Обновите сертификат TLS для частного облака

Вы просматриваете документацию Apigee Edge .
Перейдите к документации Apigee X. информация

Метод, который вы используете для указания имени хранилища ключей и хранилища доверенных сертификатов на виртуальном хосте или целевой конечной точке/целевом сервере, определяет, как вы выполняете обновление сертификата. Вы можете указать имя хранилища ключей и хранилища доверенных сертификатов, используя:

  • Рекомендации - желательно
  • Прямые имена
  • Переменные потока

Каждый из этих методов по-разному влияет на процесс обновления сертификата, как описано в следующей таблице.

Тип конфигурации Как обновить/заменить сертификат Как обновить виртуальный хост, целевую конечную точку/целевой сервер
Ссылка (рекомендуется) Для хранилища ключей создайте новое хранилище ключей с новым именем и псевдонимом с тем же именем , что и у старого псевдонима.

Для хранилища доверенных сертификатов создайте хранилище доверенных сертификатов с новым именем .

 Обновите ссылку на хранилище ключей или хранилище доверенных сертификатов.

Перезапуск маршрутизатора или процессора сообщений не требуется.

Переменные потока (только целевая конечная точка) Для хранилища ключей создайте новое хранилище ключей с новым именем и псевдонимом с тем же именем или с новым именем.

Для хранилища доверенных сертификатов создайте хранилище доверенных сертификатов с новым именем .

 Передавайте обновленную переменную потока при каждом запросе с именем нового хранилища ключей, псевдонима или хранилища доверенных сертификатов.

Перезапуск маршрутизатора или процессора сообщений не требуется.

Прямой Создайте новое хранилище ключей, псевдоним и хранилище доверенных сертификатов. Обновите виртуальный хост и перезапустите маршрутизаторы.

Если хранилище доверенных сертификатов используется целевой конечной точкой или целевым сервером, повторно разверните прокси.

Прямой Удалите хранилище ключей или хранилище доверенных сертификатов и воссоздайте его с тем же именем. Обновление виртуального хоста не требуется, перезапуск маршрутизатора не требуется. Однако запросы API не выполняются, пока не будут установлены новое хранилище ключей и псевдоним.

Если хранилище ключей используется для двустороннего TLS между Edge и внутренней службой, перезапустите процессоры сообщений.

Прямой Только для хранилища доверенных сертификатов: загрузите в хранилище доверенных сертификатов новый сертификат. Если хранилище доверенных сертификатов используется виртуальным хостом, перезапустите маршрутизаторы.

Если хранилище доверенных сертификатов используется целевой конечной точкой или целевым сервером, перезапустите процессоры сообщений.

Тестирование сертификата до и после обновления

Используйте следующие команды openssl , чтобы проверить текущий сертификат перед его обновлением:

echo | openssl s_client -servername hostAlias -connect hostAlias.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

Где hostAlias ​​— псевдоним виртуального хоста или IP-адрес. Например:

echo | openssl s_client -servername api.myCompany.com -connect api.myCompany.com:443 2>/dev/null | openssl x509 -noout -dates -subject

Вы должны увидеть вывод в форме:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

Используйте ту же команду после обновления сертификата, чтобы проверить его.

Обновление сертификата TLS в хранилище ключей

Для локального развертывания Edge:

  1. Создайте новое хранилище ключей и загрузите сертификат и ключ, как описано в разделе «Хранилища ключей и хранилища доверенных сертификатов» . В новом хранилище ключей убедитесь, что вы используете то же имя для псевдонима ключа, которое использовалось в существующем хранилище ключей.

    Примечание . Вы можете удалить текущее хранилище ключей и создать новое с тем же именем и псевдонимом. Перезапуск маршрутизатора не требуется. Однако запросы API не выполняются, пока не будут установлены новое хранилище ключей и псевдоним.
  2. Для виртуального хоста, используемого входящим соединением, то есть запроса API в Edge:
    1. Если ваш виртуальный хост использует ссылку на хранилище ключей, обновите ссылку, как описано в разделе «Работа со ссылками» .
    2. Если ваш виртуальный хост использует прямое имя хранилища ключей:
      1. Обновите все виртуальные хосты, которые ссылались на старое хранилище ключей и псевдоним ключа, чтобы они ссылались на новое хранилище ключей и псевдоним ключа.
      2. Перезапустите маршрутизаторы по одному. Обратите внимание: если вы удалили старое хранилище ключей и создали новое хранилище ключей с тем же именем, перезапуск маршрутизатора не требуется.

