Cập nhật chứng chỉ TLS cho Đám mây

Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến tài liệu về Apigee X. thông tin

Phương thức mà bạn sử dụng để chỉ định tên kho khoá và kho lưu trữ tin cậy trong máy chủ ảo hoặc máy chủ điểm cuối/máy chủ đích sẽ xác định cách bạn cập nhật chứng chỉ. Bạn có thể chỉ định tên kho khoá và kho lưu trữ tin cậy bằng cách sử dụng:

  • Tệp đối chiếu – ưu tiên
  • Tên trực tiếp
  • Biến luồng

Mỗi phương thức này đều có những hậu quả khác nhau trong quá trình cập nhật chứng chỉ, như mô tả trong bảng sau.

Loại cấu hình Cách cập nhật/thay thế chứng chỉ Cách cập nhật máy chủ ảo, thiết bị đầu cuối/máy chủ đích
Tệp đối chiếu (nên dùng)

Đối với kho khoá, hãy tạo kho khoá mới có tên mới và một bí danh có cùng tên với bí danh cũ.

Đối với kho lưu trữ tin cậy, hãy tạo một kho lưu trữ tin cậy với tên mới.

 Cập nhật tham chiếu đến kho khoá hoặc kho lưu trữ tin cậy.

Bạn không cần phải liên hệ với Nhóm hỗ trợ Apigee.
Biến luồng (chỉ điểm cuối mục tiêu)

Đối với kho khoá, hãy tạo kho khoá mới với tên mới và một bí danh có cùng tên hoặc bằng tên mới.

Đối với kho lưu trữ tin cậy, hãy tạo một kho lưu trữ tin cậy với tên mới.

Truyền var đã cập nhật cho mỗi yêu cầu bằng tên của kho khoá, bí danh hoặc kho tin cậy mới.

Bạn không cần phải liên hệ với Nhóm hỗ trợ Apigee.
Trực tiếp Tạo một kho khoá, bí danh và kho tin cậy mới.

Đối với máy chủ ảo, hãy liên hệ với Apigee Edge Support để khởi động lại Bộ định tuyến.

Nếu một kho lưu trữ tin cậy được một máy chủ đích/điểm cuối đích sử dụng, hãy triển khai lại proxy.
Trực tiếp Xoá kho khoá hoặc kho khoá tin cậy rồi tạo lại kho khoá đó bằng cùng một tên.

Không yêu cầu cập nhật máy chủ ảo. Tuy nhiên, các yêu cầu API sẽ không thành công cho đến khi kho khoá và bí danh mới được thiết lập.

Nếu kho khoá được dùng cho TLS hai chiều giữa Edge và dịch vụ phụ trợ, hãy liên hệ với Apigee Edge Support để khởi động lại Bộ xử lý thông báo.
Trực tiếp Chỉ dành cho kho lưu trữ tin cậy, hãy tải chứng chỉ mới lên kho lưu trữ tin cậy.

Đối với máy chủ ảo, hãy liên hệ với Apigee Edge Support để khởi động lại Bộ định tuyến Edge.

Nếu một máy chủ đích/mục tiêu sử dụng kho lưu trữ tin cậy, hãy liên hệ với Nhóm hỗ trợ API Edge để khởi động lại Bộ xử lý thư.

Kiểm tra chứng chỉ trước và sau khi cập nhật

Sử dụng các lệnh openssl sau đây để kiểm tra chứng chỉ hiện tại trước khi bạn cập nhật:

echo | openssl s_client -servername HOSTNAME -connect ORG-ENV.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

trong đó HOSTNAME là bí danh của máy chủ lưu trữ còn ORG-ENV là tổ chức và môi trường. Ví dụ:

echo | openssl s_client -servername example.com -connect myOrg-prod.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

Bạn sẽ thấy kết quả dưới dạng:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

Dùng chính lệnh này sau khi cập nhật chứng chỉ để kiểm tra.

Xác định cách máy chủ ảo hoặc thiết bị đầu cuối/máy chủ đích tham chiếu đến kho khoá và kho lưu trữ tin cậy

  1. Đăng nhập vào giao diện người dùng quản lý Edge tại https://enterprise.apigee.com.
  2. Trong trình đơn Giao diện người dùng quản lý cạnh, hãy chọn tên tổ chức của bạn.
  3. Đối với máy chủ ảo, hãy xác định cách máy chủ ảo chỉ định kho khoá và kho lưu trữ tin cậy.
    1. Tuỳ thuộc vào phiên bản giao diện người dùng Edge:
      1. Nếu bạn đang sử dụng giao diện người dùng Classic Edge: Hãy chọn APIs > Environment Configuration (API > Cấu hình môi trường).
      2. Nếu bạn đang sử dụng New Edge UI (Giao diện người dùng mới), hãy chọn Quản trị > Môi trường.
    2. Chọn thẻ Virtual Hosts (Máy chủ ảo).
    3. Đối với máy chủ ảo cụ thể mà bạn đang cập nhật, hãy chọn nút Show (Hiển thị) để hiển thị các thuộc tính của máy chủ đó. Màn hình bao gồm các thuộc tính sau:
      1. Key Store (Kho khoá): Tên của kho khoá hiện tại, thường được chỉ định làm tệp tham chiếu trong ref://mykeystoreref.

