Aktualizowanie certyfikatu TLS dla chmury prywatnej

Przeglądasz dokumentację Apigee Edge.
Przejdź do Dokumentacja Apigee X. informacje.

Metoda używana do określania nazwy magazynu kluczy i magazynu zaufania na hoście wirtualnym lub docelowy punkt końcowy/serwer docelowy określa sposób aktualizacji certyfikatu. Możesz określić do magazynu kluczy i magazynu zaufania za pomocą polecenia:

  • Materiały referencyjne – preferowane
  • Bezpośrednie nazwy
  • Zmienne przepływu

Każda z tych metod ma inny wpływ na proces aktualizacji certyfikatu, zgodnie z opisem w sekcjach tabeli poniżej.

Typ konfiguracji Jak zaktualizować lub zastąpić certyfikat Aktualizowanie hosta wirtualnego, docelowego punktu końcowego lub serwera docelowego
Materiały referencyjne (zalecane) Utwórz nowy magazyn kluczy o nowej nazwie i aliasie z ta sama nazwa co stary alias.

Utwórz magazyn zaufania o nowej nazwie.

 Zaktualizuj odwołanie do magazynu kluczy lub magazynu zaufania.

Ponowne uruchomienie routera ani procesora wiadomości nie jest konieczne.
Zmienne przepływu (tylko docelowy punkt końcowy) Utwórz nowy magazyn kluczy o nowej nazwie i aliasie z z tą samą nazwą lub z nową nazwą.

Utwórz magazyn zaufania o nowej nazwie.

 Przy każdym żądaniu przekazuj zaktualizowaną zmienną przepływu wraz z nazwą nowego magazynu kluczy, aliasem lub magazynu zaufania.

Ponowne uruchomienie routera ani procesora wiadomości nie jest konieczne.
Bezpośrednie Utwórz nowy magazyn kluczy, alias, magazyn zaufania. Zaktualizuj hosta wirtualnego i uruchom ponownie routery.

Jeśli magazyn zaufania jest używany przez docelowy punkt końcowy lub serwer docelowy, wdróż ponownie serwer proxy.
Bezpośrednie Usuń magazyn kluczy lub magazyn zaufania i utwórz go ponownie z tą samą nazwą. Nie jest wymagana aktualizacja hosta wirtualnego. Ponowne uruchomienie routera nie jest konieczne. Żądania do interfejsu API kończą się jednak niepowodzeniem do czasu skonfigurowania nowego magazynu kluczy i aliasu.

Jeśli magazyn kluczy jest używany do dwukierunkowego protokołu TLS między Edge a usługą backendu, uruchom ponownie z procesorami wiadomości.
Bezpośrednie Prześlij do niego nowy certyfikat tylko w przypadku magazynu zaufania. Jeśli magazyn zaufania jest używany przez hosta wirtualnego, uruchom ponownie routery.

Jeśli magazyn zaufania jest używany przez docelowy punkt końcowy lub serwer docelowy, uruchom ponownie komunikat Procesory.

Testowanie certyfikatu przed i po aktualizować

Aby przetestować bieżący certyfikat przed aktualizacją, użyj tych poleceń openssl :

echo | openssl s_client -servername hostAlias -connect hostAlias.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

Gdzie hostAlias to alias hosta wirtualnego lub adresu IP. Na przykład:

echo | openssl s_client -servername api.myCompany.com -connect api.myCompany.com:443 2>/dev/null | openssl x509 -noout -dates -subject

Dane wyjściowe powinny wyglądać tak:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

Aby przetestować certyfikat, użyj tego samego polecenia po zaktualizowaniu certyfikatu.

Aktualizowanie certyfikatu TLS w magazynie kluczy

W przypadku lokalnego wdrożenia Edge:

  1. Utwórz nowy magazyn kluczy i prześlij certyfikat oraz klucz zgodnie z opisem na stronie Magazyny kluczy i magazyny zaufania W nowym magazynie kluczy sprawdź, czy alias nazwy klucza był taki sam jak w z dotychczasowego magazynu kluczy.

