Stai visualizzando la documentazione di Apigee Edge.
Vai alla
documentazione di Apigee X. informazioni
Il metodo che utilizzi per specificare il nome dell'archivio chiavi e dell'archivio attendibilità nell'host virtuale o nel server di destinazione/endpoint di destinazione determina le modalità di esecuzione dell'aggiornamento dei certificati. Puoi specificare il nome dell'archivio chiavi e dell'archivio attendibilità utilizzando:
- Riferimenti - preferiti
- Nomi diretti
- Variabili di flusso
Ciascuno di questi metodi ha ripercussioni diverse sul processo di aggiornamento dei certificati, come descritto nella tabella riportata di seguito.
Tipo di configurazione | Come aggiornare/sostituire un certificato | Come aggiornare l'host virtuale, l'endpoint di destinazione/il server di destinazione |
---|---|---|
Riferimento (consigliato) |
Per un archivio chiavi, crea un nuovo archivio chiavi con un nuovo nome e un alias con lo stesso nome dell'alias precedente.
Crea un archivio attendibilità con un nuovo nome. |
Aggiorna il riferimento all'archivio chiavi o all'archivio attendibilità.
Non è necessario riavviare il router o il processore di messaggi. |
Variabili di flusso (solo endpoint di destinazione) |
Per un archivio chiavi, crea un nuovo archivio chiavi con un nuovo nome e un alias con lo stesso nome o un nuovo nome.
Crea un archivio attendibilità con un nuovo nome. |
Passa la variabile di flusso aggiornata per ogni richiesta con il nome del nuovo archivio chiavi, alias o truststore.
Non è necessario riavviare il router o il processore di messaggi. |
Diretto | Crea un nuovo archivio chiavi, un nuovo alias o un nuovo archivio di attendibilità. |
Aggiorna l'host virtuale e riavvia i router.
Se l'archivio attendibilità viene utilizzato da un endpoint/server di destinazione, esegui nuovamente il deployment del proxy. |
Diretto | Elimina l'archivio chiavi o l'archivio attendibilità e ricrealo con lo stesso nome. |
Non è necessario aggiornare l'host virtuale né riavviare il router. Tuttavia, le richieste API non vanno a buon fine finché non vengono impostati i nuovi archivi chiavi e alias.
Se l'archivio chiavi viene utilizzato per il TLS a due vie tra Edge e il servizio di backend, riavvia i processori di messaggi. |
Diretto | Solo per l'archivio attendibilità, carica un nuovo certificato nell'archivio attendibilità. |
Se l'archivio attendibilità viene utilizzato da un host virtuale, riavvia i router.
Se l'archivio attendibilità viene utilizzato da un endpoint/server di destinazione, riavvia i processori di messaggi. |
Test del certificato prima e dopo l'aggiornamento
Utilizza i seguenti comandi openssl
per testare il certificato attuale prima di aggiornarlo:
echo | openssl s_client -servername hostAlias -connect hostAlias.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject
dove hostAlias è l'alias host dell'host virtuale o dell'indirizzo IP. Ad esempio:
echo | openssl s_client -servername api.myCompany.com -connect api.myCompany.com:443 2>/dev/null | openssl x509 -noout -dates -subject
Dovresti vedere l'output nel formato:
notBefore=Dec 30 22:11:38 2015 GMT notAfter=Dec 30 22:11:38 2016 GMT subject= /OU=Domain Control Validated/CN=*.apigee.net
Usa lo stesso comando dopo aver aggiornato il certificato per testarlo.
Aggiorna un certificato TLS in un archivio chiavi
Per un deployment on-premise di Edge:
- Crea un nuovo archivio chiavi e carica un certificato e una chiave come descritto in archivi chiavi e archivi attendibilità.
Nel nuovo archivio chiavi, assicurati di utilizzare per l'alias chiave lo stesso nome utilizzato nell'archivio chiavi esistente.
