TLS-Zertifikat für die private Cloud aktualisieren

<ph type="x-smartling-placeholder"></ph> Sie sehen die Dokumentation zu Apigee Edge.
Gehen Sie zur Apigee X-Dokumentation. Weitere Informationen

Die Methode, die Sie zur Angabe des Namens des Schlüsselspeichers oder des Truststores auf dem virtuellen Host oder Zielendpunkt/Zielserver nutzen, richtet sich nach der verwendeten Methode. Sie können die Name des Schlüsselspeichers und des Truststores mithilfe von:

  • Referenzen – bevorzugt
  • Direkte Namen
  • Ablaufvariablen

Jede dieser Methoden hat unterschiedliche Auswirkungen auf die Aktualisierung des Zertifikats, wie unter in der folgenden Tabelle.

Konfigurationstyp Zertifikate aktualisieren/ersetzen Virtuellen Host, Zielendpunkt/Zielserver aktualisieren
Referenz (empfohlen) Erstellen Sie für einen Schlüsselspeicher einen neuen Schlüsselspeicher mit einem neuen Namen und einem Alias mit demselben Namen wie dem des alten Alias.

Erstellen Sie bei einem Truststore einen Truststore mit einem neuen Namen.

 Aktualisieren SIe den Verweis auf den Schlüsselspeicher oder Truststore.

Ein Neustart des Routers oder Message Processor ist nicht erforderlich.
Ablaufvariablen (nur Zielendpunkt) Erstellen Sie für einen Schlüsselspeicher einen neuen Schlüsselspeicher mit einem neuen Namen und einem Alias mit demselben oder einem neuen Namen.

Erstellen Sie bei einem Truststore einen Truststore mit einem neuen Namen.

 Übergeben Sie bei jeder Anfrage die aktualisierte Ablaufvariable mit dem Namen des neuen Schlüsselspeichers, dem Alias oder des Truststore.

Ein Neustart des Routers oder Message Processor ist nicht erforderlich.
Direkt Erstellen Sie einen neuen Schlüsselspeicher, einen Alias oder einen Truststore. Aktualisieren Sie den virtuellen Host und starten Sie die Router neu.

Wenn der Truststore von einem Zielendpunkt/Zielserver verwendet wird, stellen Sie den Proxy neu bereit.
Direkt Löschen Sie den Schlüsselspeicher oder Truststore und erstellen Sie ihn noch einmal mit demselben Namen. Kein Update des virtuellen Hosts erforderlich, kein Neustart des Routers erforderlich. API-Anfragen schlagen jedoch fehl. bis der neue Schlüsselspeicher und Alias festgelegt sind.

Wenn der Schlüsselspeicher für Zwei-Wege-TLS zwischen Edge und dem Back-End-Dienst verwendet wird, starten Sie einen Neustart. die Message Processors.
Direkt Laden Sie nur für Truststores ein neues Zertifikat in den Truststore hoch. Wenn der Truststore von einem virtuellen Host verwendet wird, starten Sie die Router neu.

Wenn der Truststore von einem Zielendpunkt/Zielserver verwendet wird, starten Sie die Nachricht neu Prozessoren.

Zertifikat vor und nach dem aktualisieren

Verwenden Sie die folgenden openssl-Befehle, um das aktuelle Zertifikat vor der Aktualisierung zu testen es:

echo | openssl s_client -servername hostAlias -connect hostAlias.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

Dabei ist hostAlias der Host-Alias des virtuellen Hosts oder die IP-Adresse. Beispiel:

echo | openssl s_client -servername api.myCompany.com -connect api.myCompany.com:443 2>/dev/null | openssl x509 -noout -dates -subject

Die Ausgabe sollte im folgenden Format angezeigt werden:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

Verwenden Sie denselben Befehl, nachdem Sie das Zertifikat aktualisiert haben, um es zu testen.

TLS-Zertifikat in einem Schlüsselspeicher aktualisieren

Für eine lokale Bereitstellung von Edge:

  1. Erstellen Sie einen neuen Schlüsselspeicher und laden Sie ein Zertifikat und einen Schlüssel hoch, wie unter Schlüsselspeicher und Truststores. Achten Sie im neuen Schlüsselspeicher darauf, dass Sie für den Schlüsselalias denselben Namen wie im vorhandener Schlüsselspeicher.

