Aktualizowanie certyfikatu TLS dla chmury prywatnej

Wyświetlasz dokumentację Apigee Edge.
Przejdź do Dokumentacja Apigee X. informacje.

Metoda używana do określania nazwy magazynu kluczy i magazynu zaufania na hoście wirtualnym lub docelowy punkt końcowy/serwer docelowy określa sposób aktualizacji certyfikatu. Możesz określić do magazynu kluczy i magazynu zaufania za pomocą polecenia:

  • Materiały referencyjne – preferowane
  • Nazwy bezpośrednie
  • Zmienne przepływu

Każda z tych metod ma inne konsekwencje dla procesu aktualizacji certyfikatu, jak opisano w tabeli poniżej.

Typ konfiguracji Jak zaktualizować lub zastąpić certyfikat Jak zaktualizować hosta wirtualnego, docelowy punkt końcowy lub docelowy serwer
Materiały referencyjne (zalecane) W przypadku magazynu kluczy utwórz nowy magazyn kluczy z nową nazwą i aliasem o tej samej nazwie co stary alias.

Utwórz magazyn zaufania o nowej nazwie.

 Zaktualizuj odwołanie do magazynu kluczy lub magazynu zaufania.

Nie trzeba ponownie uruchamiać routera ani procesora wiadomości.
Zmienne przepływu (tylko docelowy punkt końcowy) Utwórz nowy magazyn kluczy o nowej nazwie i aliasie z z tą samą nazwą lub z nową nazwą.

Utwórz magazyn zaufania o nowej nazwie.

 Przekazuj zaktualizowaną zmienną przepływu w każdej prośbie z nazwą nowego repozytorium kluczy, aliasu lub repozytorium zaufania.

Ponowne uruchomienie routera ani procesora wiadomości nie jest konieczne.
Bezpośrednie Utwórz nowy magazyn kluczy, alias i magazyn zaufania. Zaktualizuj hosta wirtualnego i uruchom ponownie routery.

Jeśli z repozytorium zaufania korzysta docelowy punkt końcowy lub docelowy serwer, ponownie wdrożyć serwer proxy.
Bezpośrednie Usuń magazyn kluczy lub magazyn zaufania i utwórz go ponownie z tą samą nazwą. Nie jest wymagana aktualizacja hosta wirtualnego. Ponowne uruchomienie routera nie jest konieczne. Żądania do interfejsu API kończą się jednak niepowodzeniem do czasu skonfigurowania nowego magazynu kluczy i aliasu.

Jeśli magazyn kluczy jest używany do dwukierunkowego TLS między Edge a usługą backendową, ponownie uruchom przetwarzacze wiadomości.
Bezpośrednie Prześlij do niego nowy certyfikat tylko w przypadku magazynu zaufania. Jeśli magazyn zaufania jest używany przez hosta wirtualnego, uruchom ponownie routery.

Jeśli magazyn zaufania jest używany przez docelowy punkt końcowy lub serwer docelowy, uruchom ponownie komunikat Procesory.

Testowanie certyfikatu przed i po aktualizować

Aby przetestować bieżący certyfikat przed aktualizacją, użyj tych poleceń openssl :

echo | openssl s_client -servername hostAlias -connect hostAlias.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

Gdzie hostAlias to alias hosta wirtualnego lub adresu IP. Na przykład:

echo | openssl s_client -servername api.myCompany.com -connect api.myCompany.com:443 2>/dev/null | openssl x509 -noout -dates -subject

Dane wyjściowe powinny wyglądać tak:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

Aby przetestować certyfikat, użyj tego samego polecenia po zaktualizowaniu certyfikatu.

Aktualizowanie certyfikatu TLS w magazynie kluczy

W przypadku lokalnego wdrożenia Edge:

  1. Utwórz nowy magazyn kluczy i prześlij certyfikat oraz klucz zgodnie z opisem na stronie Magazyny kluczy i magazyny zaufania W nowym magazynie kluczy upewnij się, że alias klucza ma taką samą nazwę jak w dotychczasowym magazynie kluczy.

