Aktualizowanie certyfikatu TLS dla chmury prywatnej

Przeglądasz dokumentację Apigee Edge.
Otwórz dokumentację Apigee X. Informacje

Sposób aktualizacji certyfikatu zależy od metody, której używasz do określenia nazwy magazynu kluczy i magazynu zaufanych certyfikatów na hoście wirtualnym lub docelowym punkcie końcowym/serwerze docelowym. Nazwę magazynu kluczy i magazynu zaufania możesz określić za pomocą:

  • Pliki referencyjne – preferowane
  • Nazwy bezpośrednie
  • Zmienne przepływu

Każda z tych metod ma inny wpływ na proces aktualizacji certyfikatu, co opisano w poniższej tabeli.

Typ konfiguracji Jak zaktualizować lub zastąpić certyfikat Jak zaktualizować hosta wirtualnego, docelowy punkt końcowy/serwer docelowy
Materiały referencyjne (zalecane) W przypadku magazynu kluczy utwórz nowy magazyn kluczy o nowej nazwie i aliasie o tej samej nazwie co stary alias.

W przypadku magazynu zaufania utwórz go o nowej nazwie.

 Zaktualizuj odwołanie do magazynu kluczy lub magazynu zaufania.

Nie jest konieczne ponowne uruchamianie routera ani procesora wiadomości.
Zmienne przepływu (tylko docelowy punkt końcowy) W przypadku magazynu kluczy utwórz nowy magazyn kluczy o nowej nazwie i aliasie o tej samej lub nowej nazwie.

W przypadku magazynu zaufania utwórz go o nowej nazwie.

 Przekazuj zaktualizowaną zmienną przepływu w każdym żądaniu z nazwą nowego magazynu kluczy, aliasu lub magazynu zaufanych.

Nie jest konieczne ponowne uruchamianie routera ani procesora wiadomości.
Bezpośrednie Utwórz nowy magazyn kluczy, alias i magazyn zaufania. Zaktualizuj hosta wirtualnego i uruchom ponownie routery.

Jeśli magazyn zaufania jest używany przez docelowy punkt końcowy lub serwer docelowy, wdróż ponownie serwer proxy.
Bezpośrednie Usuń magazyn kluczy lub magazyn zaufania i utwórz go ponownie pod tą samą nazwą. Nie jest wymagana aktualizacja hosta wirtualnego. Nie jest konieczne ponowne uruchamianie routera. Żądania do interfejsu API kończą się jednak niepowodzeniem, dopóki nie zostanie ustawiony nowy magazyn kluczy i alias.

Jeśli magazyn kluczy jest używany do dwukierunkowego protokołu TLS między brzegiem sieci a usługą backendu, uruchom ponownie procesory wiadomości.
Bezpośrednie W przypadku magazynu zaufanych certyfikatów prześlij do niego nowy certyfikat. Jeśli magazyn zaufania jest używany przez hosta wirtualnego, uruchom ponownie routery.

Jeśli magazyn zaufania jest używany przez docelowy punkt końcowy lub serwer docelowy, uruchom ponownie procesory wiadomości.

Testowanie certyfikatu przed aktualizacją i po niej

Aby przetestować bieżący certyfikat przed jego zaktualizowaniem, użyj tych poleceń openssl:

echo | openssl s_client -servername hostAlias -connect hostAlias.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

Gdzie hostAlias to alias hosta wirtualnego hosta lub adresu IP. Na przykład:

echo | openssl s_client -servername api.myCompany.com -connect api.myCompany.com:443 2>/dev/null | openssl x509 -noout -dates -subject

Dane wyjściowe powinny mieć postać:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

Po zaktualizowaniu certyfikatu do przetestowania użyj tego samego polecenia.

Aktualizowanie certyfikatu TLS w magazynie kluczy

W przypadku wdrożenia lokalnego Edge:

  1. Utwórz nowy magazyn kluczy i prześlij certyfikat oraz klucz zgodnie z opisem w sekcji magazyny kluczy i magazyny zaufania. W nowym magazynie kluczy sprawdź, czy używasz tej samej nazwy aliasu kluczy, która została użyta w istniejącym magazynie kluczy.

