คุณกำลังดูเอกสารประกอบของ Apigee Edge
ไปที่เอกสารประกอบของ Apigee X ข้อมูล
วิธีการที่คุณใช้ระบุชื่อของคีย์สโตร์และ Truststore ในโฮสต์เสมือนหรือเซิร์ฟเวอร์ปลายทาง/ปลายทางเป้าหมายจะกำหนดวิธีที่คุณอัปเดตใบรับรอง คุณระบุชื่อคีย์สโตร์และ Truststore ได้โดยใช้สิ่งต่อไปนี้
- ข้อมูลอ้างอิง - แนะนำให้มี
- ชื่อโดยตรง
- ตัวแปรโฟลว์
โดยแต่ละวิธีจะมีผลต่างกันในกระบวนการอัปเดตใบรับรองตามที่อธิบายไว้ในตารางต่อไปนี้
ประเภทการกำหนดค่า | วิธีอัปเดต/แทนที่ใบรับรอง | วิธีอัปเดตโฮสต์เสมือน, เซิร์ฟเวอร์ปลายทาง/ปลายทางเป้าหมาย |
---|---|---|
ข้อมูลอ้างอิง (แนะนำ) |
สำหรับคีย์สโตร์ ให้สร้างคีย์สโตร์ใหม่ด้วยชื่อใหม่และชื่อแทนที่มีชื่อเดียวกันกับชื่อแทนเดิม สำหรับ Truststore ให้สร้าง Truststore ด้วยชื่อใหม่ |
อัปเดตการอ้างอิงไปยังคีย์สโตร์หรือ Truststore
ไม่จำเป็นต้องติดต่อทีมสนับสนุนของ Apigee Edge |
ตัวแปรโฟลว์ (ปลายทางเป้าหมายเท่านั้น) |
สำหรับคีย์สโตร์ ให้สร้างคีย์สโตร์ใหม่ด้วยชื่อใหม่และชื่อแทนที่มีชื่อเดียวกันหรือใช้ชื่อใหม่ สำหรับ Truststore ให้สร้าง Truststore ด้วยชื่อใหม่ |
ส่งตัวแปรขั้นตอนที่อัปเดตสำหรับแต่ละคำขอด้วยชื่อของคีย์สโตร์ ชื่อแทน หรือ Truststore ใหม่ ไม่จำเป็นต้องติดต่อทีมสนับสนุนของ Apigee Edge |
Direct | สร้างคีย์สโตร์ ชื่อแทน และ Truststore ใหม่ |
สำหรับโฮสต์เสมือน โปรดติดต่อทีมสนับสนุนของ Apigee Edge เพื่อรีสตาร์ทเราเตอร์ หากปลายทาง/เซิร์ฟเวอร์เป้าหมายปลายทางใช้ Truststore ให้ทำให้พร็อกซีใช้งานได้อีกครั้ง |
Direct | ลบคีย์สโตร์หรือ Truststore แล้วสร้างใหม่โดยใช้ชื่อเดียวกัน |
ไม่ต้องอัปเดตโฮสต์เสมือน อย่างไรก็ตาม คำขอ API จะล้มเหลวจนกว่าจะมีการกำหนดคีย์สโตร์และชื่อแทนใหม่ หากใช้คีย์สโตร์สำหรับ TLS แบบ 2 ทางระหว่าง Edge และบริการแบ็กเอนด์ โปรดติดต่อฝ่ายสนับสนุนของ Apigee Edge เพื่อรีสตาร์ทตัวประมวลผลข้อความ |
Direct | สำหรับ Truststore เท่านั้น ให้อัปโหลดใบรับรองใหม่ไปยัง Truststore |
สำหรับโฮสต์เสมือน โปรดติดต่อฝ่ายสนับสนุนของ Apigee Edge เพื่อรีสตาร์ทเราเตอร์ Edge หากเซิร์ฟเวอร์ปลายทาง/เป้าหมายใช้ Truststore โปรดติดต่อฝ่ายสนับสนุนของ Apigee Edge เพื่อรีสตาร์ทเครื่องมือประมวลผลข้อความ |
การทดสอบใบรับรองก่อนและหลังการอัปเดต
ใช้คำสั่ง openssl
ต่อไปนี้เพื่อทดสอบใบรับรองปัจจุบันก่อนอัปเดต
echo | openssl s_client -servername HOSTNAME -connect ORG-ENV.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject
