Przeglądasz dokumentację Apigee Edge.
Otwórz dokumentację Apigee X. Informacje
Sposób aktualizacji certyfikatu zależy od metody, której używasz do określenia nazwy magazynu kluczy i magazynu zaufanych certyfikatów na hoście wirtualnym lub docelowym punkcie końcowym/serwerze docelowym. Nazwę magazynu kluczy i magazynu zaufania możesz określić za pomocą:
- Pliki referencyjne – preferowane
- Nazwy bezpośrednie
- Zmienne przepływu
Każda z tych metod ma inny wpływ na proces aktualizacji certyfikatu, co opisano w poniższej tabeli.
Typ konfiguracji | Jak zaktualizować lub zastąpić certyfikat | Jak zaktualizować hosta wirtualnego, docelowy punkt końcowy/serwer docelowy |
---|---|---|
Materiały referencyjne (zalecane) |
W przypadku magazynu kluczy utwórz nowy magazyn kluczy o nowej nazwie i aliasie o tej samej nazwie co stary alias.
W przypadku magazynu zaufania utwórz go o nowej nazwie. |
Zaktualizuj odwołanie do magazynu kluczy lub magazynu zaufania.
Nie jest konieczne ponowne uruchamianie routera ani procesora wiadomości. |
Zmienne przepływu (tylko docelowy punkt końcowy) |
W przypadku magazynu kluczy utwórz nowy magazyn kluczy o nowej nazwie i aliasie o tej samej lub nowej nazwie.
W przypadku magazynu zaufania utwórz go o nowej nazwie. |
Przekazuj zaktualizowaną zmienną przepływu w każdym żądaniu z nazwą nowego magazynu kluczy, aliasu lub magazynu zaufanych.
Nie jest konieczne ponowne uruchamianie routera ani procesora wiadomości. |
Bezpośrednie | Utwórz nowy magazyn kluczy, alias i magazyn zaufania. |
Zaktualizuj hosta wirtualnego i uruchom ponownie routery.
Jeśli magazyn zaufania jest używany przez docelowy punkt końcowy lub serwer docelowy, wdróż ponownie serwer proxy. |
Bezpośrednie | Usuń magazyn kluczy lub magazyn zaufania i utwórz go ponownie pod tą samą nazwą. |
Nie jest wymagana aktualizacja hosta wirtualnego. Nie jest konieczne ponowne uruchamianie routera. Żądania do interfejsu API kończą się jednak niepowodzeniem, dopóki nie zostanie ustawiony nowy magazyn kluczy i alias.
Jeśli magazyn kluczy jest używany do dwukierunkowego protokołu TLS między brzegiem sieci a usługą backendu, uruchom ponownie procesory wiadomości. |
Bezpośrednie | W przypadku magazynu zaufanych certyfikatów prześlij do niego nowy certyfikat. |
Jeśli magazyn zaufania jest używany przez hosta wirtualnego, uruchom ponownie routery.
Jeśli magazyn zaufania jest używany przez docelowy punkt końcowy lub serwer docelowy, uruchom ponownie procesory wiadomości. |
Testowanie certyfikatu przed aktualizacją i po niej
Aby przetestować bieżący certyfikat przed jego zaktualizowaniem, użyj tych poleceń openssl
:
echo | openssl s_client -servername hostAlias -connect hostAlias.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject
Gdzie hostAlias to alias hosta wirtualnego hosta lub adresu IP. Na przykład:
echo | openssl s_client -servername api.myCompany.com -connect api.myCompany.com:443 2>/dev/null | openssl x509 -noout -dates -subject
Dane wyjściowe powinny mieć postać:
notBefore=Dec 30 22:11:38 2015 GMT notAfter=Dec 30 22:11:38 2016 GMT subject= /OU=Domain Control Validated/CN=*.apigee.net
Po zaktualizowaniu certyfikatu do przetestowania użyj tego samego polecenia.
Aktualizowanie certyfikatu TLS w magazynie kluczy
W przypadku wdrożenia lokalnego Edge:
- Utwórz nowy magazyn kluczy i prześlij certyfikat oraz klucz zgodnie z opisem w sekcji magazyny kluczy i magazyny zaufania.
W nowym magazynie kluczy sprawdź, czy używasz tej samej nazwy aliasu kluczy, która została użyta w istniejącym magazynie kluczy.