Nota: puoi eliminare l'archivio chiavi attuale e crearne uno nuovo con lo stesso nome e alias. Non è necessario riavviare il router. Tuttavia, le richieste API non vanno a buon fine finché non vengono impostati i nuovi archivi chiavi e alias. -
Per un host virtuale utilizzato da connessioni in entrata, ovvero una richiesta API in Edge:
- Se l'host virtuale utilizza un riferimento all'archivio chiavi, aggiorna il riferimento come descritto in Utilizzo dei riferimenti.
- Se l'host virtuale utilizza un nome diretto dell'archivio chiavi:
- Aggiorna gli eventuali host virtuali che facevano riferimento al vecchio archivio chiavi e al vecchio alias chiave in modo da fare riferimento al nuovo archivio chiavi e al nuovo alias chiave.
- Riavvia i router, uno alla volta. Tieni presente che se hai eliminato il vecchio archivio chiavi e ne hai creato uno nuovo con lo stesso nome, non è necessario riavviare il router.
Non è necessario ripetere il deployment del proxy.
-
Per un endpoint/server di destinazione utilizzato da connessioni in uscita, ovvero da Apigee a un server di backend:
- Se l'endpoint/server di destinazione utilizza un riferimento all'archivio chiavi, aggiorna il riferimento come descritto in Utilizzo dei riferimenti. Non è necessario ripetere il deployment del proxy.
- Se l'endpoint/server di destinazione utilizza una variabile di flusso, aggiornala. Non è necessario ripetere il deployment del proxy.
- Se l'endpoint o il server di destinazione utilizza un nome diretto dell'archivio chiavi:
- Aggiorna la configurazione dell'endpoint/server di destinazione per tutti i proxy API che facevano riferimento all'archivio chiavi e all'alias chiave precedenti, in modo che facciano riferimento al nuovo archivio chiavi e al nuovo alias chiave.
- Per tutti i proxy API che fanno riferimento all'archivio chiavi da una definizione di endpoint di destinazione, devi eseguire nuovamente il deployment del proxy.
Se TargetEndpoint fa riferimento a una definizione TargetServer e la definizione TargetServer fa riferimento all'archivio chiavi, non è necessario ripetere il deployment del proxy. - Se l'archivio chiavi viene utilizzato per il TLS a due vie tra Edge e il servizio di backend e hai eliminato/ricreato l'archivio chiavi con lo stesso nome, devi riavviare i processori di messaggi Edge.
- Dopo aver verificato che il nuovo archivio chiavi funziona correttamente, elimina quello precedente con il certificato e la chiave scaduti, come descritto sopra.
Aggiorna un certificato TLS in un archivio attendibilità
Se utilizzi riferimenti all'archivio attendibilità, la procedura di aggiornamento di un certificato in un archivio attendibilità è la stessa utilizzata per un archivio chiavi, come mostrato sopra. Le uniche differenze sono:
- Quando carichi il nuovo certificato nel nuovo truststore, il nome dell'alias non è importante per i truststore.
- Se un certificato fa parte di una catena, devi creare un singolo file contenente tutti i certificati e caricare il file su un singolo alias oppure caricare separatamente tutti i certificati della catena nell'archivio di attendibilità utilizzando un alias diverso per ciascun certificato.
Se utilizzi nomi diretti degli archivi chiavi e dei truststore:
- Carica un nuovo certificato nell'archivio attendibilità come descritto in Archivio chiavi e archivi attendibili. Non è necessario eliminare il certificato precedente.
- Per un host virtuale utilizzato da connessioni in entrata, ovvero una richiesta API in Edge, riavvia i router uno alla volta.
- Per un endpoint/server di destinazione di destinazione utilizzato da connessioni in uscita, ovvero da Apigee a un server di backend, riavvia i processori di messaggi Edge uno alla volta.
- Verifica che il nuovo archivio attendibilità funzioni correttamente.