निजी क्लाउड के लिए, TLS सर्टिफ़िकेट अपडेट करना

Apigee Edge दस्तावेज़ देखा जा रहा है.
Apigee X दस्तावेज़ पर जाएं. जानकारी

वर्चुअल होस्ट या टारगेट एंडपॉइंट/टारगेट सर्वर में कीस्टोर और ट्रस्टस्टोर का नाम बताने के लिए इस्तेमाल किया जाने वाला तरीका, सर्टिफ़िकेट को अपडेट करने का तरीका तय करता है. कीस्टोर और ट्रस्टस्टोर का नाम तय करने के लिए, इनका इस्तेमाल करें:

  • रेफ़रंस - पसंदीदा
  • सीधे नाम
  • फ़्लो वैरिएबल

इन तरीकों से सर्टिफ़िकेट अपडेट करने की प्रोसेस पर, अलग-अलग नतीजे हो सकते हैं. इस बारे में इस टेबल में बताया गया है.

कॉन्फ़िगरेशन का टाइप सर्टिफ़िकेट को अपडेट करने/बदलने का तरीका वर्चुअल होस्ट, टारगेट एंडपॉइंट/टारगेट सर्वर को अपडेट करने का तरीका
संदर्भ (सुझाया गया) कीस्टोर के लिए, नए नाम वाला नया कीस्टोर बनाएं. साथ ही, पुराने उपनाम की जगह उसी नाम वाला नया कीस्टोर बनाएं.

एक ट्रस्टस्टोर के लिए, नए नाम वाला एक ट्रस्टस्टोर बनाएं.

 कीस्टोर या ट्रस्टस्टोर का रेफ़रंस अपडेट करें.

किसी राऊटर या मैसेज प्रोसेसर को रीस्टार्ट करने की ज़रूरत नहीं है.
फ़्लो वैर (सिर्फ़ टारगेट एंडपॉइंट पर) कीस्टोर के लिए, नए नाम और उसी नाम से एक जैसे नाम या नए नाम के साथ नया कीस्टोर बनाएं.

एक ट्रस्टस्टोर के लिए, नए नाम वाला एक ट्रस्टस्टोर बनाएं.

 हर अनुरोध पर, अपडेट किए गए फ़्लो वैरिएबल को नए कीस्टोर, उपनाम या ट्रस्टस्टोर के नाम के साथ पास करें.

किसी राऊटर या मैसेज प्रोसेसर को रीस्टार्ट करने की ज़रूरत नहीं है.
डायरेक्ट कोई नया कीस्टोर, उपनाम, ट्रस्टस्टोर बनाएं. वर्चुअल होस्ट को अपडेट करें और राऊटर को रीस्टार्ट करें.

अगर टारगेट एंडपॉइंट/टारगेट सर्वर पर ट्रस्टस्टोर का इस्तेमाल किया जाता है, तो प्रॉक्सी को फिर से डिप्लॉय करें.
डायरेक्ट कीस्टोर या ट्रस्टस्टोर को मिटाएं और इसे एक ही नाम से फिर से बनाएं. वर्चुअल होस्ट को अपडेट करने की ज़रूरत नहीं है. राऊटर को रीस्टार्ट करने की ज़रूरत नहीं है. हालांकि, नए कीस्टोर और उपनाम सेट किए जाने तक, एपीआई अनुरोध फ़ेल हो जाते हैं.

अगर Edge और बैकएंड सेवा के बीच टू-वे TLS के लिए कीस्टोर का इस्तेमाल किया जाता है, तो Message प्रोसेसर को रीस्टार्ट करें.
डायरेक्ट सिर्फ़ ट्रस्टस्टोर के लिए, ट्रस्टस्टोर में नया सर्टिफ़िकेट अपलोड करें. अगर किसी वर्चुअल होस्ट पर ट्रस्टस्टोर का इस्तेमाल किया जाता है, तो राऊटर को रीस्टार्ट करें.

अगर टारगेट एंडपॉइंट/टारगेट सर्वर पर ट्रस्टस्टोर का इस्तेमाल किया जाता है, तो मैसेज प्रोसेसर को रीस्टार्ट करें.

