更新 Cloud 的 TLS 证书

您正在查看的是 Apigee Edge 文档。
转到 Apigee X 文档
信息

用于在虚拟主机或目标端点/目标服务器中指定密钥库和信任库的名称的方法决定了执行证书更新的方式。您可以使用以下命令指定密钥库和信任库的名称:

  • 参考文献 - 首选
  • 直接名称
  • 流变量

每种方法对证书更新过程的影响各不相同,如下表所示。

配置类型 如何更新/替换证书 如何更新虚拟主机和目标端点/目标服务器
参考(推荐)

对于密钥库,请使用新名称以及一个与旧别名相同名称的别名来创建新密钥库。

对于信任库,使用新名称创建信任库。

更新对密钥库或信任库的引用。

无需与 Apigee Edge 支持团队联系。

流变量(仅限目标端点)

对于密钥库,请使用新名称和别名(具有相同名称或新名称)创建新密钥库。

对于信任库,使用新名称创建信任库。

使用新密钥库、别名或信任存储区的名称为每个请求传递更新后的流变量。

无需与 Apigee Edge 支持团队联系。

直接 创建新的密钥库、别名、信任库。

对于虚拟主机,请联系 Apigee Edge 支持团队以重启路由器。

如果目标端点/目标服务器使用信任库,请重新部署代理。

直接 删除密钥库或信任库,然后使用相同的名称重新创建密钥库或信任库。

不需要更新虚拟主机。不过,在设置新的密钥库和别名之前,API 请求会失败。

如果密钥库用于 Edge 和后端服务之间的双向 TLS,请联系 Apigee Edge 支持团队以重启消息处理器。

直接 仅针对信任库,将新证书上传到信任库。

对于虚拟主机,请联系 Apigee Edge 支持团队以重启边缘路由器。

如果目标端点/目标服务器使用了该信任库,请联系 Apigee Edge 支持团队以重启消息处理器。

在更新前后测试证书

在更新当前证书之前,请使用以下 openssl 命令测试该证书:

echo | openssl s_client -servername HOSTNAME -connect ORG-ENV.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

其中 HOSTNAME 是主机别名,ORG-ENV 是组织和环境。例如:

echo | openssl s_client -servername example.com -connect myOrg-prod.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

您会在表单中看到输出:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

更新证书后,使用相同的命令进行测试。

确定虚拟主机或目标端点/目标服务器如何引用密钥库和信任库

  1. 访问 https://enterprise.apigee.com,登录 Edge 管理界面。
  2. 在 Edge 管理界面菜单中,选择您的组织名称。
  3. 对于虚拟主机,确定虚拟主机如何指定密钥库和信任库。
    1. 根据您的 Edge 界面版本,执行以下操作:
      1. 如果您使用的是传统版 Edge 界面:依次选择 API > 环境配置
      2. 如果您使用的是新版 Edge 界面:请依次选择管理 > 环境
    2. 选择 Virtual Hosts(虚拟主机)标签页。
    3. 对于要更新的特定虚拟主机,选择 Show 按钮以显示其属性。该屏幕包含以下属性:
      1. Key Store:当前密钥库的名称,通常在 ref://mykeystoreref 中指定为引用。

        或者,可用直接名称指定(格式为 myKeystoreName),或由流变量指定(格式为 {ssl.keystore})。
      2. 密钥别名 -此属性的值是密钥库中的别名。新的密钥库必须创建具有相同名称的别名。
      3. Trust Store:当前信任库的名称(如果有),通常指定为 ref://mytruststoreref 中的引用。

        或者,可用直接名称指定(格式为 myTruststoreName),或由流变量指定(格式为 {ssl.truststorestore})。
  4. 对于目标端点/目标服务器,请确定目标端点如何指定密钥库和信任库:
    1. 在 Edge 管理界面菜单中,选择 API
    2. 选择 API 代理的名称。
    3. 选择 Development 标签页。
    4. 目标端点下,选择默认
    5. 代码区会显示 TargetEndpoint 定义。检查 <SSLInfo> 元素可了解密钥库/truststore 的定义方式。

