TLS-Zertifikat für die private Cloud aktualisieren

Sie sehen die Dokumentation zu Apigee Edge.
Zur Apigee X-Dokumentation weitere Informationen

Die Methode, die Sie zur Angabe des Namens des Schlüsselspeichers oder des Truststores auf dem virtuellen Host oder Zielendpunkt/Zielserver nutzen, richtet sich nach der verwendeten Methode. Sie können den Namen des Schlüsselspeichers und Truststores mit folgendem Befehl angeben:

  • Referenzen – bevorzugt
  • Direkte Namen
  • Ablaufvariablen

Jede dieser Methoden wirkt sich wie in der folgenden Tabelle beschrieben auf die Aktualisierung des Zertifikats aus.

Konfigurationstyp Zertifikate aktualisieren/ersetzen Virtuellen Host, Zielendpunkt/Zielserver aktualisieren
Referenz (empfohlen) Erstellen Sie für einen Schlüsselspeicher einen neuen Schlüsselspeicher mit einem neuen Namen und einem Alias mit demselben Namen wie dem alten Alias.

Erstellen Sie bei einem Truststore einen Truststore mit einem neuen Namen.

 Aktualisieren Sie den Verweis auf den Schlüsselspeicher oder Truststore.

Es ist kein Neustart des Routers oder Message Processor erforderlich.
Ablaufvariablen (nur Zielendpunkt) Erstellen Sie für einen Schlüsselspeicher einen neuen Schlüsselspeicher mit einem neuen Namen und einem Alias mit demselben oder einem neuen Namen.

Erstellen Sie bei einem Truststore einen Truststore mit einem neuen Namen.

 Übergeben Sie die aktualisierte Ablaufvariable bei jeder Anfrage mit dem Namen des neuen Schlüsselspeichers, Alias oder Truststores.

Es ist kein Neustart des Routers oder Message Processor erforderlich.
Direkt Erstellen Sie einen neuen Schlüsselspeicher, einen Alias oder einen Truststore. Aktualisieren Sie den virtuellen Host und starten Sie die Router neu.

Wenn der Truststore von einem Zielendpunkt/Zielserver verwendet wird, stellen Sie den Proxy neu bereit.
Direkt Löschen Sie den Schlüsselspeicher oder Truststore und erstellen Sie ihn noch einmal mit demselben Namen. Es ist kein Update des virtuellen Hosts erforderlich und kein Routerneustart erforderlich. API-Anfragen schlagen jedoch fehl, bis der neue Schlüsselspeicher und Alias festgelegt wurde.

Wenn der Schlüsselspeicher für Zwei-Wege-TLS zwischen Edge und dem Back-End-Dienst verwendet wird, starten Sie die Message Processors neu.
Direkt Laden Sie nur für Truststores ein neues Zertifikat in den Truststore hoch. Wenn der Truststore von einem virtuellen Host verwendet wird, starten Sie die Router neu.

Wenn der Truststore von einem Zielendpunkt/Zielserver verwendet wird, starten Sie die Nachrichtenprozessoren neu.

Zertifikat vor und nach dem Update testen

Verwenden Sie die folgenden openssl-Befehle, um das aktuelle Zertifikat zu testen, bevor Sie es aktualisieren:

echo | openssl s_client -servername hostAlias -connect hostAlias.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

Dabei ist hostAlias der Hostalias des virtuellen Hosts oder der IP-Adresse. Beispiel:

echo | openssl s_client -servername api.myCompany.com -connect api.myCompany.com:443 2>/dev/null | openssl x509 -noout -dates -subject

Die Ausgabe sollte im folgenden Format angezeigt werden:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

Verwenden Sie denselben Befehl, nachdem Sie das Zertifikat aktualisiert haben, um es zu testen.

TLS-Zertifikat in einem Schlüsselspeicher aktualisieren

Für eine lokale Bereitstellung von Edge:

  1. Erstellen Sie einen neuen Schlüsselspeicher und laden Sie ein Zertifikat und einen Schlüssel hoch, wie unter Schlüsselspeicher und Truststores beschrieben. Achten Sie darauf, dass Sie im neuen Schlüsselspeicher denselben Namen für den Schlüsselalias verwenden, der im vorhandenen Schlüsselspeicher verwendet wurde.

