تعديل شهادة بروتوكول أمان طبقة النقل (TLS) لخدمة السحابة الإلكترونية الخاصة

يتم الآن عرض مستندات Apigee Edge.
انتقِل إلى مستندات Apigee X. المعلومات

إنّ الطريقة التي تستخدمها لتحديد اسم ملف تخزين المفاتيح ومتجر الثقة في المضيف الافتراضي أو الخادم الهدف/نقطة النهاية المستهدفة تحدِّد طريقة إجراء تحديث الشهادة. يمكنك تحديد اسم ملف تخزين المفاتيح ومتجر الثقة باستخدام:

  • المراجع - مفضلة
  • الأسماء المباشرة
  • متغيرات التدفق

لكل طريقة من هذه الطرق تداعيات مختلفة على عملية تعديل الشهادات، كما هو موضّح في الجدول التالي.

نوع الإعداد طريقة تعديل شهادة أو استبدالها كيفية تعديل المضيف الافتراضي، خادم نقطة النهاية المستهدف/خادم الهدف
المرجع (يُنصح به) بالنسبة إلى ملف تخزين المفاتيح، يمكنك إنشاء ملف تخزين جديد باستخدام اسم جديد واسم بديل يحمل الاسم نفسه للاسم المستعار القديم.

بالنسبة إلى متجر Truststore، أنشِئ متجرًا موثوقًا به باستخدام اسم جديد.

 عدِّل المرجع إلى ملف تخزين المفاتيح أو ملف تخزين موثوق به.

لا يلزم إعادة تشغيل جهاز التوجيه أو معالج الرسائل.
متغيرات التدفق (نقطة النهاية المستهدفة فقط) بالنسبة إلى ملف تخزين المفاتيح، أنشِئ ملف تخزين جديدًا باستخدام اسم جديد واسم بديل بالاسم نفسه أو باسم جديد.

بالنسبة إلى متجر Truststore، أنشِئ متجرًا موثوقًا به باستخدام اسم جديد.

 عليك تمرير قيمة متغير التدفق المعدَّل في كل طلب باستخدام اسم ملف تخزين المفاتيح الجديد أو عنوان البريد الإلكتروني البديل أو ملف Truststore الجديد.

لا يلزم إعادة تشغيل جهاز التوجيه أو معالج الرسائل.
مباشرة أنشئ ملف تخزين مفاتيح جديدًا أو اسمًا مستعارًا أو ملف تخزين موثوق به. تحديث المضيف الظاهري وإعادة تشغيل أجهزة التوجيه.

إذا تم استخدام مخزن الثقة من خلال نقطة نهاية/خادم هدف، عليك إعادة نشر الخادم الوكيل.
مباشرة احذف ملف تخزين المفاتيح أو ملف Truststore وأعِد إنشائه بالاسم نفسه. لا حاجة إلى تحديث المضيف الظاهري، ولا يلزم إعادة تشغيل جهاز التوجيه. ومع ذلك، تتعذّر طلبات البيانات من واجهة برمجة التطبيقات إلى أن يتم ضبط ملف تخزين المفاتيح والعنوان البديل الجديد.

إذا تم استخدام ملف تخزين المفاتيح في بروتوكول أمان طبقة النقل (TLS) الثنائي الاتجاه بين Edge وخدمة الخلفية، عليك إعادة تشغيل معالِجات الرسائل.
مباشرة بالنسبة إلى Truststore فقط، حمِّل شهادة جديدة إلى Truststore. إذا كان مضيف افتراضي يستخدم Truststore، عليك إعادة تشغيل أجهزة التوجيه.

إذا كانت نقطة النهاية أو الخادم الهدف يستخدم Truststore، عليك إعادة تشغيل "معالجات الرسائل".

اختبار الشهادة قبل التعديل وبعده

استخدِم أوامر openssl التالية لاختبار الشهادة الحالية قبل تعديلها:

echo | openssl s_client -servername hostAlias -connect hostAlias.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

يكون فيه hostAlias هو الاسم المستعار للمضيف أو عنوان IP للمضيف الافتراضي. مثال:

echo | openssl s_client -servername api.myCompany.com -connect api.myCompany.com:443 2>/dev/null | openssl x509 -noout -dates -subject

من المفترض أن تظهر لك النتيجة على النحو التالي:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

استخدِم الأمر نفسه بعد تعديل الشهادة لاختبارها.

تعديل شهادة بروتوكول أمان طبقة النقل (TLS) في ملف تخزين مفاتيح

لنشر متصفِّح Edge على أجهزة الشركة:

  1. أنشِئ ملف تخزين مفاتيح جديدًا وحمِّل شهادة ومفتاحًا كما هو موضَّح في مخازن المفاتيح والموثوق بها. في ملف تخزين المفاتيح الجديد، تأكّد من استخدام الاسم ذاته للاسم المستعار للمفتاح الذي تم استخدامه في ملف تخزين المفاتيح الحالي.

