Stai visualizzando la documentazione di Apigee Edge.
Vai alla sezione
Documentazione di Apigee X. Informazioni
Il metodo che utilizzi per specificare il nome dell'archivio chiavi e dell'archivio chiavi nell'host virtuale o l'endpoint/server di destinazione determina il modo in cui esegui l'aggiornamento del certificato. Puoi specificare nome dell'archivio chiavi e dell'archivio chiavi tramite:
- Riferimenti - preferiti
- Nomi diretti
- Variabili di flusso
Ciascuno di questi metodi ha ripercussioni diverse sul processo di aggiornamento dei certificati, come descritto in la tabella seguente.
| Tipo di configurazione | Come aggiornare/sostituire un certificato | Come aggiornare l'host virtuale, l'endpoint di destinazione/il server di destinazione |
|---|---|---|
| Riferimento (consigliato) |
Per un archivio chiavi, crea un nuovo archivio chiavi con un nuovo nome e un alias con
stesso nome del vecchio alias.
Per un archivio attendibilità, crea un archivio attendibilità con un nuovo nome. |
Aggiorna il riferimento all'archivio chiavi o all'archivio chiavi.
Non è necessario riavviare il router o il processore di messaggi. |
| Variabili flusso (solo endpoint di destinazione) |
Per un archivio chiavi, crea un nuovo archivio chiavi con un nuovo nome e un alias con
con lo stesso nome o con un nuovo nome.
Per un archivio attendibilità, crea un archivio attendibilità con un nuovo nome. |
Passa una variabile di flusso aggiornata su ogni richiesta con il nome del nuovo archivio chiavi, alias o
archivio attendibilità.
Non è necessario riavviare il router o il processore di messaggi. |
| Diretto | Creare un nuovo archivio chiavi, alias o archivio attendibilità. |
Aggiorna l'host virtuale e riavvia i router.
Se l'archivio attendibili è utilizzato da un endpoint/server di destinazione, esegui nuovamente il deployment del proxy. |
| Diretto | Elimina l'archivio chiavi o l'archivio attendibili e ricrealo con lo stesso nome. |
Non è necessario aggiornare l'host virtuale e riavviare il router. Tuttavia, le richieste API non vanno a buon fine
finché non vengono impostati il nuovo archivio chiavi e l'alias.
Se l'archivio chiavi viene utilizzato per il TLS bidirezionale tra Edge e il servizio di backend, riavvia processori di messaggi. |
| Diretto | Solo per l'archivio attendibilità, carica un nuovo certificato nell'archivio attendibili. |
Se il truststore è utilizzato da un host virtuale, riavvia i router.
Se l'archivio attendibili viene utilizzato da un endpoint/server di destinazione, riavvia il modulo Processori. |
Testare il certificato prima e dopo il aggiorna
Usa i seguenti comandi openssl per testare il certificato corrente prima dell'aggiornamento
Questo:
echo | openssl s_client -servername hostAlias -connect hostAlias.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject
Dove hostAlias è l'alias host dell'host virtuale o dell'indirizzo IP. Ad esempio:
echo | openssl s_client -servername api.myCompany.com -connect api.myCompany.com:443 2>/dev/null | openssl x509 -noout -dates -subject
L'output dovrebbe essere visualizzato nel seguente formato:
notBefore=Dec 30 22:11:38 2015 GMT notAfter=Dec 30 22:11:38 2016 GMT subject= /OU=Domain Control Validated/CN=*.apigee.net
Usa lo stesso comando dopo aver aggiornato il certificato per testarlo.
Aggiornamento di un certificato TLS in un archivio chiavi
Per un deployment on-premise di Edge:
- Crea un nuovo archivio chiavi e carica un certificato e una chiave come descritto all'indirizzo
Keystore e truststore.
Nel nuovo archivio chiavi, utilizzare per l'alias di chiave lo stesso nome usato nell'archivio chiavi
un archivio chiavi esistente.
