Cập nhật chứng chỉ TLS cho Đám mây

Bạn đang xem tài liệu về Apigee Edge.
Chuyển đến tài liệu về Apigee X. thông tin

Phương thức mà bạn sử dụng để chỉ định tên của kho khoá và kho tin cậy trong máy chủ lưu trữ ảo hoặc điểm cuối mục tiêu/máy chủ mục tiêu sẽ xác định cách bạn thực hiện việc cập nhật chứng chỉ. Bạn có thể chỉ định tên của kho khoá và kho tin cậy bằng cách sử dụng:

  • Tài liệu tham khảo – ưu tiên
  • Tên trực tiếp
  • Biến flow

Mỗi phương pháp trong số này có các hậu quả khác nhau đối với quá trình cập nhật chứng chỉ, như được mô tả trong bảng sau.

Loại cấu hình Cách cập nhật/thay thế chứng chỉ Cách cập nhật máy chủ lưu trữ ảo, thiết bị đầu cuối đích/máy chủ mục tiêu
Tham chiếu (nên dùng)

Đối với kho khoá, hãy tạo kho khoá mới có tên mới và bí danh có tên giống với bí danh cũ.

Đối với kho tin cậy, hãy tạo một kho tin cậy có tên mới.

 Cập nhật tệp tham chiếu đến kho khoá hoặc kho tin cậy.

Bạn không cần liên hệ với Nhóm hỗ trợ Apigee Edge.
Biến flow (chỉ dành cho điểm cuối mục tiêu)

Đối với kho khoá, hãy tạo kho khoá mới có tên mới và bí danh có cùng tên hoặc tên mới.

Đối với kho tin cậy, hãy tạo kho tin cậy với một tên mới.

Truyền var luồng được cập nhật trên mỗi yêu cầu bằng tên của kho khoá, bí danh mới hoặc kho tin cậy.

Bạn không cần liên hệ với Bộ phận hỗ trợ Apigee Edge.
Trực tiếp Tạo kho khoá, bí danh, kho tin cậy mới.

Đối với máy chủ lưu trữ ảo, hãy liên hệ với Nhóm hỗ trợ Apigee Edge để khởi động lại Trình định tuyến.

Nếu điểm cuối mục tiêu/máy chủ mục tiêu sử dụng kho tin cậy, hãy triển khai lại proxy.
Trực tiếp Xoá kho khoá hoặc kho khoá tin cậy rồi tạo lại kho khoá hoặc kho khoá đó bằng cùng một tên.

Không cần cập nhật máy chủ ảo. Tuy nhiên, các yêu cầu API sẽ không thành công cho đến khi bạn đặt kho khoá và tên đại diện mới.

Nếu kho khoá được dùng cho TLS hai chiều giữa Edge và dịch vụ phụ trợ, hãy liên hệ với Nhóm hỗ trợ Apigee Edge để khởi động lại Trình xử lý thông báo.
Trực tiếp Chỉ dành cho kho tin cậy, hãy tải một chứng chỉ mới lên kho tin cậy.

Đối với máy chủ ảo, hãy liên hệ với Bộ phận hỗ trợ Apigee Edge để khởi động lại Bộ định tuyến Edge.

Nếu điểm cuối mục tiêu/máy chủ mục tiêu sử dụng kho tin cậy, hãy liên hệ với Nhóm hỗ trợ Apigee Edge để khởi động lại Trình xử lý thông báo.

Kiểm tra chứng chỉ trước và sau khi nội dung cập nhật

Dùng các lệnh openssl sau để kiểm thử chứng chỉ hiện tại trước khi cập nhật nó:

echo | openssl s_client -servername HOSTNAME -connect ORG-ENV.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

trong đó HOSTNAME là bí danh của người tổ chức và ORG-ENV là tổ chức và môi trường. Ví dụ:

echo | openssl s_client -servername example.com -connect myOrg-prod.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

Bạn sẽ thấy kết quả ở dạng:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

Sử dụng cùng một lệnh sau khi bạn cập nhật chứng chỉ để kiểm thử.