        Перераспределение прокси не требуется.
  3. Для целевой конечной точки/целевого сервера, используемого исходящими соединениями, то есть от Apigee к внутреннему серверу:
    1. Если целевая конечная точка/целевой сервер использует ссылки на хранилище ключей, обновите ссылку, как описано в разделе Работа со ссылками . Перераспределение прокси не требуется.
    2. Если целевая конечная точка/целевой сервер использует переменную потока, обновите переменную потока. Перераспределение прокси не требуется.
    3. Если целевая конечная точка/целевой сервер использует прямое имя хранилища ключей:
      1. Обновите конфигурацию целевой конечной точки/целевого сервера для всех прокси-серверов API, которые ссылались на старое хранилище ключей и псевдоним ключа, чтобы они ссылались на новое хранилище ключей и псевдоним ключа.
      2. Для любых прокси-серверов API, которые ссылаются на хранилище ключей из определения TargetEndpoint, необходимо повторно развернуть прокси-сервер.

        Если TargetEndpoint ссылается на определение TargetServer, а определение TargetServer ссылается на хранилище ключей, то повторное развертывание прокси-сервера не требуется.
      3. Если хранилище ключей используется для двустороннего TLS между Edge и внутренней службой, и вы удалили/воссоздали хранилище ключей с тем же именем, необходимо перезапустить пограничные процессоры сообщений.
  4. Убедившись, что ваше новое хранилище ключей работает правильно, удалите старое хранилище ключей с просроченным сертификатом и ключом, как описано выше.

Обновите сертификат TLS в хранилище доверенных сертификатов.

Если вы используете ссылки на хранилище доверенных сертификатов, процесс обновления сертификата в хранилище доверенных сертификатов такой же, как и для хранилища ключей, как показано выше. Единственные различия:

  • Когда вы загружаете новый сертификат в новое хранилище доверенных сертификатов, имя псевдонима не имеет значения для хранилищ доверенных сертификатов.
  • Если сертификат является частью цепочки, вам необходимо либо создать один файл, содержащий все сертификаты, и загрузить этот файл под один псевдоним, либо загрузить все сертификаты в цепочке отдельно в хранилище доверенных сертификатов, используя разные псевдонимы для каждого сертификата.

Если вы используете прямые имена своих хранилищ ключей и хранилищ доверенных сертификатов:

  1. Загрузите новый сертификат в хранилище доверенных сертификатов, как описано в разделе «Хранилища ключей и хранилища доверенных сертификатов» . Старый сертификат удалять не нужно.
  2. Для виртуального хоста, используемого входящим соединением, то есть запросом API к Edge, перезапускайте маршрутизаторы по одному.
  3. Для целевой конечной точки/целевого сервера, используемого исходящими соединениями, то есть от Apigee к внутреннему серверу, перезапускайте пограничные процессоры сообщений по одному.
  4. Убедитесь, что ваше новое хранилище доверенных сертификатов работает правильно.
,

Вы просматриваете документацию Apigee Edge .
Перейдите к документации Apigee X. информация

Метод, который вы используете для указания имени хранилища ключей и хранилища доверенных сертификатов на виртуальном хосте или целевой конечной точке/целевом сервере, определяет, как вы выполняете обновление сертификата. Вы можете указать имя хранилища ключей и хранилища доверенных сертификатов, используя:

  • Рекомендации - желательно
  • Прямые имена
  • Переменные потока

Каждый из этих методов по-разному влияет на процесс обновления сертификата, как описано в следующей таблице.

Тип конфигурации Как обновить/заменить сертификат Как обновить виртуальный хост, целевую конечную точку/целевой сервер
Ссылка (рекомендуется) Для хранилища ключей создайте новое хранилище ключей с новым именем и псевдонимом с тем же именем , что и у старого псевдонима.

Для хранилища доверенных сертификатов создайте хранилище доверенных сертификатов с новым именем .

 Обновите ссылку на хранилище ключей или хранилище доверенных сертификатов.

Перезапуск маршрутизатора или процессора сообщений не требуется.

Переменные потока (только целевая конечная точка) Для хранилища ключей создайте новое хранилище ключей с новым именем и псевдонимом с тем же именем или с новым именем.

Для хранилища доверенных сертификатов создайте хранилище доверенных сертификатов с новым именем .

 Передавайте обновленную переменную потока при каждом запросе с именем нового хранилища ключей, псевдонима или хранилища доверенных сертификатов.

Перезапуск маршрутизатора или процессора сообщений не требуется.

Прямой Создайте новое хранилище ключей, псевдоним и хранилище доверенных сертификатов. Обновите виртуальный хост и перезапустите маршрутизаторы.

Если хранилище доверенных сертификатов используется целевой конечной точкой или целевым сервером, повторно разверните прокси.

Прямой Удалите хранилище ключей или хранилище доверенных сертификатов и воссоздайте его с тем же именем. Обновление виртуального хоста не требуется, перезапуск маршрутизатора не требуется. Однако запросы API не выполняются, пока не будут установлены новое хранилище ключей и псевдоним.

Если хранилище ключей используется для двустороннего TLS между Edge и внутренней службой, перезапустите процессоры сообщений.

Прямой Только для хранилища доверенных сертификатов: загрузите в хранилище доверенных сертификатов новый сертификат. Если хранилище доверенных сертификатов используется виртуальным хостом, перезапустите маршрутизаторы.

