Anda sedang melihat dokumentasi Apigee Edge.
Buka
Dokumentasi Apigee X. info
Metode yang Anda gunakan untuk menentukan nama keystore dan truststore di host virtual endpoint/target server target menentukan cara Anda melakukan update sertifikat. Anda dapat menentukan nama keystore dan truststore dengan menggunakan:
- Referensi - lebih disukai
- Nama langsung
- Variabel flow
Masing-masing metode ini memiliki dampak yang berbeda terhadap proses pembaruan sertifikat, seperti yang dijelaskan dalam pada tabel berikut.
| Jenis konfigurasi | Cara memperbarui/mengganti sertifikat | Cara mengupdate virtual host, server target/endpoint target |
|---|---|---|
| Referensi (direkomendasikan) |
Untuk keystore, buat keystore baru dengan nama baru dan alias dengan
sama dengan alias lama.
Untuk truststore, buat truststore dengan nama baru. |
Perbarui referensi ke keystore atau truststore.
Router atau Prosesor Pesan tidak perlu dimulai ulang. |
| Vars alur (khusus endpoint target) |
Untuk keystore, buat keystore baru dengan nama baru dan alias dengan
nama yang sama atau dengan nama baru.
Untuk truststore, buat truststore dengan nama baru. |
Teruskan var alur yang diperbarui pada setiap permintaan dengan nama keystore, alias, atau
truststore.
Router atau Prosesor Pesan tidak perlu dimulai ulang. |
| Langsung | Buat keystore, alias, truststore baru. |
Update host virtual dan mulai ulang Router.
Jika truststore digunakan oleh server target/endpoint target, deploy ulang proxy. |
| Langsung | Hapus keystore atau truststore dan buat kembali dengan nama yang sama. |
Tidak perlu update host virtual, tidak perlu memulai ulang Router. Namun, permintaan API akan gagal
hingga keystore dan alias baru ditetapkan.
Jika keystore digunakan untuk TLS dua arah antara Edge dan layanan backend, mulai ulang {i>Message Processors<i}. |
| Langsung | Khusus untuk truststore, upload sertifikat baru ke truststore. |
Jika truststore digunakan oleh host virtual, mulai ulang Router.
Jika truststore digunakan oleh server target/endpoint target, mulai ulang Message Prosesor. |
Menguji sertifikat sebelum dan sesudah perbarui
Gunakan perintah openssl berikut untuk menguji sertifikat saat ini sebelum Anda mengupdate
hal tersebut:
echo | openssl s_client -servername hostAlias -connect hostAlias.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject
Dengan hostAlias alias host dari virtual host atau alamat IP. Contoh:
echo | openssl s_client -servername api.myCompany.com -connect api.myCompany.com:443 2>/dev/null | openssl x509 -noout -dates -subject
Anda akan melihat output dalam bentuk:
notBefore=Dec 30 22:11:38 2015 GMT notAfter=Dec 30 22:11:38 2016 GMT subject= /OU=Domain Control Validated/CN=*.apigee.net
Gunakan perintah yang sama setelah Anda memperbarui sertifikat untuk mengujinya.
Memperbarui sertifikat TLS di keystore
Untuk deployment Edge lokal:
- Buat keystore baru lalu upload sertifikat dan kunci seperti yang dijelaskan di
Keystore dan Truststore.
Di keystore baru, pastikan Anda menggunakan nama yang sama untuk alias kunci seperti yang digunakan dalam
penyimpanan kunci yang ada.
Catatan: Anda dapat menghapus keystore saat ini dan membuat yang baru dengan dan alias. Router tidak perlu dimulai ulang. Namun, permintaan API akan gagal hingga keystore baru dan alias ditetapkan. -
Untuk host virtual yang digunakan oleh koneksi masuk, artinya permintaan API
ke Edge:
- Jika host virtual menggunakan referensi ke keystore, perbarui referensi sebagai dijelaskan dalam Bekerja dengan referensi.
- Jika host virtual Anda menggunakan nama langsung untuk keystore:
- Perbarui host virtual apa pun yang mereferensikan keystore dan alias kunci lama ke mereferensikan keystore dan alias kunci baru.
- Mulai ulang Router, satu per satu. Perhatikan bahwa jika Anda menghapus keystore lama dan
membuat keystore baru dengan nama yang sama, maka Router ulang tidak perlu dilakukan.
Tidak diperlukan deployment ulang proxy.
-
Untuk server target/endpoint target yang digunakan oleh koneksi keluar, artinya
dari Apigee ke server backend:
- Jika server target/endpoint target menggunakan referensi ke keystore, update seperti yang dijelaskan dalam Bekerja dengan referensi. Deployment ulang proxy tidak diperlukan.
- Jika server target/endpoint target menggunakan variabel alur, perbarui variabel alur. Lain kali deployment ulang proxy diperlukan.
- Jika server target/endpoint target menggunakan nama langsung untuk keystore:
- Update konfigurasi server target/endpoint target untuk proxy API apa pun yang mereferensikan keystore dan alias kunci lama untuk mereferensikan keystore dan kunci baru alias.
- Untuk proxy API apa pun yang mereferensikan keystore dari definisi TargetEndpoint,
Anda harus men-deploy ulang proxy.
Jika TargetEndpoint mereferensikan definisi TargetServer, dan TargetServer merujuk pada keystore, maka deployment ulang proxy tidak diperlukan. - Jika keystore digunakan untuk TLS dua arah antara Edge dan layanan backend, dan Anda menghapus/membuat ulang keystore dengan nama yang sama, Anda harus memulai ulang Edge Pemroses Pesan.
- Setelah mengonfirmasi bahwa keystore baru berfungsi dengan benar, hapus keystore lama keystore dengan sertifikat dan kunci yang sudah tidak berlaku seperti yang dijelaskan di atas.
Memperbarui sertifikat TLS di truststore
Jika Anda menggunakan referensi ke truststore, proses pembaruan sertifikat di truststore sama seperti keystore seperti yang ditunjukkan di atas. Satu-satunya perbedaan adalah:
- Saat Anda mengupload sertifikat baru ke truststore baru, nama alias tidak menjadi masalah truststore.
- Jika sertifikat merupakan bagian dari rantai, Anda harus membuat satu file yang berisi semua sertifikat dan mengunggah file tersebut ke satu alias, atau unggah semua sertifikat dalam rantai secara terpisah untuk truststore menggunakan alias yang berbeda untuk setiap sertifikat.
Jika Anda menggunakan nama langsung untuk keystore dan truststore:
- Upload sertifikat baru ke truststore seperti yang dijelaskan di Keystore dan Truststore. Anda tidak perlu menghapus sertifikat lama.
- Untuk host virtual yang digunakan oleh koneksi masuk, artinya permintaan API ke Edge, mulai ulang Router satu per satu.
- Untuk server target/endpoint target yang digunakan oleh koneksi keluar, artinya dari Apigee ke server backend, mulai ulang Prosesor Pesan Edge satu per satu baik.
- Pastikan truststore baru Anda berfungsi dengan benar.