หน้านี้ได้รับการแปลโดย Cloud Translation API

อัปเดตใบรับรอง TLS สําหรับระบบคลาวด์

คุณกําลังดูเอกสารประกอบของ Apigee Edge
ไปที่ เอกสารประกอบเกี่ยวกับ Apigee X. ข้อมูล

วิธีการที่คุณใช้ในการระบุชื่อของคีย์สโตร์และ Truststore ในโฮสต์เสมือน หรือปลายทาง/เซิร์ฟเวอร์เป้าหมายเป้าหมายจะกำหนดวิธีที่คุณอัปเดตใบรับรอง คุณระบุชื่อของคีย์สโตร์และทรัสต์สโตร์ได้โดยใช้

ข้อมูลอ้างอิง - แนะนำ
ชื่อโดยตรง
ตัวแปรของโฟลว์

โดยแต่ละวิธีส่งผลต่อกระบวนการอัปเดตใบรับรองแตกต่างกัน ดังที่อธิบายไว้ในตารางต่อไปนี้

ประเภทการกําหนดค่า	วิธีอัปเดต/แทนที่ใบรับรอง	วิธีอัปเดตโฮสต์เสมือน ปลายทาง/เซิร์ฟเวอร์ปลายทาง
ข้อมูลอ้างอิง (แนะนำ)	สำหรับคีย์สโตร์ ให้สร้างคีย์สโตร์ใหม่ที่มีชื่อใหม่และชื่อแทนที่มีชื่อเดียวกันกับชื่อแทนเดิม สำหรับ Truststore ให้สร้าง Truststore ด้วยชื่อใหม่	อัปเดตการอ้างอิงไปยังคีย์สโตร์หรือคลังความน่าเชื่อถือ โดยไม่จำเป็นต้องติดต่อทีมสนับสนุนของ Apigee Edge
ตัวแปรโฟลว์ (ปลายทางเป้าหมายเท่านั้น)	สำหรับคีย์สโตร์ ให้สร้างคีย์สโตร์ใหม่โดยใช้ชื่อใหม่และชื่อแทนที่มีชื่อเดียวกันหรือชื่อใหม่ สำหรับ Truststore ให้สร้าง Truststore ด้วยชื่อใหม่	ส่งตัวแปรขั้นตอนที่อัปเดตแล้วในคำขอแต่ละรายการพร้อมชื่อของคีย์สโตร์ ชื่อแทน หรือที่เก็บข้อมูลที่เชื่อถือใหม่ คุณไม่จำเป็นต้องติดต่อทีมสนับสนุนของ Apigee Edge
โดยตรง	สร้างคีย์สโตร์ ชื่อแทน และคลังความน่าเชื่อถือใหม่	สําหรับโฮสต์เสมือน ให้ติดต่อทีมสนับสนุนของ Apigee Edge เพื่อรีสตาร์ทเราเตอร์ หากเซิร์ฟเวอร์ปลายทาง/ปลายทางใช้ Truststore ให้เปิดใช้งานพร็อกซีอีกครั้ง
โดยตรง	ลบคีย์สโตร์หรือคลังความน่าเชื่อถือแล้วสร้างใหม่โดยใช้ชื่อเดิม	ไม่ต้องอัปเดตโฮสต์เสมือน แต่คำขอ API จะล้มเหลวจนกว่าจะได้คีย์สโตร์ใหม่และ ตั้งค่าชื่อแทนแล้ว หากใช้คีย์สโตร์สำหรับ TLS แบบ 2 ทางระหว่าง Edge กับบริการแบ็กเอนด์ ให้ติดต่อทีมสนับสนุนของ Apigee Edge เพื่อรีสตาร์ทโปรแกรมประมวลผลข้อความ
โดยตรง	สำหรับ Truststore เท่านั้น ให้อัปโหลดใบรับรองใหม่ไปยัง Truststore	สำหรับโฮสต์เสมือน โปรดติดต่อฝ่ายสนับสนุนของ Apigee Edge เพื่อรีสตาร์ท Edge Router หากปลายทาง/เซิร์ฟเวอร์ปลายทางใช้ที่เก็บข้อมูลเชื่อถือ ให้ติดต่อทีมสนับสนุนของ Apigee Edge เพื่อรีสตาร์ทโปรแกรมประมวลผลข้อความ

