Estás consultando la documentación de Apigee Edge.
Consulta la
documentación de Apigee X. Información
El método que usas para especificar el nombre del almacén de claves y el almacén de confianza en el host virtual o el servidor o extremo de destino determina cómo se realiza la actualización del certificado. Puedes especificar el nombre del almacén de claves y del almacén de confianza con lo siguiente:
- Referencias: preferido
- Nombres directos
- Variables de flujo
Cada uno de estos métodos tiene diferentes repercusiones en el proceso de actualización de certificados, como se describe en la siguiente tabla.
| Tipo de configuración | Cómo actualizar o reemplazar un certificado | Cómo actualizar el host virtual y el servidor de destino o extremo de destino |
|---|---|---|
| Referencia (opción recomendada) |
Para un almacén de claves, crea un almacén de claves nuevo con un nombre nuevo y un alias con el mismo nombre que el alias anterior.
Para un almacén de confianza, crea un almacén de confianza con un nombre nuevo. |
Actualiza la referencia al almacén de claves o de confianza.
No es necesario reiniciar el router ni el procesador de mensajes. |
| Variables de flujo (solo extremo de destino) |
Para un almacén de claves, crea un almacén de claves nuevo con un nombre nuevo y un alias con el mismo nombre o uno nuevo.
Para un almacén de confianza, crea un almacén de confianza con un nombre nuevo. |
Pasa la variable de flujo actualizada en cada solicitud con el nombre del almacén de claves, el alias o el almacén de confianza nuevos.
No es necesario reiniciar el router ni el procesador de mensajes. |
| Directo | Crea un nuevo almacén de claves, un alias y un almacén de confianza. |
Actualiza el host virtual y reinicia los routers.
Si un servidor o extremo de destino usa el almacén de confianza, vuelve a implementar el proxy. |
| Directo | Borra el almacén de claves o el almacén de confianza, y vuelve a crearlo con el mismo nombre. |
No se requiere actualizar el host virtual ni es necesario reiniciar el router. Sin embargo, las solicitudes a la API fallan hasta que se configuran el alias y el almacén de claves nuevos.
Si el almacén de claves se usa para una TLS bidireccional entre Edge y el servicio de backend, reinicia los procesadores de mensajes. |
| Directo | Solo para el almacén de confianza, sube un nuevo certificado al almacén de confianza. |
Si un host virtual usa el almacén de confianza, reinicia los routers.
Si un servidor de destino o extremo de destino usa el almacén de confianza, reinicia los procesadores de mensajes. |
Prueba el certificado antes y después de la actualización
Usa los siguientes comandos de openssl para probar el certificado actual antes de actualizarlo:
echo | openssl s_client -servername hostAlias -connect hostAlias.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject
Donde hostAlias es el alias del host del host virtual o la dirección IP. Por ejemplo:
echo | openssl s_client -servername api.myCompany.com -connect api.myCompany.com:443 2>/dev/null | openssl x509 -noout -dates -subject
Deberías ver un resultado como el siguiente:
notBefore=Dec 30 22:11:38 2015 GMT notAfter=Dec 30 22:11:38 2016 GMT subject= /OU=Domain Control Validated/CN=*.apigee.net
Usa el mismo comando después de actualizar el certificado para probarlo.
Actualiza un certificado TLS en un almacén de claves
Para una implementación local de Edge, sigue estos pasos:
- Crea un almacén de claves nuevo y sube un certificado y una clave como se describe en Almacén de claves y almacenes de confianza.
En el nuevo almacén de claves, asegúrate de usar el mismo nombre para el alias de la clave que se usó en el almacén de claves existente.
Nota: Puedes borrar el almacén de claves actual y crear uno nuevo con el mismo nombre y alias. No es necesario reiniciar el router. Sin embargo, las solicitudes a la API fallan hasta que se configuran el alias y el almacén de claves nuevos. -
Para un host virtual que usan las conexiones entrantes, lo que significa una solicitud a la API en Edge:
- Si el host virtual usa una referencia al almacén de claves, actualízala como se describe en Trabaja con referencias.
- Si tu host virtual usa un nombre directo del almacén de claves, haz lo siguiente:
- Actualiza todos los hosts virtuales que hagan referencia al almacén de claves y al alias de clave anteriores para hacer referencia al almacén de claves y al alias de clave nuevos.
- Reinicia los routers, uno a la vez. Ten en cuenta que, si borraste el almacén de claves anterior y creaste uno nuevo con el mismo nombre, no es necesario reiniciar el router.
No es necesario volver a implementar el proxy.
-
Para un servidor de extremo/de destino de destino que usan las conexiones salientes, es decir,
desde Apigee a un servidor de backend:
- Si el servidor de extremo o de destino de destino usa referencias al almacén de claves, actualiza la referencia como se describe en Trabaja con referencias. No es necesario volver a implementar un proxy.
- Si el servidor de destino o extremo de destino usa una variable de flujo, actualízala. No es necesaria la reimplementación de proxy.
- Si el servidor de destino o extremo de destino usa un nombre directo del almacén de claves, haz lo siguiente:
- Actualiza la configuración del servidor de destino o de extremo de destino para cualquier proxy de API que hiciera referencia al almacén de claves y al alias de clave anteriores para hacer referencia al almacén de claves y al alias de clave nuevos.
- Para cualquier proxy de API que haga referencia al almacén de claves desde una definición de TargetEndpoint, debes volver a implementar el proxy.
Si TargetEndpoint hace referencia a una definición de TargetServer y esta hace referencia al almacén de claves, no es necesario volver a implementar el proxy. - Si el almacén de claves se usa para TLS bidireccional entre Edge y el servicio de backend, y borraste o volviste a crear el almacén de claves con el mismo nombre, debes reiniciar Edge Message Processor.
- Después de confirmar que el almacén de claves nuevo funciona correctamente, borra el almacén de claves antiguo con el certificado y la clave vencidos, como se describió anteriormente.
Actualiza un certificado TLS en un almacén de confianza
Si usas referencias al almacén de confianza, el proceso de actualización de un certificado en un almacén de confianza es el mismo que se usa para un almacén de claves, como se muestra más arriba. Las únicas diferencias son las siguientes:
- Cuando subes el certificado nuevo al almacén de confianza nuevo, el nombre del alias no importa para los almacenes de confianza.
- Si un certificado forma parte de una cadena, debes crear un solo archivo que contenga todos los certificados y subirlo a un solo alias o subir todos los certificados de la cadena por separado al almacén de confianza con un alias diferente para cada certificado.
Si usas nombres directos de tus almacenes de claves y almacenes de confianza, haz lo siguiente:
- Sube un certificado nuevo al almacén de confianza como se describe en Almacenes de claves y almacenes de confianza. No es necesario borrar el certificado anterior.
- Para un host virtual que usan las conexiones entrantes, es decir, una solicitud a la API en Edge, reinicia los routers uno a la vez.
- Para un servidor de extremo/de destino de destino que usan las conexiones salientes, es decir, de Apigee a un servidor de backend, reinicia los procesadores de mensajes perimetrales uno a la vez.
- Confirma que tu nuevo almacén de confianza funciona correctamente.