โดยที่ HOSTNAME
คือชื่อแทนของโฮสต์และ ORG-ENV
คือองค์กรและสภาพแวดล้อม เช่น
echo | openssl s_client -servername example.com -connect myOrg-prod.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject
คุณควรเห็นเอาต์พุตในรูปแบบต่อไปนี้
notBefore=Dec 30 22:11:38 2015 GMT notAfter=Dec 30 22:11:38 2016 GMT subject= /OU=Domain Control Validated/CN=*.apigee.net
ใช้คำสั่งเดียวกันหลังจากอัปเดตใบรับรองเพื่อทดสอบ
กำหนดวิธีที่โฮสต์เสมือนหรือปลายทาง/เซิร์ฟเวอร์เป้าหมายอ้างอิงคีย์สโตร์และ Truststore
- เข้าสู่ระบบ UI การจัดการ Edge ที่ https://enterprise.apigee.com
- ในเมนู UI การจัดการ Edge ให้เลือกชื่อองค์กรของคุณ
-
สำหรับโฮสต์เสมือน ให้ระบุวิธีที่โฮสต์เสมือนจะระบุคีย์สโตร์และ Truststore
- ดำเนินการดังต่อไปนี้โดยขึ้นอยู่กับเวอร์ชันของ Edge UI ที่คุณใช้
- หากคุณใช้ UI แบบคลาสสิก ให้เลือก API > การกำหนดค่าสภาพแวดล้อม
- หากคุณใช้ UI ของ Edge ใหม่ ให้เลือกผู้ดูแลระบบ > สภาพแวดล้อม
- เลือกแท็บ Virtual Hosts
- สำหรับโฮสต์เสมือนที่คุณกำลังอัปเดต ให้เลือกปุ่มแสดงเพื่อแสดงพร็อพเพอร์ตี้ของโฮสต์ดังกล่าว จอแสดงผลประกอบด้วยพร็อพเพอร์ตี้ต่อไปนี้
- คีย์สโตร์: ชื่อของคีย์สโตร์ปัจจุบัน ซึ่งโดยปกติจะระบุเป็นข้อมูลอ้างอิงใน "จาก
ref://mykeystoreref
"
หรืออาจระบุด้วยชื่อโดยตรงในรูปแบบmyKeystoreName
หรืออาจระบุโดยตัวแปรโฟลว์ในรูปแบบ{ssl.keystore}
- ชื่อแทนคีย์ ค่าของพร็อพเพอร์ตี้นี้คือชื่อแทนในคีย์สโตร์ คีย์สโตร์ใหม่ต้องสร้างชื่อแทนที่มีชื่อเดียวกัน
- Trust Store: ชื่อของ Truststore ปัจจุบัน (หากมี) ซึ่งโดยปกติแล้วจะระบุเป็นข้อมูลอ้างอิงใน "จาก
ref://mytruststoreref
"
หรืออาจระบุด้วยชื่อโดยตรงในรูปแบบmyTruststoreName
หรืออาจระบุโดยตัวแปรโฟลว์ในรูปแบบ{ssl.truststorestore}
- คีย์สโตร์: ชื่อของคีย์สโตร์ปัจจุบัน ซึ่งโดยปกติจะระบุเป็นข้อมูลอ้างอิงใน "จาก
- ดำเนินการดังต่อไปนี้โดยขึ้นอยู่กับเวอร์ชันของ Edge UI ที่คุณใช้
-
สำหรับปลายทาง/เซิร์ฟเวอร์เป้าหมาย ให้ระบุวิธีที่ปลายทางเป้าหมายระบุคีย์สโตร์และ Truststore ดังนี้
- ในเมนู UI การจัดการ Edge ให้เลือก API
- เลือกชื่อพร็อกซี API
- เลือกแท็บการพัฒนา
- ในส่วนปลายทางเป้าหมาย ให้เลือกค่าเริ่มต้น
- ในพื้นที่โค้ด คำจำกัดความของ TargetEndpoint จะปรากฏขึ้น ตรวจสอบองค์ประกอบ
<SSLInfo>
