تعديل شهادة بروتوكول أمان طبقة النقل (TLS) لخدمة السحابة الإلكترونية الخاصة

أنت تعرض مستندات Apigee Edge.
انتقل إلى مستندات Apigee X. معلومات

الطريقة التي تستخدمها لتحديد اسم ملف تخزين المفاتيح والمخزن الموثوق به في المضيف الظاهري نقطة النهاية المستهدفة أو الخادم المستهدف كيفية إجراء تحديث الشهادة. يمكنك تحديد اسم ملف تخزين المفاتيح والمخزن الموثوق به باستخدام:

  • المراجع - مفضّلة
  • الأسماء المباشرة
  • متغيّرات التدفق

لكل طريقة من هذه الطرق آثار مختلفة على عملية تعديل الشهادة، كما هو موضّح في الجدول التالي.

نوع الإعداد كيفية تعديل شهادة أو استبدالها طريقة تعديل المضيف الافتراضي أو نقطة النهاية المستهدفة/الخادم الهدف
المرجع (يُنصح به) بالنسبة إلى ملف تخزين مفاتيح، يمكنك إنشاء ملف تخزين مفاتيح جديد باسم جديد واسم مستعار باستخدام نفس الاسم للاسم المستعار القديم.

بالنسبة إلى Truststore، يجب إنشاء Truststore باستخدام اسم جديد.

 عليك تعديل المرجع إلى ملف تخزين المفاتيح أو ملف تخزين الثقة.

لا يلزم إعادة تشغيل جهاز التوجيه أو معالج الرسائل.
متغيرات التدفق (نقطة النهاية المستهدفة فقط) بالنسبة إلى ملف تخزين مفاتيح، يمكنك إنشاء ملف تخزين مفاتيح جديد باسم جديد واسم مستعار باستخدام بالاسم نفسه أو باسم جديد.

بالنسبة إلى Truststore، يجب إنشاء Truststore باستخدام اسم جديد.

 تمرير متغير التدفق المحدّث في كل طلب باسم ملف تخزين المفاتيح أو الاسم المستعار أو Truststore.

لا يلزم إعادة تشغيل جهاز التوجيه أو معالج الرسائل.
مباشرة عليك إنشاء ملف تخزين مفاتيح أو اسم مستعار أو مخزن شهادات جديد. عليك تحديث المضيف الافتراضي وإعادة تشغيل أجهزة التوجيه.

في حال كانت نقطة النهاية المستهدفة أو خادم مستهدف يستخدم نظام Truststore، عليك إعادة نشر الخادم الوكيل.
مباشرة احذف ملف تخزين المفاتيح أو ملف تخزين الثقة وأعِد إنشاؤه بالاسم نفسه. لا يلزم تحديث المضيف الافتراضي، ولا يلزم إعادة تشغيل جهاز التوجيه. مع ذلك، يتعذّر تنفيذ طلبات البيانات من واجهة برمجة التطبيقات حتى يتم تعيين ملف تخزين المفاتيح والاسم المستعار الجديد.

في حال استخدام ملف تخزين المفاتيح مع بروتوكول أمان طبقة النقل (TLS) ثنائي الاتجاه بين Edge وخدمة الخلفية، يُرجى إعادة التشغيل. معالِجات الرسائل.
مباشرة بالنسبة إلى Truststore فقط، يجب تحميل شهادة جديدة إلى Truststore. في حال كان هناك مضيف افتراضي يستخدم Truststore، يُرجى إعادة تشغيل أجهزة التوجيه.

في حال كانت Truststore تُستخدم بواسطة نقطة نهاية/خادم مستهدف مستهدف، يُرجى إعادة تشغيل الرسالة المعالِجات:

اختبار الشهادة قبل وبعد تَعْدِيلْ

استخدِم أوامر openssl التالية لاختبار الشهادة الحالية قبل التحديث فهو:

echo | openssl s_client -servername hostAlias -connect hostAlias.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

حيث يكون hostAlias هو اسم المضيف المستعار للمضيف الظاهري أو عنوان IP. مثلاً:

echo | openssl s_client -servername api.myCompany.com -connect api.myCompany.com:443 2>/dev/null | openssl x509 -noout -dates -subject

من المفترض أن يظهر لك الناتج في النموذج:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

استخدِم الأمر نفسه بعد تعديل الشهادة لاختبارها.

تعديل شهادة بروتوكول أمان طبقة النقل (TLS) في ملف تخزين مفاتيح

لنشر Edge داخل المؤسسة:

  1. يمكنك إنشاء ملف تخزين مفاتيح جديد وتحميل شهادة ومفتاح كما هو موضح في محفظات المفاتيح والمستودعات الموثوقة: في ملف تخزين المفاتيح الجديد، تأكد من استخدام نفس الاسم للاسم المستعار للمفتاح الذي تم استخدامه في ملف تخزين المفاتيح الحالي.