    Hinweis: Sie können den aktuellen Schlüsselspeicher löschen und einen neuen mit demselben Namen und Alias erstellen. Es ist kein Neustart des Routers erforderlich. API-Anfragen schlagen jedoch fehl, bis der neue Schlüsselspeicher und der Alias festgelegt wurden.
  2. Für einen virtuellen Host, der von einer eingehenden Verbindung verwendet wird, d. h. einer API-Anfrage an Edge:
    1. Wenn der virtuelle Host einen Verweis auf den Schlüsselspeicher verwendet, aktualisieren Sie den Verweis wie unter Mit Referenzen arbeiten beschrieben.
    2. Wenn der virtuelle Host einen direkten Namen des Schlüsselspeichers verwendet:
      1. Aktualisieren Sie alle virtuellen Hosts, die auf den alten Schlüsselspeicher und den alten Schlüsselalias verwiesen haben, um auf den neuen Schlüsselspeicher und den neuen Schlüsselalias zu verweisen.
      2. Starten Sie die Router nacheinander neu. Wenn Sie den alten Schlüsselspeicher gelöscht und einen neuen Schlüsselspeicher mit demselben Namen erstellt haben, ist kein Neustart des Routers erforderlich.

        Es ist keine erneute Proxybereitstellung erforderlich.
  3. Für einen Zielendpunkt/Zielserver, der von ausgehenden Verbindungen verwendet wird, d. h. von Apigee zu einem Back-End-Server:
    1. Wenn der Zielendpunkt/Zielserver Verweise auf den Schlüsselspeicher verwendet, aktualisieren Sie den Verweis wie unter Mit Referenzen arbeiten beschrieben. Es ist keine erneute Proxybereitstellung erforderlich.
    2. Wenn der Zielendpunkt/Zielserver eine Ablaufvariable verwendet, aktualisieren Sie diese Variable. Eine erneute Proxybereitstellung ist nicht erforderlich.
    3. Wenn der Zielendpunkt/Zielserver einen direkten Namen des Schlüsselspeichers verwendet:
      1. Aktualisieren Sie die Konfiguration des Zielendpunkts/Zielservers für alle API-Proxys, die auf den alten Schlüsselspeicher und den alten Schlüsselalias verwiesen haben, um auf den neuen Schlüsselspeicher und den neuen Schlüsselalias zu verweisen.
      2. Für API-Proxys, die von einer TargetEndpoint-Definition auf den Schlüsselspeicher verweisen, müssen Sie den Proxy noch einmal bereitstellen.

        Wenn der TargetEndpoint auf eine TargetServer-Definition und die TargetServer-Definition auf den Keystore verweist, ist keine erneute Proxybereitstellung erforderlich.
      3. Wenn der Schlüsselspeicher für Zwei-Wege-TLS zwischen Edge und dem Back-End-Dienst verwendet wird und Sie den Schlüsselspeicher mit demselben Namen gelöscht/neu erstellt haben, müssen Sie die Edge-Nachrichtenprozessoren neu starten.
  4. Nachdem Sie sich vergewissert haben, dass der neue Schlüsselspeicher ordnungsgemäß funktioniert, löschen Sie den alten Schlüsselspeicher mit dem abgelaufenen Zertifikat und Schlüssel wie oben beschrieben.

TLS-Zertifikat in einem Truststore aktualisieren

Wenn Sie Verweise auf den Truststore verwenden, ist der Vorgang zum Aktualisieren eines Zertifikats in einem Truststore identisch mit dem für einen Schlüsselspeicher (siehe oben). Die einzigen Unterschiede sind:

  • Wenn Sie das neue Zertifikat in den neuen Truststore hochladen, spielt der Aliasname für Truststores keine Rolle.
  • Wenn ein Zertifikat Teil einer Kette ist, müssen Sie entweder eine einzelne Datei mit allen Zertifikaten erstellen und diese Datei in einen einzelnen Alias hochladen oder alle Zertifikate in der Kette separat in den Truststore hochladen. Verwenden Sie für jedes Zertifikat einen anderen Alias.

Wenn Sie direkte Namen Ihrer Schlüsselspeicher und Truststores verwenden:

  1. Laden Sie ein neues Zertifikat in den Truststore hoch, wie unter Schlüsselspeicher und Truststores beschrieben. Das alte Zertifikat muss nicht gelöscht werden.
  2. Starten Sie bei einem virtuellen Host, der von eingehenden Verbindungen, d. h. einer API-Anfrage bei Edge, verwendet wird, die Router einzeln neu.
  3. Für einen Zielendpunkt/Zielserver, der von ausgehenden Verbindungen verwendet wird, d. h. von Apigee zu einem Back-End-Server, starten Sie die Edge-Nachrichtenprozessoren einzeln neu.
  4. Prüfen Sie, ob Ihr neuer Truststore korrekt funktioniert.