เพื่อดูการกำหนดคีย์สโตร์/ความน่าเชื่อถือ
หมายเหตุ: หากปลายทางเป้าหมายใช้เซิร์ฟเวอร์เป้าหมาย คำจำกัดความ XML ของปลายทางเป้าหมายจะปรากฏด้านล่าง ซึ่งแท็ก<LoadBalancer>
จะระบุเซิร์ฟเวอร์เป้าหมายที่ใช้โดยพร็อกซี API<TargetEndpoint name="default"> … <HTTPTargetConnection> <LoadBalancer> <Server name="target1" /> <Server name="target2" /> </LoadBalancer> <Path>/test</Path> </HTTPTargetConnection> … </TargetEndpoint>
ตรวจสอบองค์ประกอบ<SSLInfo>
ในคำจำกัดความเซิร์ฟเวอร์เป้าหมายเพื่อกำหนด วิธีการกำหนด keystore/truststore
อัปเดตใบรับรอง TLS ในคีย์สโตร์
เมื่อใบรับรองในคีย์สโตร์หมดอายุ คุณจะอัปโหลดใบรับรองใหม่ไปยังคีย์สโตร์ไม่ได้ แต่ให้สร้างคีย์สโตร์ใหม่และอัปโหลดใบรับรอง จากนั้นอัปเดตโฮสต์เสมือนหรือปลายทางเซิร์ฟเวอร์/ปลายทางเป้าหมายให้ใช้คีย์สโตร์ใหม่แทน
โดยทั่วไปแล้ว คุณจะสร้างคีย์สโตร์ใหม่ก่อนที่ใบรับรองปัจจุบันจะหมดอายุ แล้วอัปเดตโฮสต์เสมือนหรือปลายทางเป้าหมายให้ใช้คีย์สโตร์ใหม่เพื่อให้คุณดำเนินการต่อตามคำขอบริการได้โดยไม่หยุดชะงักเนื่องจากใบรับรองหมดอายุ จากนั้นคุณจะลบคีย์สโตร์เก่าได้หลังจากตรวจสอบแล้วว่าคีย์สโตร์ใหม่ทำงานได้อย่างถูกต้อง
สำหรับการทำให้ Edge ใช้งานได้ในระบบคลาวด์ ให้ทำดังนี้
สร้างคีย์สโตร์ใหม่และอัปโหลดใบรับรองและคีย์ตามที่อธิบายไว้ใน การสร้างคีย์สโตร์และ Truststore โดยใช้ Edge UI
ในคีย์สโตร์ใหม่ ให้ตรวจสอบว่าคุณใช้ชื่อสำหรับชื่อแทนคีย์เดียวกันกับที่ใช้ในคีย์สโตร์ที่มีอยู่
-
สำหรับโฮสต์เสมือนที่ใช้โดยการเชื่อมต่อขาเข้า ซึ่งหมายถึงคำขอ API ไปยัง Edge ให้ทำดังนี้
- หากโฮสต์เสมือนใช้การอ้างอิงไปยังคีย์สโตร์ ให้อัปเดตข้อมูลอ้างอิง
- ถ้าโฮสต์เสมือนของคุณใช้ชื่อโดยตรงของคีย์สโตร์ โปรดติดต่อฝ่ายสนับสนุนของ Apigee Edge
-
สำหรับปลายทาง/เซิร์ฟเวอร์เป้าหมายที่ใช้โดยการเชื่อมต่อขาออก ซึ่งหมายถึงการ
จาก Apigee ไปยังเซิร์ฟเวอร์แบ็กเอนด์
- หากเซิร์ฟเวอร์ปลายทาง/เป้าหมายเป้าหมายใช้การอ้างอิงไปยังคีย์สโตร์ ให้อัปเดตข้อมูลอ้างอิง ไม่จำเป็นต้องทำให้พร็อกซีใช้งานได้ใหม่
- หากเซิร์ฟเวอร์ปลายทาง/เป้าหมายเป้าหมายใช้ตัวแปรโฟลว์ ให้อัปเดตตัวแปรโฟลว์ ไม่จำเป็นต้องทำให้พร็อกซีใช้งานได้ใหม่
หากเซิร์ฟเวอร์ปลายทาง/เป้าหมายใช้ชื่อโดยตรงของคีย์สโตร์ ให้อัปเดตการกำหนดค่าเซิร์ฟเวอร์ปลายทาง/เป้าหมายสำหรับพร็อกซี API ที่อ้างอิงคีย์สโตร์และชื่อแทนคีย์เก่าเพื่ออ้างอิงคีย์สโตร์และชื่อแทนคีย์ใหม่