    ملاحظة: يمكنك حذف ملف تخزين المفاتيح الحالي وإنشاء ملف جديد باستخدام الاسم والعنوان البديل نفسه. لا حاجة إلى إعادة تشغيل جهاز التوجيه. ومع ذلك، تتعذّر طلبات البيانات من واجهة برمجة التطبيقات إلى أن يتم ضبط ملف تخزين المفاتيح والعنوان البديل الجديد.
  2. بالنسبة إلى المضيف الافتراضي الذي تستخدمه الاتصالات الواردة، ما يعني طلب واجهة برمجة التطبيقات إلى Edge:
    1. إذا كان المضيف الافتراضي يستخدم مرجعًا إلى ملف تخزين المفاتيح، عدِّل المرجع كما هو موضّح في العمل باستخدام المراجع.
    2. إذا كان المضيف الافتراضي يستخدم اسمًا مباشرًا لملف تخزين المفاتيح:
      1. عدِّل أي مضيفات افتراضية أشارت إلى ملف تخزين المفاتيح القديم والعنوان البديل للمفتاح للإشارة إلى ملف تخزين المفاتيح الجديد والعنوان البديل للمفتاح.
      2. أعِد تشغيل أجهزة التوجيه، واحدًا تلو الآخر. تجدر الإشارة إلى أنّه إذا حذفت ملف تخزين المفاتيح القديم وأنشأت ملفًا جديدًا يحمل الاسم نفسه، لا حاجة إلى إعادة تشغيل جهاز التوجيه.

        ما مِن حاجة إلى إعادة نشر الخادم الوكيل.
  3. بالنسبة إلى نقطة نهاية/خادم هدف مستهدف تستخدمه الاتصالات الصادرة، أي من Apigee إلى خادم خلفية:
    1. إذا كان خادم نقطة النهاية/الخادم المستهدَف يستخدم إشارات إلى ملف تخزين المفاتيح، عدِّل المرجع على النحو الموضّح في العمل باستخدام المراجع. وليس عليك إعادة نشر الخادم الوكيل.
    2. إذا كان الخادم الهدف/نقطة النهاية المستهدف يستخدم متغير تدفق، يمكنك تعديل متغير التدفق. وليس عليك إعادة نشر الخادم الوكيل.
    3. إذا كان خادم نقطة النهاية/الخادم الهدف يستخدم اسمًا مباشرًا لملف تخزين المفاتيح:
      1. عدِّل إعدادات خادم نقطة النهاية أو الخادم الهدف لأي خوادم وكيلة لواجهة برمجة التطبيقات أشارت إلى ملف تخزين المفاتيح القديم واسم المفتاح البديل للإشارة إلى ملف تخزين المفاتيح الجديد والعنوان البديل للمفتاح.
      2. يجب إعادة نشر الخادم الوكيل لأي خوادم وكيلة لواجهة برمجة التطبيقات تشير إلى ملف تخزين المفاتيح من تعريف TargetEndpoint.

        إذا كان هدف TargetEndpoint يشير إلى تعريف TargetServer، ويشير تعريف TargetServer إلى ملف تخزين المفاتيح، ليس من الضروري إعادة نشر الخادم الوكيل.
      3. إذا تم استخدام ملف تخزين المفاتيح مع بروتوكول أمان طبقة النقل (TLS) الثنائي الاتجاه بين Edge وخدمة الخلفية، وحذفت/أعدت إنشاء ملف تخزين المفاتيح بالاسم نفسه، يجب إعادة تشغيل معالِجات رسائل Edge.
  4. بعد التأكّد من أنّ ملف تخزين المفاتيح الجديد يعمل بشكل صحيح، احذف ملف تخزين المفاتيح القديم الذي يتضمّن الشهادة والمفتاح المنتهية الصلاحية كما هو موضّح أعلاه.

تعديل شهادة بروتوكول أمان طبقة النقل (TLS) في متجر موثوق به

إذا كنت تستخدم مراجع من Truststore، تكون عملية تعديل شهادة في Truststore مماثلة لعملية تعديل شهادة في ملف تخزين المفاتيح كما هو موضَّح أعلاه. الاختلافات الوحيدة هي:

  • عند تحميل الشهادة الجديدة إلى متجر الثقة الجديد، لا يُعدّ اسم الاسم المستعار مهمًا لمتاجر الثقة.
  • إذا كانت الشهادة جزءًا من سلسلة، عليك إما إنشاء ملف واحد يحتوي على جميع الشهادات وتحميل هذا الملف إلى اسم مستعار واحد، أو تحميل جميع الشهادات في السلسلة بشكل منفصل إلى متجر Truststore باستخدام اسم مستعار مختلف لكل شهادة.

في حال استخدام أسماء مباشرة لملفات تخزين المفاتيح ومخازن الثقة:

  1. حمِّل شهادة جديدة إلى Truststore كما هو موضَّح في متاجر المفاتيح وTruststores. ما مِن حاجة إلى حذف الشهادة القديمة.
  2. بالنسبة إلى المضيف الافتراضي الذي تستخدمه الاتصالات الواردة، أي طلب واجهة برمجة التطبيقات إلى Edge، عليك إعادة تشغيل أجهزة التوجيه واحدًا تلو الآخر.
  3. بالنسبة إلى نقطة نهاية/خادم مستهدف مستهدَف تستخدمه الاتصالات الصادرة، أي من Apigee إلى خادم خلفية، عليك إعادة تشغيل معالِجات الرسائل من Edge واحدًا تلو الآخر.
  4. تأكَّد من أنّ متجرك الجديد Truststore يعمل بشكل صحيح.