گواهی TLS را برای Private Cloud به روز کنید

شما در حال مشاهده اسناد Apigee Edge هستید.
به مستندات Apigee X بروید . اطلاعات

روشی که برای تعیین نام keystore و truststore در میزبان مجازی یا نقطه پایانی/سرور مقصد هدف استفاده می‌کنید، نحوه انجام به‌روزرسانی گواهی را تعیین می‌کند. با استفاده از موارد زیر می توانید نام keystore و truststore را مشخص کنید:

• مراجع - ترجیح داده می شود
• نام های مستقیم
• متغیرهای جریان

همانطور که در جدول زیر توضیح داده شده است، هر یک از این روش ها اثرات متفاوتی بر روند به روز رسانی گواهی دارند.

تست گواهی قبل و بعد از به روز رسانی

قبل از اینکه گواهینامه فعلی را به روز کنید، از دستورات openssl زیر استفاده کنید:

echo | openssl s_client -servername hostAlias -connect hostAlias.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

جایی که hostAlias ​​نام مستعار میزبان میزبان مجازی یا آدرس IP است. به عنوان مثال:

echo | openssl s_client -servername api.myCompany.com -connect api.myCompany.com:443 2>/dev/null | openssl x509 -noout -dates -subject

شما باید خروجی را به شکل زیر ببینید:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

پس از به‌روزرسانی گواهی، از همین دستور برای آزمایش آن استفاده کنید.

گواهی TLS را در فروشگاه کلید به‌روزرسانی کنید

برای استقرار Edge در محل:

1. یک فروشگاه کلید جدید ایجاد کنید و گواهی و کلید را همانطور که در Keystores و Truststores توضیح داده شده آپلود کنید. در فروشگاه کلید جدید، اطمینان حاصل کنید که از همان نامی برای نام مستعار کلید استفاده می کنید که در فروشگاه کلید موجود استفاده می شد.
   
   توجه : می‌توانید ذخیره‌سازی کلید فعلی را حذف کرده و یک کلید جدید با همان نام و نام مستعار ایجاد کنید. نیازی به راه اندازی مجدد روتر نیست. با این حال، درخواست‌های API تا زمانی که ذخیره‌سازی کلید و نام مستعار جدید تنظیم نشود، با شکست مواجه می‌شوند.
2. برای یک میزبان مجازی که توسط اتصالات ورودی استفاده می شود، به معنای درخواست API به Edge:
   1. اگر هاست مجازی شما از مرجعی به keystore استفاده می کند، مرجع را همانطور که در Working with reference توضیح داده شده است، به روز کنید.
   2. اگر هاست مجازی شما از نام مستقیم keystore استفاده می کند:
      1. هر میزبان مجازی را که به نام مستعار keystore و key قدیمی ارجاع داده است به روز کنید تا به keystore و نام مستعار کلید جدید ارجاع دهد.
      2. روترها را یک به یک راه اندازی مجدد کنید. توجه داشته باشید که اگر ذخیره کلید قدیمی را حذف کرده اید و یک فروشگاه کلید جدید با همین نام ایجاد کرده اید، در این صورت نیازی به راه اندازی مجدد روتر نیست.
         
         بدون نیاز به استقرار مجدد پروکسی
3. برای یک سرور نقطه پایانی/هدف مورد استفاده توسط یک اتصالات خروجی، یعنی از Apigee به یک سرور باطن:
   1. اگر سرور نقطه پایانی/هدف هدف از ارجاع به فروشگاه کلید استفاده می کند، مرجع را همانطور که در کار با مراجع توضیح داده شده است به روز کنید. نیازی به استقرار مجدد پروکسی نیست.
   2. اگر سرور نقطه پایان/هدف هدف از متغیر جریان استفاده می کند، متغیر جریان را به روز کنید. نیازی به استقرار مجدد پروکسی نیست.
   3. اگر سرور نقطه پایانی/هدف هدف از یک نام مستقیم از keystore استفاده می کند:
      1. پیکربندی سرور نقطه پایان/هدف هدف را برای هر پراکسی API که به انبار کلید و نام مستعار کلید قدیمی اشاره می‌کند تا به فروشگاه کلید و نام مستعار کلید جدید ارجاع دهد، به‌روزرسانی کنید.
      2. برای هر پراکسی API که از یک تعریف TargetEndpoint به keystore ارجاع می دهد، باید پراکسی را مجدداً مستقر کنید.
         