การทดสอบใบรับรองก่อนและหลังการอัปเดต

ใช้คำสั่ง openssl ต่อไปนี้เพื่อทดสอบใบรับรองปัจจุบันก่อนอัปเดต

echo | openssl s_client -servername HOSTNAME -connect ORG-ENV.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

โดยที่ HOSTNAME คืออีเมลแทนของโฮสต์ และ ORG-ENV คือองค์กรและสภาพแวดล้อม เช่น

echo | openssl s_client -servername example.com -connect myOrg-prod.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

คุณควรเห็นผลลัพธ์ในแบบฟอร์ม:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

ใช้คําสั่งเดียวกันนี้หลังจากอัปเดตใบรับรองเพื่อทดสอบ

กำหนดวิธีที่โฮสต์เสมือนหรือเซิร์ฟเวอร์ปลายทาง/เป้าหมายปลายทางอ้างอิงคีย์สโตร์และ Truststore

เข้าสู่ระบบ UI การจัดการ Edge ที่ https://enterprise.apigee.com
ในเมนู UI การจัดการ Edge ให้เลือกชื่อองค์กร
สำหรับโฮสต์เสมือน ให้กำหนดวิธีที่โฮสต์เสมือนระบุคีย์สโตร์ และ Truststore
1. ดำเนินการต่อไปนี้โดยขึ้นอยู่กับเวอร์ชันของ Edge UI
  1. หากคุณใช้ UI ของ Edge แบบคลาสสิก ให้เลือก API > การกำหนดค่าสภาพแวดล้อม
  2. หากคุณใช้ UI ของ Edge เวอร์ชันใหม่ ให้เลือกผู้ดูแลระบบ > สภาพแวดล้อม
2. เลือกแท็บโฮสต์เสมือน
3. สำหรับโฮสต์เสมือนเฉพาะที่คุณกำลังอัปเดต ให้เลือกแสดง เพื่อแสดงคุณสมบัติ จอแสดงผลประกอบด้วยพร็อพเพอร์ตี้ต่อไปนี้
  1. แหล่งเก็บคีย์: ชื่อของคีย์สโตร์ปัจจุบัน โดยปกติจะระบุ เป็นข้อมูลอ้างอิงใน จาก ref://mykeystoreref
    
    หรืออาจระบุโดยใช้ชื่อโดยตรงในรูปแบบ myKeystoreName หรือระบุโดยใช้ตัวแปรการไหลในรูปแบบ {ssl.keystore}
  2. ชื่อแทนคีย์ ค่าของคุณสมบัตินี้คือชื่อแทนใน คีย์สโตร์ คีย์สโตร์ใหม่ต้องสร้างชื่อแทนที่มีชื่อเดียวกัน
  3. ที่เก็บข้อมูลเชื่อถือ: ชื่อของที่เก็บข้อมูลเชื่อถือปัจจุบัน (หากมี) ซึ่งมักจะระบุเป็นข้อมูลอ้างอิงใน ref://mytruststoreref
    
    หรืออาจระบุด้วยชื่อโดยตรงในรูปแบบ myTruststoreName หรือระบุด้วยตัวแปรการไหลในรูปแบบ {ssl.truststorestore}
สำหรับปลายทาง/เซิร์ฟเวอร์เป้าหมาย ให้กำหนดวิธีที่ปลายทางเป้าหมายระบุคีย์สโตร์และทรัสต์สโตร์ ดังนี้
1. เลือก API ในเมนู UI การจัดการ Edge
2. เลือกชื่อของพร็อกซี API
3. เลือกแท็บการพัฒนา
4. ในส่วน Target Endpoints (ปลายทางเป้าหมาย) ให้เลือก default
5. ในส่วนโค้ด คำจำกัดความของ TargetEndpoint จะปรากฏขึ้น ตรวจสอบ <SSLInfo> เพื่อดูการกำหนดคีย์สโตร์/ทรัสต์สโตร์
  
  หมายเหตุ: หากปลายทางเป้าหมายใช้เซิร์ฟเวอร์เป้าหมาย ระบบจะใช้ XML ปลายทางของปลายทางเป้าหมายปรากฏด้านล่างนี้โดยที่ แท็ก <LoadBalancer> ระบุเซิร์ฟเวอร์เป้าหมายที่ API ใช้ พร็อกซี
```
<TargetEndpoint name="default">
  …
  <HTTPTargetConnection>
    <LoadBalancer>
      <Server name="target1" />
      <Server name="target2" />
    </LoadBalancer>
    <Path>/test</Path>
  </HTTPTargetConnection>
    …
</TargetEndpoint>
```
  ตรวจสอบองค์ประกอบ <SSLInfo> ในคำจำกัดความของเซิร์ฟเวอร์เป้าหมายเพื่อระบุวิธีการ มีการกำหนดคีย์สโตร์/ทรัสต์สโตร์