    ملاحظة: يمكنك حذف ملف تخزين المفاتيح الحالي وإنشاء ملف تخزين جديد باستخدام مفتاح التشفير نفسه الاسم والاسم المستعار. لا حاجة إلى إعادة تشغيل جهاز التوجيه. ومع ذلك، تخفق طلبات البيانات من واجهة برمجة التطبيقات إلى أن يتم تخزين المفاتيح الجديد والاسم المستعار.
  2. بالنسبة إلى المضيف الافتراضي الذي تستخدمه الاتصالات الواردة، ما يعني طلب واجهة برمجة التطبيقات في Edge:
    1. إذا كان المضيف الافتراضي يستخدم مرجعًا إلى ملف تخزين المفاتيح، يمكنك تحديث المرجع كما هو موضح في العمل تحتوي على مراجع.
    2. إذا كان المضيف الظاهري يستخدم اسمًا مباشرًا لملف تخزين المفاتيح:
      1. تحديث أي مضيفات افتراضية تشير إلى اسم ملف تخزين المفاتيح والاسم المستعار للمفتاح القديم للرجوع إلى ملف تخزين المفاتيح الجديد والاسم المستعار للمفتاح.
      2. أعِد تشغيل أجهزة التوجيه واحدة تلو الأخرى. لاحظ أنك إذا حذفت ملف تخزين المفاتيح القديم أنشأت ملف تخزين مفاتيح جديدًا بالاسم نفسه، فليس عليك إعادة تشغيل جهاز التوجيه.

        لا يلزم إعادة نشر الخادم الوكيل.
  3. بالنسبة إلى نقطة النهاية المستهدفة/الخادم المستهدف الذي تستخدمه اتصالات صادرة، مما يعني من Apigee إلى خادم خلفية:
    1. إذا كانت نقطة النهاية/الخادم المستهدف يستخدمان مراجعًا لملف تخزين المفاتيح، عليك تحديث كما هو موضّح في التعامل مع المراجع. ليست هناك حاجة لإعادة نشر الوكيل.
    2. إذا كانت نقطة النهاية/الخادم الهدف يستخدمان متغيّر تدفق، عليك تعديل متغيّر التدفق. لا أمرٌ ضروري إعادة نشر الوكيل.
    3. إذا كانت نقطة النهاية/الخادم الهدف يستخدم اسمًا مباشرًا لملف تخزين المفاتيح:
      1. عدِّل إعدادات نقطة النهاية المستهدفة أو الخادم الهدف لأي خوادم وكيلة لواجهة برمجة التطبيقات تعمل على إلى ملف تخزين المفاتيح القديم والاسم المستعار للمفتاح للإشارة إلى ملف تخزين المفاتيح والمفتاح الجديد الاسم المستعار.
      2. بالنسبة إلى أي خوادم وكيلة لواجهة برمجة التطبيقات تشير إلى ملف تخزين المفاتيح من تعريف TargetEndpoint، يجب عليك إعادة نشر الوكيل.

        إذا كانت الجهة المستهدفة من نقطة النهاية تشير إلى تعريف TargetServer وحقل TargetServer يشير تعريفه إلى ملف تخزين المفاتيح، فلا يلزم إعادة نشر الخادم الوكيل.
      3. إذا تم استخدام ملف تخزين المفاتيح مع بروتوكول أمان طبقة النقل (TLS) ثنائي الاتجاه بين Edge وخدمة الخلفية، حذفت/أعدت إنشاء ملف تخزين المفاتيح بالاسم نفسه، يجب إعادة تشغيل Edge معالِجات الرسائل.
  4. بعد التأكّد من أنّ ملف تخزين المفاتيح الجديد يعمل بشكل صحيح، احذف ملف تخزين المفاتيح القديم ملف تخزين المفاتيح مع الشهادة والمفتاح اللذين انتهت صلاحيتهما كما هو موضح أعلاه.

تعديل شهادة بروتوكول أمان طبقة النقل (TLS) في مخزن شهادات

تشير عملية تعديل شهادة في Truststore إلى عملية تعديل شهادة في حال استخدام مراجع إلى Truststore. هو نفسه لملف تخزين المفاتيح كما هو موضح أعلاه. الفرق الوحيد هو:

  • عند تحميل الشهادة الجديدة إلى Truststore الجديد، لن يكون الاسم المستعار مهمًا المتاجر الموثوقة.
  • إذا كانت الشهادة جزءًا من سلسلة، فيجب عليك إما إنشاء ملف واحد يحتوي على جميع الشهادة وتحميل هذا الملف إلى اسم مستعار واحد، أو تحميل جميع الشهادات في السلسلة بشكل منفصل إلى Truststore باستخدام اسم مستعار مختلف لكل شهادة.

في حال استخدام أسماء مباشرة لملفات تخزين المفاتيح والمستودعات الموثوق بها:

  1. حمِّل شهادة جديدة إلى Truststore كما هو موضّح في محفظات المفاتيح والمستودعات الموثوقة: وليست هناك حاجة إلى حذف الشهادة القديمة.
  2. بالنسبة إلى المضيف الافتراضي الذي تستخدمه الاتصالات الواردة، ما يعني طلب واجهة برمجة التطبيقات إلى Edge، أعد تشغيل أجهزة التوجيه واحدة تلو الأخرى.
  3. بالنسبة إلى نقطة النهاية المستهدفة/الخادم المستهدف الذي تستخدمه الاتصالات الصادرة، أي من Apigee إلى خادم خلفية، أعِد تشغيل معالِجات Edge Message Processors واحدًا تلو الآخر الوقت.
  4. تأكَّد من أنّ المتجر الجديد الموثوق به يعمل بشكل صحيح.