         اگر TargetEndpoint به تعریف TargetServer اشاره کند و تعریف TargetServer به keystore ارجاع دهد، در این صورت نیازی به استقرار مجدد پروکسی نیست.
      3. اگر از keystore برای TLS دو طرفه بین Edge و سرویس Backend استفاده می‌شود، و شما ذخیره‌سازی کلید را با همین نام حذف یا دوباره ایجاد کرده‌اید، باید Edge Message Processors را راه‌اندازی مجدد کنید.
4. پس از اینکه تأیید کردید که فروشگاه کلید جدید شما به درستی کار می کند، همانطور که در بالا توضیح داده شد، ذخیره کلید قدیمی را با گواهی و کلید منقضی شده حذف کنید.

یک گواهی TLS را در یک فروشگاه اعتماد به‌روزرسانی کنید

اگر از ارجاعات به Truststore استفاده می‌کنید، فرآیند به‌روزرسانی گواهی در Truststore مانند یک keystore است که در بالا نشان داده شده است. تنها تفاوت ها عبارتند از:

• هنگامی که گواهی جدید را در Truststore جدید آپلود می کنید، نام مستعار برای Truststores مهم نیست.
• اگر گواهی بخشی از یک زنجیره است، باید یا یک فایل واحد حاوی تمام گواهی‌ها ایجاد کنید و آن فایل را در یک نام مستعار آپلود کنید، یا تمام گواهی‌های موجود در زنجیره را به‌طور جداگانه با استفاده از یک نام مستعار برای هر گواهی، به‌طور جداگانه در Truststore آپلود کنید.

اگر از نام‌های مستقیم فروشگاه‌های کلید و ذخیره‌های اعتماد خود استفاده می‌کنید:

1. همانطور که در Keystores و Truststores توضیح داده شده است، یک گواهی جدید را در Truststore آپلود کنید. نیازی به حذف گواهی قدیمی نیست.
2. برای یک میزبان مجازی که توسط اتصالات ورودی استفاده می شود، به معنای درخواست API به Edge، روترها را یک به یک راه اندازی مجدد کنید.
3. برای یک سرور نقطه پایانی/هدف مورد استفاده توسط یک اتصالات خروجی، یعنی از Apigee به یک سرور باطن، پردازشگرهای پیام لبه را یکی یکی مجددا راه اندازی کنید.
4. اطمینان حاصل کنید که فروشگاه اعتماد جدید شما به درستی کار می کند.

شما در حال مشاهده اسناد Apigee Edge هستید.
به مستندات Apigee X بروید . اطلاعات

روشی که برای تعیین نام keystore و truststore در میزبان مجازی یا نقطه پایانی/سرور مقصد هدف استفاده می‌کنید، نحوه انجام به‌روزرسانی گواهی را تعیین می‌کند. با استفاده از موارد زیر می توانید نام keystore و truststore را مشخص کنید:

• مراجع - ترجیح داده می شود
• نام های مستقیم
• متغیرهای جریان

همانطور که در جدول زیر توضیح داده شده است، هر یک از این روش ها اثرات متفاوتی بر روند به روز رسانی گواهی دارند.

تست گواهی قبل و بعد از به روز رسانی

قبل از اینکه گواهینامه فعلی را به روز کنید، از دستورات openssl زیر استفاده کنید:

echo | openssl s_client -servername hostAlias -connect hostAlias.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

جایی که hostAlias ​​نام مستعار میزبان میزبان مجازی یا آدرس IP است. به عنوان مثال:

echo | openssl s_client -servername api.myCompany.com -connect api.myCompany.com:443 2>/dev/null | openssl x509 -noout -dates -subject

شما باید خروجی را به شکل زیر ببینید:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

پس از به‌روزرسانی گواهی، از همین دستور برای آزمایش آن استفاده کنید.

گواهی TLS را در فروشگاه کلید به‌روزرسانی کنید

برای استقرار Edge در محل:

1. یک فروشگاه کلید جدید ایجاد کنید و گواهی و کلید را همانطور که در Keystores و Truststores توضیح داده شده آپلود کنید. در فروشگاه کلید جدید، اطمینان حاصل کنید که از همان نامی برای نام مستعار کلید استفاده می کنید که در فروشگاه کلید موجود استفاده می شد.
   