Uwaga: możesz usunąć bieżący magazyn kluczy i utworzyć nowy o tej samej nazwie i aliasie. Ponowne uruchamianie routera nie jest konieczne. Żądania do interfejsu API kończą się jednak niepowodzeniem, dopóki nie ustawisz nowego magazynu kluczy i aliasu. -
W przypadku hosta wirtualnego używanego przez połączenia przychodzące, czyli żądanie interfejsu API do Edge:
- Jeśli host wirtualny korzysta z odwołania do magazynu kluczy, zaktualizuj je zgodnie z opisem w sekcji Praca z odwołaniami.
- Jeśli host wirtualny używa bezpośredniej nazwy magazynu kluczy:
- Zaktualizuj wszystkie hosty wirtualne, które odwołują się do starego magazynu kluczy i aliasu kluczy, aby odwoływały się do nowego magazynu kluczy i aliasu kluczy.
- Uruchamiaj ponownie routery pojedynczo. Pamiętaj, że jeśli usuniesz stary magazyn kluczy i utworzysz nowy magazyn kluczy o tej samej nazwie, ponowne uruchomienie routera nie będzie konieczne.
Nie jest wymagane ponowne wdrożenie serwera proxy.
-
Docelowy punkt końcowy/serwer docelowy używany przez połączenia wychodzące, czyli z Apigee do serwera backendu:
- Jeśli docelowy punkt końcowy/serwer docelowy używa odwołań do magazynu kluczy, zaktualizuj odwołanie zgodnie z opisem w sekcji Praca z plikami referencyjnymi. Nie jest konieczne ponowne wdrożenie serwera proxy.
- Jeśli docelowy punkt końcowy/serwer docelowy używa zmiennej przepływu, zaktualizuj zmienną przepływu. Nie jest konieczne ponowne wdrożenie serwera proxy.
- Jeśli docelowy punkt końcowy/serwer docelowy używa bezpośredniej nazwy magazynu kluczy:
- Zaktualizuj konfigurację docelowego punktu końcowego/docelowego serwera dla wszystkich serwerów proxy interfejsu API, które odwoływały się do starego magazynu kluczy i aliasu kluczy, aby odwoływały się do nowego magazynu kluczy i aliasu kluczy.
- W przypadku wszystkich serwerów proxy interfejsu API, które odwołują się do magazynu kluczy z definicji docelowego punktu końcowego, musisz ponownie wdrożyć serwer proxy.
Jeśli punkt końcowy docelowy odwołuje się do definicji serwera docelowego, a definicja serwera docelowego odnosi się do magazynu kluczy, ponowne wdrożenie serwera proxy nie jest konieczne. - Jeśli magazyn kluczy jest używany do dwukierunkowego protokołu TLS między brzegiem sieci a usługą backendu, a magazyn kluczy został usunięty lub odtworzony o tej samej nazwie, musisz ponownie uruchomić procesory wiadomości brzegowych.
- Gdy potwierdzisz, że nowy magazyn kluczy działa prawidłowo, usuń stary magazyn kluczy z wygasłym certyfikatem i kluczem w sposób opisany powyżej.
Aktualizowanie certyfikatu TLS w magazynie zaufania
Jeśli używasz odwołań do magazynu kluczy, proces aktualizowania certyfikatu w magazynie zaufania jest taki sam jak w przypadku magazynu kluczy, co pokazano powyżej. Jedyne różnice:
- Gdy prześlesz nowy certyfikat do nowego magazynu zaufania, nazwa aliasu nie ma znaczenia w przypadku magazynów zaufania.
- Jeśli certyfikat jest częścią łańcucha, musisz utworzyć jeden plik zawierający wszystkie certyfikaty i przesłać go do jednego aliasu lub przesłać wszystkie certyfikaty w łańcuchu oddzielnie do magazynu zaufania, używając osobnego aliasu dla każdego certyfikatu.
Jeśli używasz bezpośrednich nazw magazynów kluczy i magazynów zaufania:
- Prześlij nowy certyfikat do magazynu kluczy zgodnie z opisem w sekcji Magazyny kluczy i magazyny zaufania. Nie musisz usuwać starego certyfikatu.
- W przypadku hosta wirtualnego używanego przez połączenia przychodzące, czyli żądania do interfejsu API wysyłanego do Edge, ponownie uruchamiaj routery pojedynczo.
- W przypadku docelowego punktu końcowego/serwera docelowego używanego przez połączenia wychodzące, czyli z Apigee do serwera backendu, ponownie uruchamiaj brzegowe procesory wiadomości pojedynczo.
- Sprawdź, czy nowy magazyn zaufania działa prawidłowo.