จากนั้น คุณต้องทำให้พร็อกซีใช้งานได้อีกครั้ง
- หลังจากที่คุณได้ยืนยันแล้วว่าคีย์สโตร์ใหม่ทำงานได้อย่างถูกต้อง ให้ลบคีย์สโตร์เก่าที่มีใบรับรองและคีย์ที่หมดอายุแล้ว
อัปเดตใบรับรอง TLS ใน Truststore
เมื่อใบรับรองใน Truststore หมดอายุ โดยปกติแล้วคุณมักจะสร้าง Truststore ใหม่และอัปโหลดใบรับรอง จากนั้นอัปเดตโฮสต์เสมือนหรือเซิร์ฟเวอร์เป้าหมาย/ปลายทางเป้าหมายเพื่อใช้ Truststore ใหม่
หากใบรับรองเป็นส่วนหนึ่งของเชน คุณต้องสร้างไฟล์เดียวที่มีใบรับรองทั้งหมดและอัปโหลดไฟล์ดังกล่าวไปยังชื่อแทนเดียว หรืออัปโหลดใบรับรองทั้งหมดในเชนแยกต่างหากไปยัง Truststore โดยใช้ชื่อแทนอื่นสำหรับใบรับรองแต่ละรายการ
โดยปกติแล้ว คุณจะต้องสร้าง Truststore ใหม่ก่อนที่ใบรับรองปัจจุบันจะหมดอายุ แล้วอัปเดตโฮสต์เสมือนหรือปลายทางเป้าหมายให้ใช้ Truststore ใหม่เพื่อให้คุณดำเนินการต่อตามคำขอบริการได้โดยไม่หยุดชะงักเนื่องจากใบรับรองหมดอายุ จากนั้น คุณจะลบ Truststore เก่าได้หลังจากตรวจสอบแล้วว่า Truststore ใหม่ทำงานอย่างถูกต้อง
สำหรับการทำให้ Edge ใช้งานได้ในระบบคลาวด์ ให้ทำดังนี้
สร้าง Truststore ใหม่และอัปโหลดใบรับรองตามที่อธิบายไว้ในการสร้างคีย์สโตร์และ Truststore โดยใช้ Edge UI
เมื่อคุณอัปโหลดใบรับรองใหม่ไปยัง Truststore ใหม่ ชื่อแทนจะไม่สำคัญ
-
สำหรับโฮสต์เสมือนที่ใช้โดยการเชื่อมต่อขาเข้า ซึ่งหมายถึงคำขอ API ไปยัง Edge ให้ทำดังนี้
- หากโฮสต์เสมือนใช้การอ้างอิงไปยัง Truststore โปรดอัปเดตข้อมูลอ้างอิง
- ถ้าโฮสต์เสมือนของคุณใช้ชื่อโดยตรงของ Truststore โปรดติดต่อฝ่ายสนับสนุนของ Apigee Edge
-
สำหรับปลายทาง/เซิร์ฟเวอร์เป้าหมายที่ใช้โดยการเชื่อมต่อขาออก ซึ่งหมายถึงการ
จาก Apigee ไปยังเซิร์ฟเวอร์แบ็กเอนด์
- หากปลายทาง/เซิร์ฟเวอร์เป้าหมายเป้าหมายใช้การอ้างอิงไปยัง Truststore ให้อัปเดตข้อมูลอ้างอิง ไม่จำเป็นต้องทำให้พร็อกซีใช้งานได้ใหม่
- หากเซิร์ฟเวอร์ปลายทาง/เป้าหมายเป้าหมายใช้ตัวแปรโฟลว์ ให้อัปเดตตัวแปรโฟลว์ ไม่จำเป็นต้องทำให้พร็อกซีใช้งานได้ใหม่
หากเซิร์ฟเวอร์ปลายทาง/เซิร์ฟเวอร์เป้าหมายใช้ชื่อโดยตรงของ Truststore โปรดอัปเดตการกำหนดค่าเซิร์ฟเวอร์ปลายทาง/เป้าหมายสำหรับพร็อกซี API ที่อ้างอิง Truststore เดิมเพื่ออ้างอิงคีย์สโตร์และชื่อแทนคีย์ใหม่
จากนั้น คุณต้องทำให้พร็อกซีใช้งานได้อีกครั้ง
- หลังจากยืนยันแล้วว่า Truststore ใหม่ทำงานได้อย่างถูกต้อง ให้ลบ Truststore เดิมที่มีใบรับรองที่หมดอายุแล้ว