อัปเดตใบรับรอง TLS ในคีย์สโตร์

เมื่อใบรับรองในคีย์สโตร์หมดอายุ คุณจะอัปโหลดใบรับรองใหม่ไปยังคีย์สโตร์ไม่ได้ แต่คุณ สร้างคีย์สโตร์ใหม่และอัปโหลดใบรับรอง จากนั้นอัปเดตโฮสต์เสมือนหรือเซิร์ฟเวอร์/เป้าหมายเป้าหมาย เพื่อใช้คีย์สโตร์ใหม่

โดยปกติ คุณจะสร้างคีย์สโตร์ใหม่ก่อนที่ใบรับรองปัจจุบันจะหมดอายุ แล้วอัปเดต โฮสต์เสมือนหรือปลายทางเป้าหมายให้ใช้คีย์สโตร์ใหม่ เพื่อให้คุณสามารถ คำขอบริการโดยไม่มีการหยุดชะงักเนื่องจากใบรับรองหมดอายุ จากนั้นคุณสามารถลบรายการเก่า คีย์สโตร์หลังจากตรวจสอบแล้วว่าคีย์สโตร์ใหม่ทำงานอย่างถูกต้อง

สําหรับการติดตั้งใช้งาน Edge ในระบบคลาวด์ ให้ทําดังนี้

สร้างคีย์สโตร์ใหม่และอัปโหลดใบรับรองและคีย์ตามที่อธิบายไว้ในการสร้างคีย์สโตร์และทรัสต์สโตร์โดยใช้ UI ของ Edge

ในคีย์สโตร์ใหม่ โปรดตรวจสอบว่าคุณใช้ชื่อเดียวกันกับชื่อแทนคีย์ที่ใช้ใน แหล่งเก็บคีย์ที่มีอยู่
สำหรับโฮสต์เสมือนที่การเชื่อมต่อขาเข้าใช้ ซึ่งหมายความว่าเป็น API คำขอเข้าสู่ Edge
1. หากโฮสต์เสมือนใช้การอ้างอิงถึงคีย์สโตร์ ให้อัปเดตการอ้างอิง
2. หากโฮสต์เสมือนของคุณใช้ชื่อโดยตรงของคีย์สโตร์ โปรดติดต่อฝ่ายสนับสนุนของ Apigee Edge
สำหรับปลายทาง/เซิร์ฟเวอร์เป้าหมายเป้าหมายที่การเชื่อมต่อขาออกใช้ ซึ่งหมายความว่า จาก Apigee ไปยังเซิร์ฟเวอร์แบ็กเอนด์ได้ดังนี้
1. หากเซิร์ฟเวอร์ปลายทาง/เซิร์ฟเวอร์เป้าหมายใช้การอ้างอิงไปยังคีย์สโตร์ ให้อัปเดต ข้อมูลอ้างอิง ไม่จำเป็นต้องทำให้พร็อกซีใช้งานได้ใหม่
2. หากปลายทาง/เซิร์ฟเวอร์ปลายทางใช้ตัวแปรการไหล ให้อัปเดตตัวแปรการไหล ไม่ต้องมีการปรับใช้พร็อกซีอีกครั้ง
3. หากปลายทาง/เซิร์ฟเวอร์เป้าหมายเป้าหมายใช้ชื่อโดยตรงของคีย์สโตร์ ให้อัปเดต การกำหนดค่าปลายทาง/เซิร์ฟเวอร์เป้าหมายเป้าหมายสำหรับพร็อกซี API ที่อ้างอิงพร็อกซีเก่า คีย์สโตร์และชื่อแทนคีย์เพื่ออ้างอิงคีย์สโตร์และชื่อแทนคีย์ใหม่
  
  จากนั้นคุณต้องทำให้พร็อกซีใช้งานได้อีกครั้ง
หลังจากยืนยันว่าคีย์สโตร์ใหม่ทํางานอย่างถูกต้องแล้ว ให้ลบคีย์สโตร์เก่าที่มีใบรับรองและคีย์ที่หมดอายุ