    Uwaga: możesz usunąć bieżący magazyn kluczy i utworzyć nowy z tym samym nazwę i alias. Ponowne uruchomienie routera nie jest konieczne. Żądania do interfejsu API kończą się jednak niepowodzeniem, dopóki nie zostanie utworzony nowy magazyn kluczy i alias są ustawione.
  2. W przypadku hosta wirtualnego używanego przez połączenia przychodzące, czyli żądania do interfejsu API. do Edge:
    1. Jeśli host wirtualny używa odwołania do magazynu kluczy, zaktualizuj odwołanie jako opisane w artykule Praca z plikami referencyjnymi.
    2. Jeśli host wirtualny używa bezpośredniej nazwy magazynu kluczy:
      1. Zaktualizuj wszystkie hosty wirtualne, które odwoływały się do starego magazynu kluczy i aliasu klucza, na odwołania do nowego magazynu kluczy i aliasu.
      2. Uruchom ponownie routery (pojedynczo). Pamiętaj, że jeśli usuniesz stary magazyn kluczy i utworzono nowy magazyn kluczy o tej samej nazwie, ponowne uruchomienie routera nie jest konieczne.

        Ponowne wdrażanie serwera proxy nie jest wymagane.
  3. w przypadku docelowego punktu końcowego/serwera docelowego używanego przez połączenia wychodzące, co oznacza, z Apigee na serwer backendu:
    1. Jeśli docelowy punkt końcowy lub serwer docelowy używa odwołań do magazynu kluczy, zaktualizuj atrybut jak opisano w artykule Korzystanie z plików referencyjnych. Ponowne wdrażanie serwera proxy nie jest konieczne.
    2. Jeśli docelowy punkt końcowy lub serwer docelowy używa zmiennej przepływu, zaktualizuj zmienną przepływu. Nie ponowne wdrożenie serwera proxy jest konieczne.
    3. Jeśli docelowy punkt końcowy lub serwer docelowy używa bezpośredniej nazwy magazynu kluczy:
      1. Zaktualizuj konfigurację docelowego punktu końcowego lub serwera docelowego dla wszystkich serwerów proxy interfejsu API, odwołuje się do starego magazynu kluczy i aliasu, aby odwołać się do nowego magazynu kluczy i nowego klucza alias.
      2. W przypadku dowolnych serwerów proxy interfejsu API, które odwołują się do magazynu kluczy z definicji punktu końcowego docelowego, musisz ponownie wdrożyć serwer proxy.

        Jeśli punkt docelowy odwołuje się do definicji serwera docelowego, a docelowy serwer docelowy odwołuje się do magazynu kluczy, ponowne wdrożenie serwera proxy nie jest konieczne.
      3. jeśli magazyn kluczy jest używany do dwukierunkowego protokołu TLS między Edge a usługą backendu; jeśli usuniesz/odtworzyłeś magazyn kluczy o tej samej nazwie, musisz ponownie uruchomić Edge Procesory wiadomości.
  4. Gdy upewnisz się, że nowy magazyn kluczy działa prawidłowo, usuń stary magazyn kluczy z wygasłym certyfikatem i kluczem, jak opisano powyżej.

Aktualizowanie certyfikatu TLS w magazynie zaufania

Proces aktualizowania certyfikatu w magazynie zaufania jest wprowadzany w przypadku użycia odwołań do magazynu zaufania i tak samo jak w przypadku magazynu kluczy, jak pokazano powyżej. Jedyne różnice:

  • Gdy przesyłasz nowy certyfikat do nowego magazynu zaufania, nazwa aliasu nie ma znaczenia w magazynach zaufania.
  • Jeśli certyfikat jest częścią łańcucha, musisz utworzyć jeden plik zawierający wszystkie certyfikatów i przesłać ten plik na jeden alias lub przesłać wszystkie certyfikaty w łańcuchu osobno do w magazynie zaufania, używając innego aliasu dla każdego certyfikatu.

Jeśli używasz bezpośrednich nazw magazynów kluczy i magazynów zaufania:

  1. Prześlij nowy certyfikat do magazynu zaufania zgodnie z opisem w sekcji Magazyny kluczy i magazyny zaufania Nie musisz usuwać starego certyfikatu.
  2. W przypadku hosta wirtualnego używanego przez połączenia przychodzące, czyli żądania do interfejsu API. Edge, ponownie uruchamiaj routery pojedynczo.
  3. W przypadku docelowego punktu końcowego/serwera docelowego używanego przez połączenia wychodzące: co oznacza, że z Apigee do serwera backendu uruchom ponownie procesory wiadomości brzegowych obecnie się znajdujesz.
  4. Sprawdź, czy nowy magazyn zaufania działa prawidłowo.