Xác định cách máy chủ lưu trữ ảo hoặc điểm cuối mục tiêu/máy chủ mục tiêu tham chiếu kho khoá và kho tin cậy

  1. Đăng nhập vào giao diện người dùng quản lý Edge tại https://enterprise.apigee.com.
  2. Trong trình đơn giao diện người dùng quản lý Edge, hãy chọn tên tổ chức của bạn.
  3. Đối với máy chủ ảo, hãy xác định cách máy chủ ảo chỉ định kho khoá và kho tin cậy.
    1. Tuỳ thuộc vào phiên bản giao diện người dùng Edge:
      1. Nếu bạn đang sử dụng Giao diện người dùng cổ điển Edge: Hãy chọn API > Cấu hình môi trường.
      2. Nếu bạn đang sử dụng Giao diện người dùng Edge mới: Chọn Quản trị > môi trường.
    2. Chọn thẻ Virtual Hosts (Máy chủ ảo).
    3. Đối với máy chủ ảo cụ thể mà bạn đang cập nhật, hãy chọn nút Hiển thị để hiển thị các thuộc tính của lớp đó. Màn hình bao gồm các thuộc tính sau:
      1. Key Store (Cửa hàng khoá): Tên của kho khoá hiện tại, thường được chỉ định làm tham chiếu trong từ ref://mykeystoreref.

        Ngoài ra, bạn có thể chỉ định tên trực tiếp ở dạng myKeystoreName hoặc chỉ định bằng biến flow ở dạng {ssl.keystore}.
      2. Bí danh khoá. Giá trị của thuộc tính này là tên bí danh trong kho khoá. Kho khoá mới của bạn phải tạo một bí danh giống nhau .
      3. Trust Store: Tên của kho tin cậy hiện tại (nếu có) thường được chỉ định làm tham chiếu trong ref://mytruststoreref.

        Ngoài ra, bạn có thể chỉ định tên trực tiếp ở dạng myTruststoreName hoặc chỉ định bằng biến flow ở dạng {ssl.truststorestore}.
  4. Đối với điểm cuối đích/máy chủ mục tiêu, hãy xác định cách điểm cuối đích chỉ định kho khoá và kho tin cậy:
    1. Trong trình đơn giao diện người dùng quản lý Edge, hãy chọn API.
    2. Chọn tên của proxy API.
    3. Chọn thẻ Phát triển.
    4. Trong mục Điểm cuối mục tiêu, hãy chọn mặc định.
    5. Trong vùng mã, định nghĩa TargetEndpoint sẽ xuất hiện. Kiểm tra phần tử <SSLInfo> để xem cách xác định kho khoá/kho tin cậy.

      Lưu ý: Nếu điểm cuối đích sử dụng máy chủ đích, thì XML định nghĩa điểm cuối mục tiêu xuất hiện như bên dưới, trong đó Thẻ <LoadBalancer> chỉ định các máy chủ mục tiêu mà API sử dụng proxy. 
      <TargetEndpoint name="default">
  …
  <HTTPTargetConnection>
    <LoadBalancer>
      <Server name="target1" />
      <Server name="target2" />
    </LoadBalancer>
    <Path>/test</Path>
  </HTTPTargetConnection>
    …
</TargetEndpoint>
       Kiểm tra phần tử <SSLInfo> trong định nghĩa máy chủ mục tiêu để xác định cách thức kho khoá/đáng tin cậy (truststore) đã được định nghĩa.

Cập nhật chứng chỉ TLS trong kho khoá

Khi một chứng chỉ trong kho khoá hết hạn, bạn không thể tải chứng chỉ mới lên kho khoá. Thay vào đó, bạn tạo kho khoá mới và tải chứng chỉ lên, sau đó cập nhật máy chủ ảo hoặc máy chủ/mục tiêu điểm cuối để sử dụng kho khoá mới.

Thông thường, bạn sẽ tạo một kho khoá mới trước khi chứng chỉ hiện tại hết hạn, sau đó cập nhật máy chủ lưu trữ ảo hoặc điểm cuối mục tiêu để sử dụng kho khoá mới. Nhờ đó, bạn có thể tiếp tục xử lý các yêu cầu dịch vụ mà không bị gián đoạn do chứng chỉ đã hết hạn. Sau đó, bạn có thể xoá quảng cáo cũ kho khoá sau khi đảm bảo kho khoá mới đang hoạt động chính xác.

Cách triển khai Edge trên đám mây:

  1. Tạo kho khoá mới, cũng như tải chứng chỉ và khoá lên theo mô tả trong Tạo kho khoá và kho tin cậy bằng giao diện người dùng Edge.

    Trong kho khoá mới, hãy đảm bảo rằng bạn sử dụng cùng một tên cho bí danh khoá như đã sử dụng trong kho khoá hiện có.