Nota: puoi eliminare l'archivio chiavi corrente e crearne uno nuovo con lo stesso nome e alias. Non è necessario riavviare il router. Tuttavia, le richieste API non andranno a buon fine finché il nuovo archivio chiavi e alias. -
Per un host virtuale utilizzato da una connessioni in entrata, ovvero una richiesta API
in Edge:
- .
- Se l'host virtuale utilizza un riferimento all'archivio chiavi, aggiorna il riferimento come descritto in Lavorare con riferimenti.
- Se l'host virtuale utilizza un nome diretto dell'archivio chiavi:
- Aggiorna gli host virtuali che hanno fatto riferimento all'archivio chiavi e all'alias della chiave precedenti a fare riferimento al nuovo archivio chiavi e all'alias della chiave.
- Riavvia i router, uno alla volta. Tieni presente che se hai eliminato il vecchio archivio chiavi
ha creato un nuovo archivio chiavi con lo stesso nome, non è necessario riavviare il router.
Non è necessario eseguire di nuovo il deployment del proxy.
-
Per un endpoint/server di destinazione utilizzato dalle connessioni in uscita, vale a dire
da Apigee a un server di backend:
- .
- Se l'endpoint/il server di destinazione utilizza riferimenti all'archivio chiavi, aggiorna il valore come descritto in Utilizzo dei riferimenti. Non è necessario eseguire nuovamente il deployment del proxy.
- Se l'endpoint/server di destinazione utilizza una variabile di flusso, aggiornala. No è necessario eseguire nuovamente il deployment del proxy.
- Se l'endpoint/il server di destinazione utilizza un nome diretto dell'archivio chiavi:
- Aggiornare la configurazione dell'endpoint/del server di destinazione per tutti i proxy API che ha fatto riferimento al vecchio archivio chiavi e all'alias della chiave per fare riferimento al nuovo archivio chiavi e alla nuova chiave alias.
- Per tutti i proxy API che fanno riferimento all'archivio chiavi da una definizione di TargetEndpoint,
devi eseguire nuovamente il deployment del proxy.
Se TargetEndpoint fa riferimento a una definizione di TargetServer e il valore di TargetServer che fa riferimento all'archivio chiavi, non è necessario eseguire nuovamente il deployment del proxy. - Se l'archivio chiavi viene utilizzato per il TLS bidirezionale tra Edge e il servizio di backend, e hai eliminato/ricreato l'archivio chiavi con lo stesso nome, devi riavviare Edge Processori di messaggi.
- Dopo aver verificato che il nuovo archivio chiavi funziona correttamente, elimina il vecchio archivio chiavi un archivio chiavi con certificato e chiave scaduti, come descritto sopra.
Aggiorna un certificato TLS in un archivio attendibilità
Se utilizzi riferimenti al truststore, la procedura di aggiornamento di un certificato in un truststore equivale a un archivio chiavi, come mostrato sopra. Le uniche differenze sono:
- Quando carichi il nuovo certificato nel nuovo archivio attendibilità, il nome dell'alias non è importante truststore.
- Se un certificato fa parte di una catena, devi creare un singolo file contenente tutte le certificati e caricare il file su un singolo alias oppure caricare tutti i certificati della catena separatamente l'archivio attendibilità utilizzando un alias diverso per ogni certificato.
Se utilizzi nomi diretti dei tuoi archivi chiavi e archivi attendibili:
- Caricare un nuovo certificato nel truststore come descritto in Keystore e truststore. Non è necessario eliminare il certificato precedente.
- Per un host virtuale utilizzato da una connessioni in entrata, ovvero una richiesta API in Edge, riavvia i router uno alla volta.
- Per un endpoint/server di destinazione utilizzato dalle connessioni in uscita, ossia da Apigee a un server di backend, riavvia i processori di messaggi Edge uno nel tempo.
- Verifica che il nuovo archivio attendibilità funzioni correttamente.