您正在查看 Apigee Edge 說明文件。
查看 Apigee X 說明文件。 資訊
您在虛擬主機或目標端點/目標伺服器中指定 KeyStore 和 Truststore 名稱的方法,將決定憑證更新作業的方式。您可以使用下列指令指定 KeyStore 和 Truststore 的名稱:
- 參考資料 - 建議
- 直接名稱
- 流程變數
這兩種方法對憑證更新程序的影響都不同,如下表所述。
設定類型 | 如何更新/替換憑證 | 如何更新虛擬主機、目標端點/目標伺服器 |
---|---|---|
參考資料 (建議) |
針對 KeyStore,建立具有「新名稱」和「名稱」的別名的新 KeyStore。 請為信任儲存庫建立新名稱。 |
更新 KeyStore 或 Truststore 的參照。
無須與 Apigee Edge 支援團隊聯絡。 |
流程變數 (僅限目標端點) |
針對 KeyStore,建立具有新名稱和別名 (或新名稱) 的 KeyStore。 請為信任儲存庫建立新名稱。 |
針對每個要求,使用新 KeyStore、別名或信任儲存庫的名稱傳遞更新後的流程變數。 無須與 Apigee Edge 支援團隊聯絡。 |
直接 | 建立新的 KeyStore、別名、信任儲存庫。 |
如果是虛擬主機,請與 Apigee Edge 支援團隊聯絡,重新啟動路由器。 如果目標端點/目標伺服器使用信任儲存庫,請重新部署 Proxy。 |
直接 | 刪除 KeyStore 或 TrustStore,並以相同的名稱重新建立。 |
無須更新虛擬主機。不過,您必須先設定新的 KeyStore 和別名,API 要求就會失敗。 如果 KeyStore 用於 Edge 和後端服務之間的雙向傳輸層安全標準 (TLS),請聯絡 Apigee Edge 支援團隊,以便重新啟動訊息處理器。 |
直接 | 僅適用於信任儲存庫,請將新憑證上傳至信任儲存庫。 |
如果是虛擬主機,請與 Apigee Edge 支援團隊聯絡,重新啟動 Edge Router。 如果目標端點/目標伺服器使用信任儲存庫,請聯絡 Apigee Edge 支援團隊,以便重新啟動訊息處理器。 |
在更新前後測試憑證
更新之前,請使用以下 openssl
指令測試目前的憑證:
echo | openssl s_client -servername HOSTNAME -connect ORG-ENV.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject
其中 HOSTNAME
是主機別名,ORG-ENV
則是機構和環境。例如:
echo | openssl s_client -servername example.com -connect myOrg-prod.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject
您應該會看到下列格式的輸出內容:
notBefore=Dec 30 22:11:38 2015 GMT notAfter=Dec 30 22:11:38 2016 GMT subject= /OU=Domain Control Validated/CN=*.apigee.net
更新憑證後,請使用相同的指令進行測試。
決定虛擬主機或目標端點/目標伺服器參照 KeyStore 和 Truststore 的方式
- 前往 https://enterprise.apigee.com 登入 Edge 管理 UI。
- 在 Edge Management UI 選單中,選取貴機構名稱。
-
如果是虛擬主機,請指定虛擬主機如何指定 KeyStore 和 Truststore。
- 視您的 Edge UI 版本而定:
- 如果您使用的是傳統邊緣 UI,請依序選取「API」>「環境設定」。
- 如果您使用的是「New Edge UI」,請依序選取「Admin」>「Environments」。
- 選取「Virtual Hosts」分頁標籤。
- 針對您要更新的特定虛擬主機,選取「Show」按鈕以顯示其屬性。螢幕包含下列屬性:
- Key Store:目前 KeyStore 的名稱,通常指定為
ref://mykeystoreref
中的參照。
或者,您也可透過直接名稱 (格式為myKeystoreName
) 指定,也可能由流程變數 (格式為{ssl.keystore}
) 指定。 - 金鑰別名:這個屬性的值是 KeyStore 中的別名名稱。新的 KeyStore 必須建立同名的別名。
- Trust Store:目前信任儲存庫的名稱 (如有),通常在
ref://mytruststoreref
中指定為參照。
或者,您也可透過直接名稱 (格式為myTruststoreName
) 指定,也可能由流程變數 (格式為{ssl.truststorestore}
) 指定。