อัปเดตใบรับรอง TLS ใน Truststore

เมื่อใบรับรองใน Truststore หมดอายุ โดยปกติแล้วคุณจะสร้าง Truststore ใหม่และอัปโหลดใบรับรอง จากนั้นให้อัปเดตโฮสต์เสมือนหรือเซิร์ฟเวอร์/ปลายทางเป้าหมายเพื่อใช้ Truststore ใหม่

หากใบรับรองเป็นส่วนหนึ่งของชุด คุณจะต้องสร้างไฟล์เดียวที่มีใบรับรอง และอัปโหลดไฟล์นั้นไปยังชื่อแทนเดียว หรืออัปโหลดใบรับรองทั้งหมดในเชนแยกกันเพื่อ Truststore โดยใช้ชื่อแทนที่แตกต่างกันสำหรับใบรับรองแต่ละรายการ

โดยปกติแล้ว คุณควรสร้างที่เก็บข้อมูลที่เชื่อถือใหม่ก่อนที่ใบรับรองปัจจุบันจะหมดอายุ จากนั้นอัปเดตโฮสต์เสมือนหรือปลายทางเป้าหมายให้ใช้ที่เก็บข้อมูลที่เชื่อถือใหม่เพื่อให้คุณรับคำขอบริการต่อไปได้โดยไม่หยุดชะงักเนื่องจากใบรับรองหมดอายุ จากนั้นคุณสามารถลบที่เก็บข้อมูลเชื่อถือเดิมได้หลังจากที่ตรวจสอบแล้วว่าที่เก็บข้อมูลเชื่อถือใหม่ทํางานอย่างถูกต้อง

สําหรับการติดตั้งใช้งาน Edge ในระบบคลาวด์ ให้ทําดังนี้

สร้าง Truststore ใหม่และอัปโหลดใบรับรองตามที่อธิบายไว้ใน การสร้างคีย์สโตร์และ Truststore โดยใช้ Edge UI

ชื่อชื่อแทนจะไม่มีความสำคัญเมื่อคุณอัปโหลดใบรับรองใหม่ไปยัง Truststore ใหม่
สำหรับโฮสต์เสมือนที่การเชื่อมต่อขาเข้าใช้ ซึ่งหมายความว่าเป็น API คำขอเข้าสู่ Edge
1. หากโฮสต์เสมือนใช้การอ้างอิงไปยัง Truststore ให้อัปเดตการอ้างอิง
2. ถ้าโฮสต์เสมือนของคุณใช้ชื่อโดยตรงของ Truststore โปรดติดต่อทีมสนับสนุนของ Apigee Edge
สำหรับปลายทาง/เซิร์ฟเวอร์ปลายทางที่ใช้โดยการเชื่อมต่อขาออก ซึ่งหมายความว่าจาก Apigee ไปยังเซิร์ฟเวอร์แบ็กเอนด์ ให้ทำดังนี้
1. หากปลายทาง/เซิร์ฟเวอร์เป้าหมายใช้การอ้างอิงถึงที่เก็บข้อมูลเชื่อถือ ให้อัปเดตการอ้างอิง คุณไม่จำเป็นต้องติดตั้งใช้งานพร็อกซีอีกครั้ง
2. หากเซิร์ฟเวอร์ปลายทาง/เซิร์ฟเวอร์เป้าหมายใช้ตัวแปรโฟลว์ ให้อัปเดตตัวแปรโฟลว์ ไม่ต้องมีการปรับใช้พร็อกซีใหม่
3. หากปลายทาง/เซิร์ฟเวอร์เป้าหมายเป้าหมายใช้ชื่อโดยตรงของ Truststore อัปเดตการกำหนดค่าเซิร์ฟเวอร์ปลายทาง/ปลายทางเป้าหมายสำหรับพร็อกซี API ที่อ้างอิง Truststore เก่าเพื่ออ้างอิงคีย์สโตร์และชื่อแทนคีย์ใหม่
  
  จากนั้นคุณต้องทำให้พร็อกซีใช้งานได้อีกครั้ง
หลังจากคุณยืนยันว่า Truststore ใหม่ทำงานได้อย่างถูกต้องแล้ว ให้ลบเวอร์ชันเก่า Truststore ที่มีใบรับรองที่หมดอายุแล้ว