   توجه : می‌توانید ذخیره‌سازی کلید فعلی را حذف کرده و یک کلید جدید با همان نام و نام مستعار ایجاد کنید. نیازی به راه اندازی مجدد روتر نیست. با این حال، درخواست‌های API تا زمانی که ذخیره‌سازی کلید و نام مستعار جدید تنظیم نشود، با شکست مواجه می‌شوند.
2. برای یک میزبان مجازی که توسط اتصالات ورودی استفاده می شود، به معنای درخواست API به Edge:
   1. اگر هاست مجازی شما از مرجعی به keystore استفاده می کند، مرجع را همانطور که در Working with reference توضیح داده شده است، به روز کنید.
   2. اگر هاست مجازی شما از نام مستقیم keystore استفاده می کند:
      1. هر میزبان مجازی را که به نام مستعار keystore و key قدیمی ارجاع داده است به روز کنید تا به keystore و نام مستعار کلید جدید ارجاع دهد.
      2. روترها را یک به یک راه اندازی مجدد کنید. توجه داشته باشید که اگر ذخیره کلید قدیمی را حذف کرده اید و یک فروشگاه کلید جدید با همین نام ایجاد کرده اید، در این صورت نیازی به راه اندازی مجدد روتر نیست.
         
         بدون نیاز به استقرار مجدد پروکسی
3. برای یک سرور نقطه پایانی/هدف مورد استفاده توسط یک اتصالات خروجی، یعنی از Apigee به یک سرور باطن:
   1. اگر سرور نقطه پایانی/هدف هدف از ارجاع به فروشگاه کلید استفاده می کند، مرجع را همانطور که در کار با مراجع توضیح داده شده است به روز کنید. نیازی به استقرار مجدد پروکسی نیست.
   2. اگر سرور نقطه پایان/هدف هدف از متغیر جریان استفاده می کند، متغیر جریان را به روز کنید. نیازی به استقرار مجدد پروکسی نیست.
   3. اگر سرور نقطه پایانی/هدف هدف از یک نام مستقیم از keystore استفاده می کند:
      1. پیکربندی سرور نقطه پایان/هدف هدف را برای هر پراکسی API که به انبار کلید و نام مستعار کلید قدیمی اشاره می‌کند تا به فروشگاه کلید و نام مستعار کلید جدید ارجاع دهد، به‌روزرسانی کنید.
      2. برای هر پراکسی API که از یک تعریف TargetEndpoint به keystore ارجاع می دهد، باید پراکسی را مجدداً مستقر کنید.
         
         اگر TargetEndpoint به تعریف TargetServer اشاره کند و تعریف TargetServer به keystore ارجاع دهد، در این صورت نیازی به استقرار مجدد پروکسی نیست.
      3. اگر از keystore برای TLS دو طرفه بین Edge و سرویس Backend استفاده می‌شود، و شما ذخیره‌سازی کلید را با همین نام حذف یا دوباره ایجاد کرده‌اید، باید Edge Message Processors را راه‌اندازی مجدد کنید.
4. پس از اینکه تأیید کردید که فروشگاه کلید جدید شما به درستی کار می کند، همانطور که در بالا توضیح داده شد، ذخیره کلید قدیمی را با گواهی و کلید منقضی شده حذف کنید.

یک گواهی TLS را در یک فروشگاه اعتماد به‌روزرسانی کنید

اگر از ارجاعات به Truststore استفاده می‌کنید، فرآیند به‌روزرسانی گواهی در Truststore مانند یک keystore است که در بالا نشان داده شده است. تنها تفاوت ها عبارتند از:

• هنگامی که گواهی جدید را در Truststore جدید آپلود می کنید، نام مستعار برای Truststores مهم نیست.
• اگر گواهی بخشی از یک زنجیره است، باید یا یک فایل واحد حاوی تمام گواهی‌ها ایجاد کنید و آن فایل را در یک نام مستعار آپلود کنید، یا تمام گواهی‌های موجود در زنجیره را به‌طور جداگانه با استفاده از یک نام مستعار برای هر گواهی، به‌طور جداگانه در Truststore آپلود کنید.

اگر از نام‌های مستقیم فروشگاه‌های کلید و ذخیره‌های اعتماد خود استفاده می‌کنید:

1. همانطور که در Keystores و Truststores توضیح داده شده است، یک گواهی جدید را در Truststore آپلود کنید. نیازی به حذف گواهی قدیمی نیست.
2. برای یک میزبان مجازی که توسط اتصالات ورودی استفاده می شود، به معنای درخواست API به Edge، روترها را یک به یک راه اندازی مجدد کنید.
3. برای یک سرور نقطه پایانی/هدف مورد استفاده توسط یک اتصالات خروجی، یعنی از Apigee به یک سرور باطن، پردازشگرهای پیام لبه را یکی یکی مجددا راه اندازی کنید.
4. اطمینان حاصل کنید که فروشگاه اعتماد جدید شما به درستی کار می کند.