- Key Store:目前 KeyStore 的名稱,通常指定為
- 視您的 Edge UI 版本而定:
-
如為目標端點/目標伺服器,請指定目標端點如何指定 KeyStore 和 Truststore:
- 在 Edge Management UI 選單中選取「API」。
- 選取 API Proxy 的名稱。
- 選取「開發」分頁標籤。
- 在「目標端點」下方,選取「預設」。
- 程式碼區域會顯示 TargetEndpoint 定義。查看
<SSLInfo>
元素,瞭解 KeyStore/truststore 的定義。
注意:如果目標端點使用目標伺服器,則目標端點的 XML 定義如下所示,其中<LoadBalancer>
標記會指定 API Proxy 使用的目標伺服器。<TargetEndpoint name="default"> … <HTTPTargetConnection> <LoadBalancer> <Server name="target1" /> <Server name="target2" /> </LoadBalancer> <Path>/test</Path> </HTTPTargetConnection> … </TargetEndpoint>
檢查目標伺服器定義中的<SSLInfo>
元素,決定 KeyStore/truststore 的定義。
更新 KeyStore 中的 TLS 憑證
KeyStore 中的憑證到期後,您就無法將新憑證上傳至 KeyStore。而是必須建立新的 KeyStore 並上傳憑證,然後將虛擬主機或目標伺服器/目標端點改為使用新的 KeyStore。
一般而言,您會在目前憑證到期前建立新的 KeyStore,然後更新虛擬主機或目標端點以使用新的 KeyStore,以便繼續因憑證過期而中斷服務要求。確認新的 KeyStore 能正常運作後,您就可以刪除舊的 KeyStore。
如為以雲端為基礎的 Edge 部署作業:
按照 使用 Edge UI 建立 KeyStore 和 TrustStore 的說明,建立新的 KeyStore 並上傳憑證和金鑰。
在新的 KeyStore 中,確保金鑰別名的名稱與現有金鑰庫使用的名稱相同。
-
針對傳入連線使用的虛擬主機 (代表向 Edge 發出的 API 要求):
- 如果您的虛擬主機使用 KeyStore 的參照,請更新參照。
- 如果您的虛擬主機採用 KeyStore 的直接名稱,請與 Apigee Edge 支援團隊聯絡。
-
針對傳出連線使用的目標端點/目標伺服器 (從 Apigee 到後端伺服器):
- 如果目標端點/目標伺服器使用 KeyStore 的參照,請更新參照。因此您不必重新部署 Proxy。
- 如果目標端點/目標伺服器使用流量變數,請更新流程變數。因此您不必重新部署 Proxy。
如果目標端點/目標伺服器使用 KeyStore 的直接名稱,請為參照舊 KeyStore 和金鑰別名的所有 API Proxy 更新目標端點/目標伺服器設定,以參照新的 KeyStore 和金鑰別名。
然後必須重新部署 Proxy。
- 確認新的 KeyStore 可以正常運作後,請刪除含有過期憑證和金鑰的舊 KeyStore。
更新信任儲存庫中的 TLS 憑證
信任儲存庫中的憑證到期後,您通常會建立新的信任儲存庫並上傳憑證,然後將虛擬主機或目標伺服器/目標端點更新為使用新的信任儲存庫。
如果憑證隸屬於某個鏈結,您必須建立包含所有憑證的單一檔案,然後將該檔案上傳到單一別名,或為每個憑證使用不同的別名,將鏈結中的所有憑證分別上傳至信任存放區。
一般來說,您會在目前憑證到期前建立新的信任儲存庫,然後更新虛擬主機或目標端點以使用新的信任儲存庫,以便繼續服務要求,不會因憑證過期而中斷。確認新的信任存放區運作正常後,您就可以刪除舊的信任存放區。
如為以雲端為基礎的 Edge 部署作業:
按照使用 Edge UI 建立 KeyStore 和 TrustStore 的說明,建立新的信任儲存庫並上傳憑證。
將新憑證上傳到新的信任儲存庫時,別名名稱沒有影響。
-
針對傳入連線使用的虛擬主機 (代表向 Edge 發出的 API 要求):
- 如果您的虛擬主機使用信任儲存庫的參照,請更新參照。
- 如果您的虛擬主機是信任儲存庫的直接名稱,請與 Apigee Edge 支援團隊聯絡。
-
針對傳出連線使用的目標端點/目標伺服器 (從 Apigee 到後端伺服器):
- 如果目標端點/目標伺服器使用信任儲存庫的參照,請更新參照。因此您不必重新部署 Proxy。
- 如果目標端點/目標伺服器使用流量變數,請更新流程變數。因此您不必重新部署 Proxy。
如果目標端點/目標伺服器使用信任儲存庫的直接名稱,請為參照舊信任儲存庫的所有 API Proxy 更新目標端點/目標伺服器設定,以參照新的 KeyStore 和金鑰別名。
然後必須重新部署 Proxy。
- 確認新信任存放區運作正常後,請刪除含有過期憑證的舊版信任儲存庫。