    Hinweis: Sie können den aktuellen Schlüsselspeicher löschen und einen neuen mit demselben Speicher erstellen. Name und Alias. Kein Neustart des Routers erforderlich. API-Anfragen schlagen jedoch erst dann fehl, wenn der neue Schlüsselspeicher und Alias festgelegt.
  2. Für einen virtuellen Host, der von eingehenden Verbindungen, d. h. einer API-Anfrage, verwendet wird in Edge ein: <ph type="x-smartling-placeholder">
      </ph>
    1. Wenn Ihr virtueller Host einen Verweis auf den Schlüsselspeicher verwendet, aktualisieren Sie den Verweis wie folgt: wie unter Arbeiten mit Verweisen.
    2. Wenn Ihr virtueller Host einen direkten Namen des Schlüsselspeichers verwendet: <ph type="x-smartling-placeholder">
        </ph>
      1. Aktualisieren Sie alle virtuellen Hosts, die auf den alten Schlüsselspeicher und den alten Schlüssel-Alias verwiesen haben, auf auf den neuen Schlüsselspeicher und den neuen Schlüsselalias verweisen.
      2. Starten Sie die Router nacheinander neu. Wenn Sie den alten Schlüsselspeicher und einen neuen Schlüsselspeicher mit demselben Namen erstellt hat, ist kein Neustart des Routers erforderlich.

        Eine erneute Proxy-Bereitstellung ist nicht erforderlich.
  3. Bei einem Zielendpunkt/Zielserver, der von ausgehenden Verbindungen verwendet wird, von Apigee zu einem Back-End-Server: <ph type="x-smartling-placeholder">
      </ph>
    1. Wenn der Zielendpunkt/Zielserver Verweise auf den Schlüsselspeicher verwendet, aktualisieren Sie den wie unter Mit Referenzen arbeiten beschrieben. Eine erneute Bereitstellung des Proxys ist nicht erforderlich.
    2. Wenn der Zielendpunkt/Zielserver eine Flussvariable verwendet, aktualisieren Sie diese. Nein eine erneute Bereitstellung des Proxys erforderlich ist.
    3. Wenn der Zielendpunkt/Zielserver einen direkten Namen des Schlüsselspeichers verwendet: <ph type="x-smartling-placeholder">
        </ph>
      1. Aktualisieren Sie die Konfiguration des Zielendpunkts/Zielservers für alle API-Proxys, die auf den alten Schlüsselspeicher und den Schlüsselalias verwiesen hat, um auf den neuen Schlüsselspeicher und den neuen Schlüssel zu verweisen. Alias.
      2. Für alle API-Proxys, die von einer TargetEndpoint-Definition auf den Schlüsselspeicher verweisen, müssen Sie den Proxy noch einmal bereitstellen.

        Wenn der TargetEndpoint auf eine TargetServer-Definition verweist und der TargetServer auf den Schlüsselspeicher verweist, ist keine erneute Bereitstellung des Proxys erforderlich.
      3. Wenn der Schlüsselspeicher für Zwei-Wege-TLS zwischen Edge und dem Back-End-Dienst verwendet wird und Sie den Schlüsselspeicher mit demselben Namen gelöscht/neu erstellt haben, müssen Sie den Edge neu starten Message Processors.
  4. Nachdem Sie sich vergewissert haben, dass der neue Schlüsselspeicher ordnungsgemäß funktioniert, löschen Sie den alten Keystore mit dem abgelaufenen Zertifikat und dem Schlüssel, wie oben beschrieben.

TLS-Zertifikat in einem Truststore aktualisieren

Wenn Sie Verweise auf den Truststore verwenden: Aktualisieren eines Zertifikats in einem Truststore entspricht dem für einen Schlüsselspeicher, wie oben gezeigt. Die einzigen Unterschiede sind:

  • Wenn Sie das neue Zertifikat in den neuen Truststore hochladen, ist der Aliasname für Truststores.
  • Wenn ein Zertifikat zu einer Kette gehört, müssen Sie entweder eine einzelne Datei mit allen Zertifikate und laden Sie diese Datei in ein einzelnes Alias hoch oder laden Sie alle Zertifikate in der Kette separat auf und verwenden Sie für jedes Zertifikat einen anderen Alias.

Wenn Sie direkte Namen Ihrer Schlüsselspeicher und Truststores verwenden:

  1. Laden Sie ein neues Zertifikat in den Truststore hoch, wie unter Schlüsselspeicher und Truststores. Das alte Zertifikat muss nicht gelöscht werden.
  2. Für einen virtuellen Host, der von eingehenden Verbindungen, d. h. einer API-Anfrage, verwendet wird starten Sie die Router nacheinander neu.
  3. Bei einem Zielendpunkt/Zielserver, der von ausgehenden Verbindungen verwendet wird, also von Apigee zu einem Backend-Server, starten Sie die Edge Message Processor einzeln .
  4. Prüfen Sie, ob der neue Truststore ordnungsgemäß funktioniert.