अपडेट से पहले और बाद में, सर्टिफ़िकेट की जांच करना

मौजूदा सर्टिफ़िकेट को अपडेट करने से पहले, उसकी जांच करने के लिए, नीचे दिए गए openssl कमांड का इस्तेमाल करें:

echo | openssl s_client -servername hostAlias -connect hostAlias.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

यहां, वर्चुअल होस्ट या आईपी पते के होस्ट का उपनाम hostAlias. उदाहरण के लिए:

echo | openssl s_client -servername api.myCompany.com -connect api.myCompany.com:443 2>/dev/null | openssl x509 -noout -dates -subject

आपको फ़ॉर्म में आउटपुट दिखेगा:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

सर्टिफ़िकेट को अपडेट करने के बाद, उसकी जांच करने के लिए उसी निर्देश का इस्तेमाल करें.

कीस्टोर में TLS सर्टिफ़िकेट अपडेट करना

Edge के कंपनी की इमारत में डिप्लॉयमेंट के लिए:

  1. एक नया कीस्टोर बनाएं और Keystores और Truststores में दी गई जानकारी के हिसाब से सर्टिफ़िकेट और कुंजी अपलोड करें. पक्का करें कि नए कीस्टोर में, कुंजी के अन्य नाम के लिए उसी नाम का इस्तेमाल किया जाए जो मौजूदा कुंजी स्टोर में इस्तेमाल किया गया था.

    ध्यान दें: मौजूदा कीस्टोर को मिटाकर, उसी नाम और उपनाम से नया कीस्टोर बनाया जा सकता है. राऊटर को रीस्टार्ट करने की ज़रूरत नहीं है. हालांकि, नए कीस्टोर और उपनाम सेट किए जाने तक, एपीआई अनुरोध पूरे नहीं हो पाते.
  2. वर्चुअल होस्ट के लिए, जिसका इस्तेमाल इनबाउंड कनेक्शन में किया जाता है:
    1. अगर आपका वर्चुअल होस्ट, कीस्टोर के रेफ़रंस का इस्तेमाल करता है, तो रेफ़रंस को पहचान फ़ाइलों के साथ काम करना में बताए गए तरीके से अपडेट करें.
    2. अगर आपका वर्चुअल होस्ट, कीस्टोर के सीधे नाम का इस्तेमाल करता है, तो:
      1. नए कीस्टोर और कुंजी के उपनाम का रेफ़रंस देने के लिए, ऐसे किसी भी वर्चुअल होस्ट को अपडेट करें जिसने पुराने कीस्टोर और कुंजी के उपनाम का रेफ़रंस दिया था.
      2. एक-एक करके राऊटर को रीस्टार्ट करें. ध्यान दें कि अगर आपने पुराना कीस्टोर मिटा दिया है और उसी नाम से एक नया कीस्टोर बनाया है, तो राऊटर को रीस्टार्ट करने की ज़रूरत नहीं है.

        प्रॉक्सी को फिर से डिप्लॉय करने की ज़रूरत नहीं है.
  3. टारगेट एंडपॉइंट/टारगेट सर्वर के लिए, जिसका इस्तेमाल आउटबाउंड कनेक्शन करता है. इसका मतलब है कि Apigee से बैकएंड सर्वर पर:
    1. अगर टारगेट एंडपॉइंट/टारगेट सर्वर, कीस्टोर के रेफ़रंस का इस्तेमाल करता है, तो रेफ़रंस को पहचान फ़ाइलों के साथ काम करना में बताए गए तरीके से अपडेट करें. प्रॉक्सी को फिर से डिप्लॉय करने की ज़रूरत नहीं है.
    2. अगर टारगेट एंडपॉइंट/टारगेट सर्वर, फ़्लो वैरिएबल का इस्तेमाल करता है, तो फ़्लो वैरिएबल को अपडेट करें. प्रॉक्सी को फिर से डिप्लॉय करने की ज़रूरत नहीं है.
    3. अगर टारगेट एंडपॉइंट/टारगेट सर्वर, कीस्टोर के डायरेक्ट नाम का इस्तेमाल करता है:
      1. किसी भी एपीआई प्रॉक्सी के लिए, टारगेट एंडपॉइंट/टारगेट सर्वर कॉन्फ़िगरेशन को अपडेट करें, जिसमें पुराने कीस्टोर और कुंजी के उपनाम का रेफ़रंस दिया गया था. ऐसा, नए कीस्टोर और कुंजी उपनाम का रेफ़रंस देने के लिए किया गया था.
      2. किसी भी ऐसे एपीआई प्रॉक्सी के लिए जो TargetEndpoint डेफ़िनिशन से कीस्टोर का रेफ़रंस देते हैं, आपको प्रॉक्सी को फिर से डिप्लॉय करना होगा.