        Ngoài ra, bạn có thể chỉ định dữ liệu bằng tên trực tiếp, có dạng myKeystoreName hoặc bằng một biến luồng ở dạng {ssl.keystore}.
      2. Email đại diện chính. Giá trị của thuộc tính này là tên đại diện trong kho khoá. Kho khoá mới của bạn phải tạo một bí danh có cùng tên.
      3. Trust Store (Kho lưu trữ tin cậy): Tên của kho lưu trữ tin cậy hiện tại (nếu có) thường được chỉ định làm tệp tham chiếu trong ref://mytruststoreref.

        Ngoài ra, bạn có thể chỉ định dữ liệu bằng tên trực tiếp, có dạng myTruststoreName hoặc bằng một biến luồng ở dạng {ssl.truststorestore}.
  4. Đối với điểm cuối đích/máy chủ đích, hãy xác định cách điểm cuối đích chỉ định kho khoá và kho lưu trữ tin cậy:
    1. Trong trình đơn giao diện người dùng quản lý Edge, hãy chọn API.
    2. Chọn tên của proxy API.
    3. Chọn thẻ Phát triển.
    4. Trong phần Điểm cuối mục tiêu, hãy chọn mặc định.
    5. Trong vùng mã, định nghĩa TargetEndpoint sẽ xuất hiện. Kiểm tra phần tử <SSLInfo> để xem cách xác định kho khoá/cửa hàng tin cậy.

      Lưu ý: Nếu điểm cuối đích sử dụng máy chủ đích, thì định nghĩa XML của điểm cuối mục tiêu sẽ xuất hiện như bên dưới, trong đó thẻ <LoadBalancer> chỉ định máy chủ mục tiêu mà proxy API sử dụng. 
      <TargetEndpoint name="default">
  …
  <HTTPTargetConnection>
    <LoadBalancer>
      <Server name="target1" />
      <Server name="target2" />
    </LoadBalancer>
    <Path>/test</Path>
  </HTTPTargetConnection>
    …
</TargetEndpoint>
      Kiểm tra phần tử <SSLInfo> trong định nghĩa máy chủ mục tiêu để xác định cách xác định kho khoá/kho tin cậy.

Cập nhật chứng chỉ TLS trong kho khoá

Khi một chứng chỉ trong kho khoá hết hạn, bạn không thể tải chứng chỉ mới lên kho khoá. Thay vào đó, bạn sẽ tạo một kho khoá mới và tải chứng chỉ lên, sau đó cập nhật các máy chủ ảo hoặc điểm cuối của máy chủ/đích mục tiêu để sử dụng kho khoá mới.

Thông thường, bạn tạo một kho khoá mới trước khi chứng chỉ hiện tại hết hạn, sau đó cập nhật các máy chủ ảo hoặc điểm cuối đích để sử dụng kho khoá mới. Nhờ đó, bạn có thể tiếp tục thực hiện các yêu cầu dịch vụ mà không bị gián đoạn do chứng chỉ đã hết hạn. Sau đó, bạn có thể xoá kho khoá cũ sau khi đảm bảo rằng kho khoá mới đang hoạt động chính xác.

Đối với việc triển khai Edge trên đám mây:

  1. Tạo một kho khoá mới rồi tải chứng chỉ và khoá lên như mô tả trong bài viết Tạo kho khoá và kho tin cậy bằng giao diện người dùng Edge.

    Trong kho khoá mới, hãy đảm bảo rằng bạn sử dụng cùng tên cho bí danh khoá như được sử dụng trong kho khoá hiện có.

