คำจำกัดความของ TargetEndpoint จะปรากฏขึ้น ตรวจสอบองค์ประกอบ <SSLInfo> เพื่อดูการกำหนดคีย์สโตร์/ความน่าเชื่อถือ

      หมายเหตุ: หากปลายทางเป้าหมายใช้เซิร์ฟเวอร์เป้าหมาย คำจำกัดความ XML ของปลายทางเป้าหมายจะปรากฏด้านล่าง ซึ่งแท็ก <LoadBalancer> จะระบุเซิร์ฟเวอร์เป้าหมายที่ใช้โดยพร็อกซี API
      <TargetEndpoint name="default">
        …
        <HTTPTargetConnection>
          <LoadBalancer>
            <Server name="target1" />
            <Server name="target2" />
          </LoadBalancer>
          <Path>/test</Path>
        </HTTPTargetConnection>
          …
      </TargetEndpoint>
      ตรวจสอบองค์ประกอบ <SSLInfo> ในคำจำกัดความเซิร์ฟเวอร์เป้าหมายเพื่อกำหนด วิธีการกำหนด keystore/truststore

อัปเดตใบรับรอง TLS ในคีย์สโตร์

เมื่อใบรับรองในคีย์สโตร์หมดอายุ คุณจะอัปโหลดใบรับรองใหม่ไปยังคีย์สโตร์ไม่ได้ แต่ให้สร้างคีย์สโตร์ใหม่และอัปโหลดใบรับรอง จากนั้นอัปเดตโฮสต์เสมือนหรือปลายทางเซิร์ฟเวอร์/ปลายทางเป้าหมายให้ใช้คีย์สโตร์ใหม่แทน

โดยทั่วไปแล้ว คุณจะสร้างคีย์สโตร์ใหม่ก่อนที่ใบรับรองปัจจุบันจะหมดอายุ แล้วอัปเดตโฮสต์เสมือนหรือปลายทางเป้าหมายให้ใช้คีย์สโตร์ใหม่เพื่อให้คุณดำเนินการต่อตามคำขอบริการได้โดยไม่หยุดชะงักเนื่องจากใบรับรองหมดอายุ จากนั้นคุณจะลบคีย์สโตร์เก่าได้หลังจากตรวจสอบแล้วว่าคีย์สโตร์ใหม่ทำงานได้อย่างถูกต้อง

สำหรับการทำให้ Edge ใช้งานได้ในระบบคลาวด์ ให้ทำดังนี้

  1. สร้างคีย์สโตร์ใหม่และอัปโหลดใบรับรองและคีย์ตามที่อธิบายไว้ใน การสร้างคีย์สโตร์และ Truststore โดยใช้ Edge UI

    ในคีย์สโตร์ใหม่ ให้ตรวจสอบว่าคุณใช้ชื่อสำหรับชื่อแทนคีย์เดียวกันกับที่ใช้ในคีย์สโตร์ที่มีอยู่

  2. สำหรับโฮสต์เสมือนที่ใช้โดยการเชื่อมต่อขาเข้า ซึ่งหมายถึงคำขอ API ไปยัง Edge ให้ทำดังนี้
    1. หากโฮสต์เสมือนใช้การอ้างอิงไปยังคีย์สโตร์ ให้อัปเดตข้อมูลอ้างอิง
    2. ถ้าโฮสต์เสมือนของคุณใช้ชื่อโดยตรงของคีย์สโตร์ โปรดติดต่อฝ่ายสนับสนุนของ Apigee Edge
  3. สำหรับปลายทาง/เซิร์ฟเวอร์เป้าหมายที่ใช้โดยการเชื่อมต่อขาออก ซึ่งหมายถึงการ จาก Apigee ไปยังเซิร์ฟเวอร์แบ็กเอนด์
    1. หากเซิร์ฟเวอร์ปลายทาง/เป้าหมายเป้าหมายใช้การอ้างอิงไปยังคีย์สโตร์ ให้อัปเดตข้อมูลอ้างอิง ไม่จำเป็นต้องทำให้พร็อกซีใช้งานได้ใหม่
    2. หากเซิร์ฟเวอร์ปลายทาง/เป้าหมายเป้าหมายใช้ตัวแปรโฟลว์ ให้อัปเดตตัวแปรโฟลว์ ไม่จำเป็นต้องทำให้พร็อกซีใช้งานได้ใหม่
    3. หากเซิร์ฟเวอร์ปลายทาง/เป้าหมายใช้ชื่อโดยตรงของคีย์สโตร์ ให้อัปเดตการกำหนดค่าเซิร์ฟเวอร์ปลายทาง/เป้าหมายสำหรับพร็อกซี API ที่อ้างอิงคีย์สโตร์และชื่อแทนคีย์เก่าเพื่ออ้างอิงคีย์สโตร์และชื่อแทนคีย์ใหม่