    Uwaga: możesz usunąć bieżący magazyn kluczy i utworzyć nowy o tej samej nazwie i aliasie. Ponowne uruchamianie routera nie jest konieczne. Żądania do interfejsu API kończą się jednak niepowodzeniem, dopóki nie ustawisz nowego magazynu kluczy i aliasu.
  2. W przypadku hosta wirtualnego używanego przez połączenia przychodzące, czyli żądanie interfejsu API do Edge:
    1. Jeśli host wirtualny korzysta z odwołania do magazynu kluczy, zaktualizuj je zgodnie z opisem w sekcji Praca z odwołaniami.
    2. Jeśli host wirtualny używa bezpośredniej nazwy magazynu kluczy:
      1. Zaktualizuj wszystkie hosty wirtualne, które odwołują się do starego magazynu kluczy i aliasu kluczy, aby odwoływały się do nowego magazynu kluczy i aliasu kluczy.
      2. Uruchamiaj ponownie routery pojedynczo. Pamiętaj, że jeśli usuniesz stary magazyn kluczy i utworzysz nowy magazyn kluczy o tej samej nazwie, ponowne uruchomienie routera nie będzie konieczne.

        Nie jest wymagane ponowne wdrożenie serwera proxy.
  3. Docelowy punkt końcowy/serwer docelowy używany przez połączenia wychodzące, czyli z Apigee do serwera backendu:
    1. Jeśli docelowy punkt końcowy/serwer docelowy używa odwołań do magazynu kluczy, zaktualizuj odwołanie zgodnie z opisem w sekcji Praca z plikami referencyjnymi. Nie jest konieczne ponowne wdrożenie serwera proxy.
    2. Jeśli docelowy punkt końcowy/serwer docelowy używa zmiennej przepływu, zaktualizuj zmienną przepływu. Nie jest konieczne ponowne wdrożenie serwera proxy.
    3. Jeśli docelowy punkt końcowy/serwer docelowy używa bezpośredniej nazwy magazynu kluczy:
      1. Zaktualizuj konfigurację docelowego punktu końcowego/docelowego serwera dla wszystkich serwerów proxy interfejsu API, które odwoływały się do starego magazynu kluczy i aliasu kluczy, aby odwoływały się do nowego magazynu kluczy i aliasu kluczy.
      2. W przypadku wszystkich serwerów proxy interfejsu API, które odwołują się do magazynu kluczy z definicji docelowego punktu końcowego, musisz ponownie wdrożyć serwer proxy.

        Jeśli punkt końcowy docelowy odwołuje się do definicji serwera docelowego, a definicja serwera docelowego odnosi się do magazynu kluczy, ponowne wdrożenie serwera proxy nie jest konieczne.
      3. Jeśli magazyn kluczy jest używany do dwukierunkowego protokołu TLS między brzegiem sieci a usługą backendu, a magazyn kluczy został usunięty lub odtworzony o tej samej nazwie, musisz ponownie uruchomić procesory wiadomości brzegowych.
  4. Gdy potwierdzisz, że nowy magazyn kluczy działa prawidłowo, usuń stary magazyn kluczy z wygasłym certyfikatem i kluczem w sposób opisany powyżej.

Aktualizowanie certyfikatu TLS w magazynie zaufania

Jeśli używasz odwołań do magazynu kluczy, proces aktualizowania certyfikatu w magazynie zaufania jest taki sam jak w przypadku magazynu kluczy, co pokazano powyżej. Jedyne różnice:

  • Gdy prześlesz nowy certyfikat do nowego magazynu zaufania, nazwa aliasu nie ma znaczenia w przypadku magazynów zaufania.
  • Jeśli certyfikat jest częścią łańcucha, musisz utworzyć jeden plik zawierający wszystkie certyfikaty i przesłać go do jednego aliasu lub przesłać wszystkie certyfikaty w łańcuchu oddzielnie do magazynu zaufania, używając osobnego aliasu dla każdego certyfikatu.

Jeśli używasz bezpośrednich nazw magazynów kluczy i magazynów zaufania:

  1. Prześlij nowy certyfikat do magazynu kluczy zgodnie z opisem w sekcji Magazyny kluczy i magazyny zaufania. Nie musisz usuwać starego certyfikatu.
  2. W przypadku hosta wirtualnego używanego przez połączenia przychodzące, czyli żądania do interfejsu API wysyłanego do Edge, ponownie uruchamiaj routery pojedynczo.
  3. W przypadku docelowego punktu końcowego/serwera docelowego używanego przez połączenia wychodzące, czyli z Apigee do serwera backendu, ponownie uruchamiaj brzegowe procesory wiadomości pojedynczo.
  4. Sprawdź, czy nowy magazyn zaufania działa prawidłowo.