  2. Đối với máy chủ ảo mà kết nối đến sử dụng, nghĩa là yêu cầu API vào Edge:
    1. Nếu máy chủ ảo của bạn sử dụng một tệp tham chiếu đến kho khoá, hãy cập nhật tệp tham chiếu đó.
    2. Nếu máy chủ ảo của bạn sử dụng tên trực tiếp của kho khoá, hãy liên hệ với Bộ phận hỗ trợ Apigee.
  3. Đối với máy chủ đích/máy chủ đích mà một kết nối đầu ra sử dụng, nghĩa là từ quá trình ứng dụng Apigee đến một máy chủ phụ trợ:
    1. Nếu máy chủ đích/máy chủ đích sử dụng một tệp tham chiếu đến kho khoá, hãy cập nhật tệp tham chiếu đó. Bạn không cần triển khai lại proxy.
    2. Nếu máy chủ đích/máy chủ đích sử dụng biến luồng, hãy cập nhật biến luồng. Bạn không cần triển khai lại proxy.

    3. Nếu máy chủ đích/đích đến sử dụng tên trực tiếp của kho khoá, hãy cập nhật cấu hình máy chủ điểm cuối/máy chủ đích cho mọi proxy API có tham chiếu đến kho khoá và bí danh khoá cũ để tham chiếu kho khoá và bí danh khoá mới.

      Sau đó, bạn phải triển khai lại proxy.

  4. Sau khi bạn xác nhận rằng kho khoá mới của mình đang hoạt động chính xác, hãy xoá kho khoá cũ có chứng chỉ và khoá đã hết hạn.

Cập nhật chứng chỉ TLS trong Truststore

Khi chứng chỉ trong một kho lưu trữ tin cậy hết hạn, thông thường, bạn thường tạo một kho lưu trữ tin cậy mới và tải chứng chỉ lên, sau đó cập nhật máy chủ ảo hoặc máy chủ đích/điểm cuối của máy chủ đích để sử dụng kho lưu trữ tin cậy mới.

Nếu chứng chỉ là một phần của chuỗi, thì bạn phải tạo một tệp duy nhất chứa tất cả các chứng chỉ và tải tệp đó lên một bí danh duy nhất hoặc tải riêng tất cả các chứng chỉ trong chuỗi lên kho lưu trữ tin cậy bằng cách sử dụng một bí danh khác nhau cho mỗi chứng chỉ.

Thông thường, bạn tạo một kho lưu trữ tin cậy mới trước khi chứng chỉ hiện tại hết hạn, sau đó cập nhật các máy chủ ảo hoặc điểm cuối đích để sử dụng kho lưu trữ tin cậy mới nhằm tiếp tục các yêu cầu dịch vụ mà không bị gián đoạn do chứng chỉ đã hết hạn. Sau đó, bạn có thể xoá kho lưu trữ tin cậy cũ sau khi đảm bảo rằng kho lưu trữ tin cậy mới đang hoạt động đúng cách.

Đối với việc triển khai Edge trên đám mây:

  1. Tạo một kho khoá và kho tin cậy mới và tải chứng chỉ lên như mô tả trong phần Tạo kho khoá và kho tin cậy bằng giao diện người dùng Edge.

    Khi bạn tải chứng chỉ mới lên kho lưu trữ tin cậy mới, tên bí danh không quan trọng.

  2. Đối với máy chủ ảo mà kết nối đến sử dụng, nghĩa là yêu cầu API vào Edge:
    1. Nếu máy chủ ảo của bạn sử dụng tệp tham chiếu đến Truststore, hãy cập nhật tệp tham chiếu.
    2. Nếu máy chủ ảo của bạn sử dụng tên trực tiếp của kho tin cậy, hãy liên hệ với Bộ phận hỗ trợ Apigee.
  3. Đối với máy chủ đích/máy chủ đích mà một kết nối đầu ra sử dụng, nghĩa là từ quá trình ứng dụng Apigee đến một máy chủ phụ trợ:
    1. Nếu máy chủ đích/máy chủ đích sử dụng một tệp tham chiếu đến kho tin cậy, hãy cập nhật tệp tham chiếu đó. Bạn không cần triển khai lại proxy.
    2. Nếu máy chủ đích/máy chủ đích sử dụng biến luồng, hãy cập nhật biến luồng. Bạn không cần triển khai lại proxy.

    3. Nếu máy chủ đích/đích đến sử dụng tên trực tiếp của kho lưu trữ tin cậy, hãy cập nhật cấu hình máy chủ điểm cuối/đích đến của máy chủ đích cho mọi proxy API có tham chiếu kho lưu trữ tin cậy cũ để tham chiếu kho khoá và bí danh khoá mới.

      Sau đó, bạn phải triển khai lại proxy.

  4. Sau khi bạn xác nhận rằng kho lưu trữ tin cậy mới của mình đang hoạt động đúng cách, hãy xoá kho lưu trữ tin cậy cũ có chứng chỉ đã hết hạn.