        अगर टारगेटएंडपॉइंट, TargetServer डेफ़िनिशन का रेफ़रंस देता है और TargetServer डेफ़िनिशन, कीस्टोर का रेफ़रंस देता है, तो प्रॉक्सी को फिर से डिप्लॉय करने की ज़रूरत नहीं होती.
      3. अगर कीस्टोर का इस्तेमाल Edge और बैकएंड सेवा के बीच दोतरफ़ा TLS के लिए किया जाता है और आपने कीस्टोर को उसी नाम से मिटा दिया है या फिर से बनाया है, तो आपको Edge के मैसेज प्रोसेसर को रीस्टार्ट करना होगा.
  4. यह पुष्टि करने के बाद कि आपका नया कीस्टोर सही तरीके से काम कर रहा है, पुराने कीस्टोर को ऐसे सर्टिफ़िकेट और कुंजी के साथ मिटा दें जिसकी समयसीमा खत्म हो चुकी है. इसके बारे में ऊपर बताया गया है.

ट्रस्टस्टोर में TLS सर्टिफ़िकेट अपडेट करना

अगर ट्रस्टस्टोर के रेफ़रंस इस्तेमाल किए जा रहे हैं, तो ट्रस्टस्टोर में सर्टिफ़िकेट अपडेट करने की प्रोसेस, कीस्टोर के जैसा ही है, जैसा कि ऊपर दिखाया गया है. सिर्फ़ ये अंतर हैं:

  • जब नए ट्रस्टस्टोर में नए सर्टिफ़िकेट को अपलोड किया जाता है, तो उपनाम वाले नाम को ट्रस्टस्टोर के लिए मायने नहीं रखता.
  • अगर कोई सर्टिफ़िकेट किसी चेन का हिस्सा है, तो आपको या तो सभी सर्टिफ़िकेट वाली एक फ़ाइल बनानी होगी और उस फ़ाइल को किसी एक उपनाम पर अपलोड करना होगा. इसके अलावा, चेन के सभी सर्टिफ़िकेट को हर सर्टिफ़िकेट के लिए अलग-अलग उपनाम का इस्तेमाल करके, ट्रस्टस्टोर पर अलग-अलग अपलोड करना होगा.

अगर कीस्टोर और ट्रस्टस्टोर के सीधे नाम इस्तेमाल किए जा रहे हैं, तो:

  1. Keystores और Truststores में दी गई जानकारी के मुताबिक, Truststore में नया सर्टिफ़िकेट अपलोड करें. पुराने सर्टिफ़िकेट को मिटाने की ज़रूरत नहीं है.
  2. वर्चुअल होस्ट के लिए, जिसका इस्तेमाल इनबाउंड कनेक्शन के लिए किया जाता है. इसका मतलब है, Edge में एपीआई अनुरोध, एक-एक करके राऊटर को रीस्टार्ट करें.
  3. आउटबाउंड कनेक्शन में इस्तेमाल किए जाने वाले टारगेट एंडपॉइंट/टारगेट सर्वर के लिए, यानी कि Apigee से बैकएंड सर्वर पर, Edge Message प्रोसेसर को एक-एक करके रीस्टार्ट करें.
  4. पुष्टि करें कि आपका नया ट्रस्टस्टोर ठीक से काम कर रहा है.