Esta é a documentação do Apigee Edge.
Acesse
Documentação da Apigee X. informações
O método usado para especificar o nome do keystore e truststore no host virtual ou no endpoint de destino/servidor de destino determina como você executa a atualização do certificado. É possível especificar o nome do keystore e do truststore usando:
- Referências: preferencial
- Nomes diretos
- Variáveis de fluxo
Cada um desses métodos tem repercussões diferentes na atualização de certificados, conforme descrito em na tabela a seguir.
| Tipo de configuração | Como atualizar/substituir um certificado | Como atualizar o host virtual e o endpoint/servidor de destino |
|---|---|---|
| Referência (recomendado) |
No caso de keystore, crie um novo keystore com um novo nome e um alias com
mesmo nome do antigo.
Para uma truststore, crie um truststore com um novo nome. |
Atualize a referência do keystore ou truststore.
Não é necessário reiniciar o Roteador ou o Processador de mensagens. |
| Variáveis de fluxo (somente endpoint de destino) |
Para um keystore, crie um novo keystore com um novo nome e um alias com
o mesmo nome ou com um novo nome.
Para uma truststore, crie um truststore com um novo nome. |
Transmita o var de fluxo atualizado em cada solicitação com o nome do novo keystore, alias ou
truststore.
Não é necessário reiniciar o Roteador ou o Processador de mensagens. |
| Direto | Crie um novo keystore, alias, truststore. |
Atualize o host virtual e reinicie os roteadores.
Se o truststore for usado por um endpoint/servidor de destino, reimplante o proxy. |
| Direto | Exclua o repositório de chaves ou o truststore e recrie-o com o mesmo nome. |
Não é necessário atualizar o host virtual nem reiniciar o roteador. No entanto, as solicitações de API falham
até que o novo keystore e o alias sejam definidos.
Se o keystore for usado para TLS bidirecional entre o Edge e o serviço de back-end, reinicie os processadores de mensagens. |
| Direto | Apenas para truststore, faça upload de um novo certificado para o truststore. |
Se o truststore for usado por um host virtual, reinicie os Roteadores.
Se o truststore for usado por um endpoint/servidor de destino, reinicie os processadores de mensagens. |
Teste o certificado antes e depois do atualizar
Use os comandos openssl a seguir para testar o certificado atual antes de atualizar.
ele:
echo | openssl s_client -servername hostAlias -connect hostAlias.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject
Em que hostAlias é o alias de host do host virtual ou do endereço IP. Exemplo:
echo | openssl s_client -servername api.myCompany.com -connect api.myCompany.com:443 2>/dev/null | openssl x509 -noout -dates -subject
Você verá a saída no formulário:
notBefore=Dec 30 22:11:38 2015 GMT notAfter=Dec 30 22:11:38 2016 GMT subject= /OU=Domain Control Validated/CN=*.apigee.net
Use o mesmo comando depois de atualizar o certificado para testá-lo.
Atualizar um certificado TLS em um keystore
Para uma implantação local do Edge:
- Crie um keystore e faça upload de um certificado e de uma chave, conforme descrito em
Keystores e truststores.
No novo keystore, use o mesmo nome do alias de chave que foi usado no
repositório de chaves atual.
Observação: é possível excluir o keystore atual e criar um novo com o mesmo e alias. Não é necessário reiniciar o roteador. No entanto, as solicitações de API falham até que o novo keystore e alias forem definidos. -
Para um host virtual usado por conexões de entrada, ou seja, uma solicitação de API
no Edge:
- Se o host virtual usar uma referência ao keystore, atualize a referência como descritas em Trabalho com referências.
- Se o host virtual usar um nome direto do keystore:
- Atualize os hosts virtuais que faziam referência ao keystore e ao alias de chave antigos para referenciar o novo keystore e o alias da chave.
- Reinicie os roteadores, um de cada vez. Observe que, se você excluiu o keystore antigo e
criar um novo keystore com o mesmo nome, não será necessário reiniciar o roteador.
Nenhuma reimplantação do proxy é necessária.
-
Para um endpoint/servidor de destino usado por conexões de saída, ou seja,
da Apigee para um servidor de back-end:
- Se o endpoint/servidor de destino usar referências ao keystore, atualize o conforme descrito em Como trabalhar com referências. Nenhuma reimplantação do proxy é necessária.
- Se o endpoint/servidor de destino usar uma variável de fluxo, atualize essa variável. Não é necessário fazer a reimplantação do proxy.
- Se o endpoint/servidor de destino usar um nome direto do keystore:
- Atualize a configuração do endpoint/servidor de destino para todos os proxies de API que fez referência ao keystore e ao alias de chave antigos para referenciar o novo keystore e a chave alias.
- Para qualquer proxy de API que faça referência ao keystore de uma definição de TargetEndpoint,
reimplante o proxy.
Se o TargetEndpoint referenciar uma definição de TargetServer e a definição de TargetServer referenciar o keystore, não será necessário reimplantar o proxy. - Se o keystore for usado para TLS bidirecional entre o Edge e o serviço de back-end e você excluiu/recriou o keystore com o mesmo nome, terá que reiniciar o Edge Processadores de mensagens
- Depois de confirmar que o novo keystore está funcionando corretamente, exclua o antigo com a chave e o certificado expirados, conforme descrito acima.
Atualizar um certificado TLS em um repositório de chaves
Se você estiver usando referências ao truststore, o processo de atualização de um certificado em um truststore é o mesmo que para um keystore mostrado acima. As únicas diferenças são:
- Quando você faz upload do novo certificado para o novo truststore, o nome do alias não importa para truststores.
- Se um certificado fizer parte de uma cadeia, você precisará criar um único arquivo contendo todos os certificados e fazer o upload desse arquivo para um único alias ou fazer o upload de todos os certificados da cadeia separadamente para o truststore usando um alias diferente para cada certificado.
Se você estiver usando nomes diretos dos keystores e truststores:
- Faça upload de um novo certificado para o truststore conforme descrito em Keystores e Truststores. Não é necessário excluir o certificado antigo.
- Para um host virtual usado por conexões de entrada, ou seja, uma solicitação de API ao Edge, reinicie um roteador de cada vez.
- Para um endpoint/servidor de destino usado por uma conexão de saída, ou seja, da Apigee para um servidor de back-end, reinicie os processadores de mensagens Edge um por vez.
- Confirme se o novo truststore está funcionando corretamente.