  2. Đối với máy chủ ảo do một kết nối đến sử dụng, nghĩa là một yêu cầu API vào Edge:
    1. Nếu máy chủ ảo của bạn sử dụng tệp tham chiếu đến kho khoá, hãy cập nhật tệp tham chiếu đó.
    2. Nếu máy chủ lưu trữ ảo của bạn sử dụng tên trực tiếp của kho khoá, hãy liên hệ với Nhóm hỗ trợ Apigee Edge.
  3. Đối với điểm cuối mục tiêu/máy chủ mục tiêu mà một kết nối đi ra sử dụng, nghĩa là từ Apigee đến một máy chủ phụ trợ:
    1. Nếu điểm cuối/máy chủ mục tiêu sử dụng tệp tham chiếu đến kho khoá, hãy cập nhật tham chiếu. Bạn không cần triển khai lại proxy.
    2. Nếu điểm cuối mục tiêu/máy chủ mục tiêu sử dụng biến flow, hãy cập nhật biến flow. Bạn không cần phải triển khai lại proxy.

    3. Nếu điểm cuối mục tiêu/máy chủ mục tiêu sử dụng tên trực tiếp của kho khoá, hãy cập nhật cấu hình điểm cuối mục tiêu/máy chủ mục tiêu cho mọi proxy API đã tham chiếu kho khoá và bí danh khoá cũ để tham chiếu kho khoá và bí danh khoá mới.

      Sau đó, bạn phải triển khai lại proxy.

  4. Sau khi bạn xác nhận rằng kho khoá mới đang hoạt động đúng cách, hãy xoá kho khoá cũ có chứng chỉ và khoá đã hết hạn.

Cập nhật chứng chỉ TLS trong kho tin cậy

Khi một chứng chỉ trong kho tin cậy hết hạn, bạn thường tạo một kho tin cậy mới và tải chứng chỉ lên, sau đó cập nhật máy chủ lưu trữ ảo hoặc máy chủ mục tiêu/điểm cuối mục tiêu để sử dụng kho tin cậy mới.

Nếu chứng chỉ là một phần của chuỗi, thì bạn phải tạo một tệp duy nhất chứa tất cả chứng chỉ và tải tệp đó lên một bí danh duy nhất hoặc tải lên tất cả các chứng chỉ trong chuỗi một cách riêng biệt Trustedstore bằng cách sử dụng một bí danh khác nhau cho mỗi chứng chỉ.

Thông thường, bạn tạo một kho tin cậy mới trước khi chứng chỉ hiện tại hết hạn, sau đó cập nhật máy chủ ảo hoặc thiết bị đầu cuối nhắm mục tiêu của bạn nhằm sử dụng kho tin cậy mới để bạn có thể tiếp tục để yêu cầu dịch vụ mà không bị gián đoạn do chứng chỉ đã hết hạn. Sau đó, bạn có thể xoá quảng cáo cũ Truststore sau khi đảm bảo rằng kho tin cậy mới đang hoạt động đúng cách.

Đối với việc triển khai Edge trên đám mây:

  1. Tạo một kho tin cậy mới và tải chứng chỉ lên như mô tả trong phần Tạo kho khoá và kho tin cậy bằng giao diện người dùng Edge.

    Khi bạn tải chứng chỉ mới lên kho tin cậy mới, tên bí danh không quan trọng.

  2. Đối với máy chủ ảo do một kết nối đến sử dụng, nghĩa là một yêu cầu API vào Edge:
    1. Nếu máy chủ ảo của bạn sử dụng tệp tham chiếu đến kho tin cậy, hãy cập nhật tệp tham chiếu đó.
    2. Nếu máy chủ lưu trữ ảo của bạn sử dụng tên trực tiếp của kho tin cậy, hãy liên hệ với Nhóm hỗ trợ Apigee Edge.
  3. Đối với điểm cuối mục tiêu/máy chủ mục tiêu mà một kết nối đi ra sử dụng, nghĩa là từ Apigee đến một máy chủ phụ trợ:
    1. Nếu điểm cuối/máy chủ mục tiêu sử dụng tệp tham chiếu đến kho tin cậy, hãy cập nhật tham chiếu. Bạn không cần triển khai lại proxy.
    2. Nếu điểm cuối/máy chủ mục tiêu sử dụng biến luồng, hãy cập nhật biến luồng. Bạn không cần phải triển khai lại proxy.

    3. Nếu điểm cuối mục tiêu/máy chủ mục tiêu sử dụng tên trực tiếp của kho lưu trữ đáng tin cậy, hãy cập nhật cấu hình điểm cuối mục tiêu/máy chủ mục tiêu cho mọi proxy API đã tham chiếu kho lưu trữ đáng tin cậy cũ để tham chiếu kho khoá và bí danh khoá mới.

      Sau đó, bạn phải triển khai lại proxy.

  4. Sau khi bạn xác nhận rằng kho lưu trữ đáng tin cậy mới đang hoạt động đúng cách, hãy xoá kho lưu trữ đáng tin cậy cũ có chứng chỉ đã hết hạn.