Memperbarui sertifikat TLS untuk Private Cloud

Anda sedang melihat dokumentasi Apigee Edge.
Buka dokumentasi Apigee X. info

Metode yang Anda gunakan untuk menetapkan nama keystore dan truststore di host virtual atau target endpoint/server target akan menentukan cara Anda menjalankan update sertifikat. Anda dapat menentukan nama keystore dan truststore menggunakan:

  • Referensi - lebih disukai
  • Nama langsung
  • Variabel alur

Tiap metode ini memiliki dampak yang berbeda terhadap proses pembaruan sertifikat, seperti yang dijelaskan dalam tabel berikut.

Jenis konfigurasi Cara memperbarui/mengganti sertifikat Cara mengupdate host virtual, server endpoint/target target
Referensi (direkomendasikan) Untuk keystore, buat keystore baru dengan nama baru dan alias dengan nama yang sama dengan alias lama.

Untuk truststore, buat truststore dengan nama baru.

 Perbarui referensi ke keystore atau truststore.

Tidak perlu memulai ulang Router atau Prosesor Pesan.
Variabel alur (khusus endpoint target) Untuk keystore, buat keystore baru dengan nama baru dan alias dengan nama yang sama atau dengan nama baru.

Untuk truststore, buat truststore dengan nama baru.

 Teruskan var alur yang diupdate pada setiap permintaan dengan nama keystore, alias, atau truststore baru.

Tidak perlu memulai ulang Router atau Prosesor Pesan.
Langsung Buat keystore, alias, truststore baru. Update host virtual dan mulai ulang Router.

Jika truststore digunakan oleh server endpoint/target target, deploy ulang proxy.
Langsung Hapus keystore atau truststore, lalu buat ulang dengan nama yang sama. Tidak perlu update host virtual, tidak perlu memulai ulang Router. Namun, permintaan API akan gagal hingga keystore dan alias baru ditetapkan.

Jika keystore digunakan untuk TLS dua arah antara Edge dan layanan backend, mulai ulang Prosesor Pesan.
Langsung Khusus untuk truststore, upload sertifikat baru ke truststore. Jika truststore digunakan oleh host virtual, mulai ulang Router.

Jika truststore digunakan oleh server endpoint/target target, mulai ulang Message Pemrosess.

Menguji sertifikat sebelum dan sesudah update

Gunakan perintah openssl berikut untuk menguji sertifikat saat ini sebelum Anda mengupdatenya:

echo | openssl s_client -servername hostAlias -connect hostAlias.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

Dengan hostAlias, alias host dari host virtual atau alamat IP. Contoh:

echo | openssl s_client -servername api.myCompany.com -connect api.myCompany.com:443 2>/dev/null | openssl x509 -noout -dates -subject

Anda akan melihat output dalam bentuk:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

Gunakan perintah yang sama setelah Anda memperbarui sertifikat untuk mengujinya.

Memperbarui sertifikat TLS di keystore

Untuk deployment Edge lokal:

  1. Buat keystore baru lalu upload sertifikat dan kunci seperti yang dijelaskan di Keystores and Truststores. Di keystore baru, pastikan Anda menggunakan nama yang sama untuk alias kunci seperti yang digunakan di key store yang sudah ada.

    Catatan: Anda dapat menghapus keystore saat ini dan membuat keystore baru dengan nama dan alias yang sama. Router tidak perlu dimulai ulang. Namun, permintaan API akan gagal hingga keystore dan alias baru ditetapkan.
  2. Untuk host virtual yang digunakan oleh koneksi masuk, yang berarti permintaan API ke Edge:
    1. Jika host virtual Anda menggunakan referensi ke keystore, perbarui referensi seperti yang dijelaskan dalam Bekerja dengan referensi.
    2. Jika host virtual Anda menggunakan nama langsung keystore:
      1. Perbarui host virtual apa pun yang mereferensikan keystore dan alias kunci lama agar mereferensikan keystore dan alias kunci baru.
      2. Mulai ulang {i>Router<i}, satu per satu. Perlu diperhatikan bahwa jika Anda menghapus keystore lama dan membuat keystore baru dengan nama yang sama, Router tidak perlu memulai ulang router.

        Deployment ulang proxy tidak diperlukan.
  3. Untuk endpoint/server target target yang digunakan oleh koneksi keluar, yang berarti dari Apigee ke server backend:
    1. Jika endpoint/server target target menggunakan referensi ke keystore, perbarui referensi seperti yang dijelaskan dalam Menggunakan referensi. Penerapan ulang proxy tidak diperlukan.
    2. Jika endpoint/server target target menggunakan variabel alur, perbarui variabel alur. Tidak perlu deployment ulang proxy.
    3. Jika endpoint/server target target menggunakan nama langsung keystore:
      1. Update konfigurasi server endpoint/target target untuk semua proxy API yang merujuk ke keystore dan alias kunci lama agar mereferensikan keystore dan alias kunci baru.
      2. Untuk setiap proxy API yang mereferensikan keystore dari definisi TargetEndpoint, Anda harus men-deploy ulang proxy.

        Jika TargetEndpoint merujuk ke definisi TargetServer, dan definisi TargetServer mereferensikan keystore, deployment ulang proxy tidak diperlukan.
      3. Jika keystore digunakan untuk TLS dua arah antara Edge dan layanan backend, dan Anda menghapus/membuat ulang keystore dengan nama yang sama, Anda harus memulai ulang Prosesor Pesan Edge.
  4. Setelah mengonfirmasi bahwa keystore baru berfungsi dengan benar, hapus keystore lama dengan sertifikat dan kunci yang sudah tidak berlaku seperti yang dijelaskan di atas.

Memperbarui sertifikat TLS di truststore

Jika Anda menggunakan referensi ke truststore, proses memperbarui sertifikat di truststore sama dengan keystore seperti yang ditunjukkan di atas. Satu-satunya perbedaannya adalah:

  • Saat Anda mengupload sertifikat baru ke truststore baru, nama alias tidak penting untuk truststore.
  • Jika sertifikat adalah bagian dari rantai, Anda harus membuat satu file yang berisi semua sertifikat dan mengupload file tersebut ke satu alias, atau mengupload semua sertifikat dalam rantai tersebut secara terpisah ke truststore menggunakan alias yang berbeda untuk setiap sertifikat.

Jika Anda menggunakan nama langsung keystore dan truststore:

  1. Upload sertifikat baru ke truststore seperti yang dijelaskan di Keystore dan Truststore. Tidak perlu menghapus sertifikat lama.
  2. Untuk host virtual yang digunakan oleh koneksi masuk, yang berarti permintaan API ke Edge, mulai ulang Router satu per satu.
  3. Untuk endpoint/server target target yang digunakan oleh koneksi keluar, yang berarti dari Apigee ke server backend, mulai ulang Prosesor Pesan Edge satu per satu.
  4. Pastikan truststore baru Anda berfungsi dengan benar.