      注意:如果目标端点使用目标服务器,则目标端点的 XML 定义如下所示,其中 <LoadBalancer> 标记指定 API 代理使用的目标服务器。
      <TargetEndpoint name="default">
        …
        <HTTPTargetConnection>
          <LoadBalancer>
            <Server name="target1" />
            <Server name="target2" />
          </LoadBalancer>
          <Path>/test</Path>
        </HTTPTargetConnection>
          …
      </TargetEndpoint>
      检查目标服务器定义中的 <SSLInfo> 元素,以确定密钥库/truststore 的定义方式。

更新密钥库中的 TLS 证书

当密钥库中的证书到期后,您将无法向密钥库上传新证书。您可以创建新的密钥库并上传证书,然后更新虚拟主机或目标服务器/目标端点以使用新的密钥库。

通常,您可以在当前证书到期之前创建新的密钥库,然后将虚拟主机或目标端点更新为使用新的密钥库,这样您就可以继续处理服务请求,而不会因证书过期而中断。然后,您可以在确保新的密钥库正常运行后删除旧的密钥库。

对于基于云的 Edge 部署:

  1. 创建新的密钥库并上传证书和密钥,如 使用 Edge 界面创建密钥库和信任库中所述。

    在新的密钥库中,确保密钥别名使用与现有密钥库中相同的名称

  2. 对于入站连接使用的虚拟主机,即 Edge 中的 API 请求
    1. 如果您的虚拟主机使用对密钥库的引用,请更新引用。
    2. 如果您的虚拟主机使用密钥库的直接名称,请与 Apigee Edge 支持团队联系。
  3. 对于出站连接(即从 Apigee 到后端服务器)使用的目标端点/目标服务器
    1. 如果目标端点/目标服务器使用对密钥库的引用,请更新引用。无需重新部署代理。
    2. 如果目标端点/目标服务器使用流变量,请更新流变量。无需重新部署代理。
    3. 如果目标端点/目标服务器使用密钥库的直接名称,请为引用旧密钥库和密钥别名的所有 API 代理更新目标端点/目标服务器配置,以引用新的密钥库和密钥别名。

      然后,您必须重新部署该代理。

  4. 确认新的密钥库可正常工作后,删除证书和密钥已过期的旧密钥库。

更新信任库中的 TLS 证书

当信任库中的证书过期时,您通常需要创建新的信任库并上传证书,然后更新虚拟主机或目标服务器/目标端点以使用新的信任库。

如果证书是链的一部分,则必须创建包含所有证书的单个文件,并将该文件上传到单个别名,或者将链中的所有证书分别上传到信任库(为每个证书使用不同的别名)。

通常,您可以在当前证书到期之前创建新的信任库,然后将虚拟主机或目标端点更新为使用新的信任库,这样,您就可以继续处理服务请求,而不会因证书过期而中断。然后,您可以在确保新的信任库正常运行后删除旧的信任库。

对于基于云的 Edge 部署:

  1. 按照使用 Edge 界面创建密钥库和信任库中的说明,创建新的信任库并上传证书。

    将新证书上传到新的信任库时,别名名称无关紧要。

  2. 对于入站连接使用的虚拟主机,即 Edge 中的 API 请求
    1. 如果您的虚拟主机使用了对信任库的引用,请更新该引用。
    2. 如果您的虚拟主机使用可信存储区的直接名称,请与 Apigee Edge 支持团队联系。
  3. 对于出站连接(即从 Apigee 到后端服务器)使用的目标端点/目标服务器
    1. 如果目标端点/目标服务器使用对信任库的引用,请更新引用。无需重新部署代理。
    2. 如果目标端点/目标服务器使用流变量,请更新流变量。无需重新部署代理。
    3. 如果目标端点/目标服务器使用信任库的直接名称,请为引用旧信任库的所有 API 代理更新目标端点/目标服务器配置,以引用新的密钥库和密钥别名。

      然后,您必须重新部署该代理。

  4. 确认新的信任库正常运行后,请删除包含过期证书的旧信任库。