Você está vendo a documentação do Apigee Edge.
Acesse a
documentação da Apigee X. informações
O método usado para especificar o nome do keystore e truststore no host virtual ou no endpoint de destino/servidor de destino determina como você executa a atualização do certificado. É possível especificar o nome do keystore e do truststore usando:
- Referências: preferida
- Nomes diretos
- Variáveis de fluxo
Cada um desses métodos tem repercussões diferentes no processo de atualização do certificado, conforme descrito na tabela a seguir.
| Tipo de configuração | Como atualizar/substituir um certificado | Como atualizar o host virtual, o endpoint/servidor de destino |
|---|---|---|
| Referência (recomendado) |
Para um keystore, crie um novo keystore com um novo nome e um alias com
o mesmo nome do alias antigo.
Para uma truststore, crie um truststore com um novo nome. |
Atualize a referência para o keystore ou o truststore.
Não é necessário reiniciar o roteador nem o processador de mensagens. |
| Variáveis de fluxo (somente endpoint de destino) |
Para um keystore, crie um novo keystore com um novo nome e um alias com
o mesmo nome ou com um novo nome.
Para uma truststore, crie um truststore com um novo nome. |
Transmitir a variável de fluxo atualizada em cada solicitação com o nome do novo keystore, alias ou
truststore.
Não é necessário reiniciar o roteador nem o processador de mensagens. |
| Direto | Crie um novo keystore, alias, truststore. |
Atualize o host virtual e reinicie os roteadores.
Se o truststore for usado por um endpoint/servidor de destino, reimplante o proxy. |
| Direto | Exclua o repositório de chaves ou o truststore e recrie-o com o mesmo nome. |
Não é necessário atualizar o host virtual nem reiniciar o roteador. No entanto, as solicitações de API falham
até que o novo keystore e o alias sejam definidos.
Se o keystore for usado para TLS bidirecional entre o Edge e o serviço de back-end, reinicie os processadores de mensagens. |
| Direto | Apenas para truststore, faça upload de um novo certificado para o truststore. |
Se o truststore for usado por um host virtual, reinicie os roteadores.
Se o truststore for usado por um servidor de endpoint/destino de destino, reinicie os processadores de mensagens. |
Como testar o certificado antes e depois da atualização
Use os seguintes comandos openssl para testar o certificado atual antes de atualizá-lo:
echo | openssl s_client -servername hostAlias -connect hostAlias.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject
Em que hostAlias é o alias de host do host virtual ou do endereço IP. Exemplo:
echo | openssl s_client -servername api.myCompany.com -connect api.myCompany.com:443 2>/dev/null | openssl x509 -noout -dates -subject
Você verá a saída no formulário:
notBefore=Dec 30 22:11:38 2015 GMT notAfter=Dec 30 22:11:38 2016 GMT subject= /OU=Domain Control Validated/CN=*.apigee.net
Use o mesmo comando depois de atualizar o certificado para testá-lo.
Atualizar um certificado TLS em um keystore
Para uma implantação local do Edge:
- Crie um novo keystore e faça upload de um certificado e uma chave, conforme descrito em
Keystores e Truststores.
No novo keystore, use o mesmo nome para o alias de chave que foi usado no armazenamento de chaves atual.
Observação: é possível excluir o keystore atual e criar um novo com o mesmo nome e alias. Não é necessário reiniciar o roteador. No entanto, as solicitações de API falham até que o novo keystore e o alias sejam definidos. -
Para um host virtual usado por uma conexão de entrada, ou seja, uma solicitação de API
no Edge:
- Se o host virtual usar uma referência ao keystore, atualize a referência conforme descrito em Como trabalhar com referências.
- Se o host virtual usar um nome direto do keystore:
- Atualize todos os hosts virtuais que faziam referência ao keystore e ao alias da chave antigos para fazer referência ao novo keystore e ao alias da chave.
- Reinicie os roteadores, um de cada vez. Se você excluiu o keystore antigo e criou um novo com o mesmo nome, não vai ser necessário reiniciar o roteador.
Não é necessária nenhuma reimplantação do proxy.
-
Para um endpoint/servidor de destino usado por uma conexão de saída, ou seja, da Apigee para um servidor de back-end:
- Se o servidor de endpoint/de destino usar uma referência ao keystore, atualize a referência conforme descrito em Como trabalhar com referências. Não é necessária nenhuma reimplantação do proxy.
- Se o endpoint/servidor de destino usar uma variável de fluxo, atualize essa variável. Não é necessária nenhuma reimplantação do proxy.
- Se o endpoint/servidor de destino usar um nome direto do keystore:
- Atualize a configuração do endpoint/servidor de destino de todos os proxies de API que faziam referência ao keystore e ao alias da chave antigos para fazer referência ao novo keystore e ao alias da chave.
- Para todos os proxies de API que fazem referência ao keystore com base em uma definição de TargetEndpoint,
é necessário reimplantar o proxy.
Se o TargetEndpoint fizer referência a uma definição de TargetServer e essa definição referenciar o keystore, nenhuma reimplantação do proxy vai ser necessária. - Se o keystore for usado para TLS bidirecional entre o Edge e o serviço de back-end, e você tiver excluído/recriado o keystore com o mesmo nome, reinicie os processadores de mensagens de borda.
- Depois de confirmar que o novo keystore está funcionando corretamente, exclua o antigo com o certificado e a chave expirados, conforme descrito acima.
Atualizar um certificado TLS em um truststore
Se você estiver usando referências ao truststore, o processo de atualização de um certificado em um truststore será o mesmo que para um keystore, conforme mostrado acima. As únicas diferenças são:
- Quando você faz upload do novo certificado para o novo truststore, o nome do alias não importa para truststores.
- Se um certificado fizer parte de uma cadeia, crie um único arquivo com todos os certificados e faça upload desse arquivo para um único alias ou faça upload de todos os certificados da cadeia separadamente para o truststore usando um alias diferente para cada certificado.
Se você estiver usando nomes diretos de keystores e truststores:
- Faça upload de um novo certificado para o truststore, conforme descrito em Keystores e Truststores. Não é necessário excluir o certificado antigo.
- Para um host virtual usado por uma conexão de entrada, ou seja, uma solicitação de API no Edge, reinicie um roteador de cada vez.
- Para um endpoint/servidor de destino usado por uma conexão de saída, ou seja, da Apigee para um servidor de back-end, reinicie os processadores de mensagens de borda, um de cada vez.
- Confirme se o novo truststore está funcionando corretamente.