Если хранилище доверенных сертификатов используется целевой конечной точкой или целевым сервером, перезапустите процессоры сообщений.

Тестирование сертификата до и после обновления

Используйте следующие команды openssl , чтобы проверить текущий сертификат перед его обновлением:

echo | openssl s_client -servername hostAlias -connect hostAlias.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

Где hostAlias ​​— псевдоним виртуального хоста или IP-адрес. Например:

echo | openssl s_client -servername api.myCompany.com -connect api.myCompany.com:443 2>/dev/null | openssl x509 -noout -dates -subject

Вы должны увидеть вывод в форме:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

Используйте ту же команду после обновления сертификата, чтобы проверить его.

Обновление сертификата TLS в хранилище ключей

Для локального развертывания Edge:

  1. Создайте новое хранилище ключей и загрузите сертификат и ключ, как описано в разделе «Хранилища ключей и хранилища доверенных сертификатов» . В новом хранилище ключей убедитесь, что вы используете то же имя для псевдонима ключа, которое использовалось в существующем хранилище ключей.

    Примечание . Вы можете удалить текущее хранилище ключей и создать новое с тем же именем и псевдонимом. Перезапуск маршрутизатора не требуется. Однако запросы API не выполняются, пока не будут установлены новое хранилище ключей и псевдоним.
  2. Для виртуального хоста, используемого входящим соединением, то есть запроса API в Edge:
    1. Если ваш виртуальный хост использует ссылку на хранилище ключей, обновите ссылку, как описано в разделе «Работа со ссылками» .
    2. Если ваш виртуальный хост использует прямое имя хранилища ключей:
      1. Обновите все виртуальные хосты, которые ссылались на старое хранилище ключей и псевдоним ключа, чтобы они ссылались на новое хранилище ключей и псевдоним ключа.
      2. Перезапустите маршрутизаторы по одному. Обратите внимание: если вы удалили старое хранилище ключей и создали новое хранилище ключей с тем же именем, перезапуск маршрутизатора не требуется.

        Перераспределение прокси не требуется.
  3. Для целевой конечной точки/целевого сервера, используемого исходящими соединениями, то есть от Apigee к внутреннему серверу:
    1. Если целевая конечная точка/целевой сервер использует ссылки на хранилище ключей, обновите ссылку, как описано в разделе Работа со ссылками . Перераспределение прокси не требуется.
    2. Если целевая конечная точка/целевой сервер использует переменную потока, обновите переменную потока. Перераспределение прокси не требуется.
    3. Если целевая конечная точка/целевой сервер использует прямое имя хранилища ключей:
      1. Обновите конфигурацию целевой конечной точки/целевого сервера для всех прокси-серверов API, которые ссылались на старое хранилище ключей и псевдоним ключа, чтобы они ссылались на новое хранилище ключей и псевдоним ключа.
      2. Для любых прокси-серверов API, которые ссылаются на хранилище ключей из определения TargetEndpoint, необходимо повторно развернуть прокси-сервер.

        Если TargetEndpoint ссылается на определение TargetServer, а определение TargetServer ссылается на хранилище ключей, то повторное развертывание прокси-сервера не требуется.
      3. Если хранилище ключей используется для двустороннего TLS между Edge и внутренней службой, и вы удалили/воссоздали хранилище ключей с тем же именем, необходимо перезапустить пограничные процессоры сообщений.
  4. Убедившись, что ваше новое хранилище ключей работает правильно, удалите старое хранилище ключей с просроченным сертификатом и ключом, как описано выше.

Обновите сертификат TLS в хранилище доверенных сертификатов.

Если вы используете ссылки на хранилище доверенных сертификатов, процесс обновления сертификата в хранилище доверенных сертификатов такой же, как и для хранилища ключей, как показано выше. Единственные различия:

  • Когда вы загружаете новый сертификат в новое хранилище доверенных сертификатов, имя псевдонима не имеет значения для хранилищ доверенных сертификатов.
  • Если сертификат является частью цепочки, вам необходимо либо создать один файл, содержащий все сертификаты, и загрузить этот файл под один псевдоним, либо загрузить все сертификаты в цепочке отдельно в хранилище доверенных сертификатов, используя разные псевдонимы для каждого сертификата.

Если вы используете прямые имена своих хранилищ ключей и хранилищ доверенных сертификатов:

  1. Загрузите новый сертификат в хранилище доверенных сертификатов, как описано в разделе «Хранилища ключей и хранилища доверенных сертификатов» . Старый сертификат удалять не нужно.
  2. Для виртуального хоста, используемого входящим соединением, то есть запросом API к Edge, перезапускайте маршрутизаторы по одному.
  3. Для целевой конечной точки/целевого сервера, используемого исходящими соединениями, то есть от Apigee к внутреннему серверу, перезапускайте пограничные процессоры сообщений по одному.
  4. Убедитесь, что ваше новое хранилище доверенных сертификатов работает правильно.