    Uwaga: możesz usunąć bieżący magazyn kluczy i utworzyć nowy z tym samym nazwę i alias. Ponowne uruchomienie routera nie jest konieczne. Żądania API kończą się niepowodzeniem, dopóki nie ustawisz nowego magazynu kluczy i aliasu.
  2. W przypadku hosta wirtualnego używanego przez połączenia przychodzące, czyli żądania do interfejsu API. do Edge:
    1. Jeśli host wirtualny używa odwołania do magazynu kluczy, zaktualizuj odwołanie jako opisane w artykule Praca z plikami referencyjnymi.
    2. Jeśli host wirtualny używa bezpośredniej nazwy magazynu kluczy:
      1. Zaktualizuj wszystkie hosty wirtualne, które odwoływały się do starego magazynu kluczy i aliasu klucza, na odwołania do nowego magazynu kluczy i aliasu.
      2. Uruchom ponownie routery (pojedynczo). Pamiętaj, że jeśli usuniesz stary magazyn kluczy i utworzono nowy magazyn kluczy o tej samej nazwie, ponowne uruchomienie routera nie jest konieczne.

        Ponowne wdrażanie serwera proxy nie jest wymagane.
  3. w przypadku docelowego punktu końcowego/serwera docelowego używanego przez połączenia wychodzące, co oznacza, z Apigee na serwer backendu:
    1. Jeśli docelowy punkt końcowy lub serwer docelowy używa odwołań do magazynu kluczy, zaktualizuj atrybut jak opisano w artykule Korzystanie z plików referencyjnych. Ponowne wdrażanie serwera proxy nie jest konieczne.
    2. Jeśli docelowy punkt końcowy lub docelowy serwer używa zmiennej przepływu, zaktualizuj tę zmienną. Nie ponowne wdrożenie serwera proxy jest konieczne.
    3. Jeśli docelowy punkt końcowy lub serwer docelowy używa bezpośredniej nazwy magazynu kluczy:
      1. Zaktualizuj konfigurację docelowego punktu końcowego lub serwera docelowego dla wszystkich serwerów proxy interfejsu API, odwołuje się do starego magazynu kluczy i aliasu, aby odwołać się do nowego magazynu kluczy i nowego klucza alias.
      2. W przypadku dowolnych serwerów proxy interfejsu API, które odwołują się do magazynu kluczy z definicji punktu końcowego docelowego, musisz ponownie wdrożyć serwer proxy.

        Jeśli punkt docelowy odwołuje się do definicji serwera docelowego, a docelowy serwer docelowy odwołuje się do magazynu kluczy, ponowne wdrożenie serwera proxy nie jest konieczne.
      3. Jeśli magazyn kluczy jest używany do dwukierunkowego szyfrowania TLS między Edge a usługą backendową i został usunięty lub utworzony ponownie o tej samej nazwie, musisz ponownie uruchomić procesory wiadomości Edge.
  4. Po potwierdzeniu, że nowy magazyn kluczy działa prawidłowo, usuń stary magazyn kluczy z wygasłym certyfikatem i kluczem w sposób opisany powyżej.

Aktualizowanie certyfikatu TLS w magazynie zaufania

Jeśli używasz odwołań do repozytorium zaufania, proces aktualizowania certyfikatu w repozytorium zaufania jest taki sam jak w przypadku repozytorium kluczy, jak pokazano powyżej. Jedyne różnice:

  • Gdy przesyłasz nowy certyfikat do nowego magazynu zaufania, nazwa aliasu nie ma znaczenia w magazynach zaufania.
  • Jeśli certyfikat jest częścią łańcucha, musisz utworzyć jeden plik zawierający wszystkie certyfikatów i przesłać ten plik na jeden alias lub przesłać wszystkie certyfikaty w łańcuchu osobno do w magazynie zaufania, używając innego aliasu dla każdego certyfikatu.

Jeśli używasz bezpośrednich nazw magazynów kluczy i magazynów zaufania:

  1. Prześlij nowy certyfikat do magazynu zaufania zgodnie z opisem w sekcji Magazyny kluczy i magazyny zaufania Nie musisz usuwać starego certyfikatu.
  2. W przypadku hosta wirtualnego używanego przez połączenia przychodzące, czyli żądania do interfejsu API. Edge, ponownie uruchamiaj routery pojedynczo.
  3. W przypadku docelowego punktu końcowego/serwera docelowego używanego przez połączenia wychodzące: co oznacza, że z Apigee do serwera backendu uruchom ponownie procesory wiadomości brzegowych obecnie się znajdujesz.
  4. Sprawdź, czy nowy magazyn zaufania działa prawidłowo.