      จากนั้น คุณต้องทำให้พร็อกซีใช้งานได้อีกครั้ง

  4. หลังจากที่คุณได้ยืนยันแล้วว่าคีย์สโตร์ใหม่ทำงานได้อย่างถูกต้อง ให้ลบคีย์สโตร์เก่าที่มีใบรับรองและคีย์ที่หมดอายุแล้ว

อัปเดตใบรับรอง TLS ใน Truststore

เมื่อใบรับรองใน Truststore หมดอายุ โดยปกติแล้วคุณมักจะสร้าง Truststore ใหม่และอัปโหลดใบรับรอง จากนั้นอัปเดตโฮสต์เสมือนหรือเซิร์ฟเวอร์เป้าหมาย/ปลายทางเป้าหมายเพื่อใช้ Truststore ใหม่

หากใบรับรองเป็นส่วนหนึ่งของเชน คุณต้องสร้างไฟล์เดียวที่มีใบรับรองทั้งหมดและอัปโหลดไฟล์ดังกล่าวไปยังชื่อแทนเดียว หรืออัปโหลดใบรับรองทั้งหมดในเชนแยกต่างหากไปยัง Truststore โดยใช้ชื่อแทนอื่นสำหรับใบรับรองแต่ละรายการ

โดยปกติแล้ว คุณจะต้องสร้าง Truststore ใหม่ก่อนที่ใบรับรองปัจจุบันจะหมดอายุ แล้วอัปเดตโฮสต์เสมือนหรือปลายทางเป้าหมายให้ใช้ Truststore ใหม่เพื่อให้คุณดำเนินการต่อตามคำขอบริการได้โดยไม่หยุดชะงักเนื่องจากใบรับรองหมดอายุ จากนั้น คุณจะลบ Truststore เก่าได้หลังจากตรวจสอบแล้วว่า Truststore ใหม่ทำงานอย่างถูกต้อง

สำหรับการทำให้ Edge ใช้งานได้ในระบบคลาวด์ ให้ทำดังนี้

  1. สร้าง Truststore ใหม่และอัปโหลดใบรับรองตามที่อธิบายไว้ในการสร้างคีย์สโตร์และ Truststore โดยใช้ Edge UI

    เมื่อคุณอัปโหลดใบรับรองใหม่ไปยัง Truststore ใหม่ ชื่อแทนจะไม่สำคัญ

  2. สำหรับโฮสต์เสมือนที่ใช้โดยการเชื่อมต่อขาเข้า ซึ่งหมายถึงคำขอ API ไปยัง Edge ให้ทำดังนี้
    1. หากโฮสต์เสมือนใช้การอ้างอิงไปยัง Truststore โปรดอัปเดตข้อมูลอ้างอิง
    2. ถ้าโฮสต์เสมือนของคุณใช้ชื่อโดยตรงของ Truststore โปรดติดต่อฝ่ายสนับสนุนของ Apigee Edge
  3. สำหรับปลายทาง/เซิร์ฟเวอร์เป้าหมายที่ใช้โดยการเชื่อมต่อขาออก ซึ่งหมายถึงการ จาก Apigee ไปยังเซิร์ฟเวอร์แบ็กเอนด์
    1. หากปลายทาง/เซิร์ฟเวอร์เป้าหมายเป้าหมายใช้การอ้างอิงไปยัง Truststore ให้อัปเดตข้อมูลอ้างอิง ไม่จำเป็นต้องทำให้พร็อกซีใช้งานได้ใหม่
    2. หากเซิร์ฟเวอร์ปลายทาง/เป้าหมายเป้าหมายใช้ตัวแปรโฟลว์ ให้อัปเดตตัวแปรโฟลว์ ไม่จำเป็นต้องทำให้พร็อกซีใช้งานได้ใหม่
    3. หากเซิร์ฟเวอร์ปลายทาง/เซิร์ฟเวอร์เป้าหมายใช้ชื่อโดยตรงของ Truststore โปรดอัปเดตการกำหนดค่าเซิร์ฟเวอร์ปลายทาง/เป้าหมายสำหรับพร็อกซี API ที่อ้างอิง Truststore เดิมเพื่ออ้างอิงคีย์สโตร์และชื่อแทนคีย์ใหม่

      จากนั้น คุณต้องทำให้พร็อกซีใช้งานได้อีกครั้ง

  4. หลังจากยืนยันแล้วว่า Truststore ใหม่ทำงานได้อย่างถูกต้อง ให้ลบ Truststore เดิมที่มีใบรับรองที่หมดอายุแล้ว