Estás viendo la documentación de Apigee Edge.
Ve a la
Documentación de Apigee X. información
El método que usas para especificar el nombre del almacén de claves y el almacén de confianza en el host virtual o el servidor o extremo de destino determina cómo se realiza la actualización del certificado. Puedes especificar del almacén de claves y del almacén de confianza con lo siguiente:
- Referencias (preferidas)
- Nombres directos
- Variables de flujo
Cada uno de estos métodos tiene diferentes repercusiones en el proceso de actualización del certificado, como se describe en en la siguiente tabla.
| Tipo de configuración | Cómo actualizar o reemplazar un certificado | Cómo actualizar el host virtual y el extremo o servidor de destino |
|---|---|---|
| Referencia (recomendado) |
Para un almacén de claves, crea un almacén de claves nuevo con un nombre nuevo y un alias con el mismo nombre que el alias anterior.
Para un almacén de confianza, crea un almacén de confianza con un nombre nuevo. |
Actualiza la referencia al almacén de claves o de confianza.
No es necesario reiniciar el router ni el procesador de mensajes. |
| Variables de flujo (solo extremo de destino) |
Para un almacén de claves, crea un almacén de claves nuevo con un nombre nuevo y un alias con el mismo nombre o con un nombre nuevo.
Para un almacén de confianza, crea un almacén de confianza con un nombre nuevo. |
Pasa la variable de flujo actualizada en cada solicitud con el nombre del nuevo almacén de claves, alias o almacén de confianza.
No es necesario reiniciar el router ni el procesador de mensajes. |
| Directo | Crea un nuevo almacén de claves, un alias y un almacén de confianza. |
Actualiza el host virtual y reinicia los routers.
Si un servidor o extremo de destino usa el almacén de confianza, vuelve a implementar el proxy. |
| Directo | Borra el almacén de claves o el almacén de confianza y vuelve a crearlo con el mismo nombre. |
No se requiere actualizar el host virtual ni reiniciar el router. Sin embargo, las solicitudes a la API fallan
hasta que se configuren el nuevo almacén de claves y alias.
Si el almacén de claves se usa para TLS bidireccional entre Edge y el servicio de backend, reinicia de los procesadores de mensajes. |
| Directo | Solo para el almacén de confianza, sube un nuevo certificado al almacén de confianza. |
Si un host virtual usa el almacén de confianza, reinicia los routers.
Si un extremo o servidor de destino usa el almacén de confianza, reinicia el mensaje. Procesadores. |
Probar el certificado antes y después del actualizar
Usa los siguientes comandos de openssl para probar el certificado actual antes de actualizar
de la siguiente manera:
echo | openssl s_client -servername hostAlias -connect hostAlias.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject
Donde hostAlias es el alias del host del host virtual o la dirección IP. Por ejemplo:
echo | openssl s_client -servername api.myCompany.com -connect api.myCompany.com:443 2>/dev/null | openssl x509 -noout -dates -subject
Deberías ver un resultado como el siguiente:
notBefore=Dec 30 22:11:38 2015 GMT notAfter=Dec 30 22:11:38 2016 GMT subject= /OU=Domain Control Validated/CN=*.apigee.net
Usa el mismo comando después de actualizar el certificado para probarlo.
Actualiza un certificado TLS en un almacén de claves
Para una implementación local de Edge, sigue estos pasos:
- Crea un nuevo almacén de claves y sube un certificado y una clave como se describe en
almacenes de claves y almacenes de confianza.
En el nuevo almacén de claves, asegúrate de usar para el alias de clave el mismo nombre que usaste en el
al almacén de claves existente.
Nota: Puedes borrar el almacén de claves actual y crear uno nuevo con el mismo nombre y alias. No es necesario reiniciar el router. Sin embargo, las solicitudes a la API fallan hasta que se crea y alias. -
Para un host virtual que usan las conexiones entrantes, es decir, una solicitud a la API
en Edge:
- Si tu host virtual usa una referencia al almacén de claves, actualiza la referencia como descritos en Cómo trabajar con referencias.
- Si tu host virtual usa un nombre directo del almacén de claves:
- Actualiza los hosts virtuales que hacían referencia al antiguo almacén de claves y el alias de clave para hacer referencia al nuevo almacén de claves y alias de clave.
- Reinicia los routers, uno a la vez. Ten en cuenta que si borraste el almacén de claves anterior y
Si creaste un almacén de claves nuevo con el mismo nombre, no es necesario reiniciar el router.
No es necesario volver a implementar el proxy.
-
Para un extremo/servidor de destino de destino que usan las conexiones salientes, lo que significa
de Apigee a un servidor de backend:
- Si el extremo o servidor de destino usa referencias al almacén de claves, actualiza el referencia, tal como se describe en Trabaja con referencias. No es necesario volver a implementar el proxy.
- Si el extremo o servidor de destino usa una variable de flujo, actualízala. No la reimplementación del proxy.
- Si el extremo o servidor de destino de destino usa un nombre directo del almacén de claves:
- Actualiza la configuración del extremo o servidor de destino para cualquier proxy de API que hace referencia al almacén de claves y al alias de clave antiguos para hacer referencia a la clave y al almacén de claves nuevos. alias.
- Para cualquier proxy de API que haga referencia al almacén de claves desde una definición de TargetEndpoint,
debes volver a implementarlo.
Si el TargetEndpoint hace referencia a una definición del TargetServer y que el TargetServer hace referencia al almacén de claves, no es necesario volver a implementar el proxy. - Si el almacén de claves se usa para TLS bidireccional entre Edge y el servicio de backend. si borraste o recreaste el almacén de claves con el mismo nombre, debes reiniciar Edge Procesadores de mensajes.
- Una vez que hayas confirmado que el nuevo almacén de claves funciona correctamente, borra el anterior. Almacén de claves con el certificado y la clave vencidos como se describió anteriormente.
Actualizar un certificado TLS en un almacén de confianza
Si usas referencias al almacén de confianza, es el proceso de actualización de un certificado en un almacén de confianza. es lo mismo que para un almacén de claves, como se muestra más arriba. Las únicas diferencias son las siguientes:
- Cuando subes el certificado nuevo al nuevo almacén de confianza, no importa el nombre del alias y almacenes de confianza.
- Si un certificado es parte de una cadena, debes crear un único archivo que contenga todos los certificados y subir ese archivo a un único alias, o bien subir todos los certificados de la cadena por separado a en el almacén de confianza con un alias diferente para cada certificado.
Si usas nombres directos de tus almacenes de claves y almacenes de confianza, haz lo siguiente:
- Sube un certificado nuevo al almacén de confianza como se describe en almacenes de claves y almacenes de confianza. No es necesario borrar el certificado anterior.
- Para un host virtual que usan las conexiones entrantes, es decir, una solicitud a la API en Edge, reinicia los routers uno a la vez.
- Para un extremo/servidor de destino que usan las conexiones salientes, es decir, de Apigee a un servidor de backend, reinicia los procesadores de mensajes de Edge, uno a la vez, tiempo.
- Confirma que tu nuevo almacén de confianza funciona correctamente.