Private Cloud için bir TLS sertifikası güncelleme

Apigee Edge belgelerini görüntülüyorsunuz.
Apigee X belgelerine gidin. bilgi

Sanal ana makinede veya hedef uç noktadaki/hedef sunucuda anahtar deposu ve güven deposunun adını belirtmek için kullandığınız yöntem, sertifika güncellemesini nasıl gerçekleştireceğinizi belirler. Anahtar deposunun ve güven deposunun adını aşağıdakileri kullanarak belirtebilirsiniz:

  • Referanslar (tercih edilen)
  • Doğrudan isimler
  • Akış değişkenleri

Bu yöntemlerin her birinin, aşağıdaki tabloda açıklandığı gibi sertifika güncelleme işleminde farklı sonuçları vardır.

Yapılandırma türü Sertifika güncelleme/değiştirme Sanal ana makine, hedef uç nokta/hedef sunucu nasıl güncellenir?
Referans (önerilir) Bir anahtar deposu için yeni bir ada ve eski takma adla aynı ada sahip bir takma adla yeni anahtar deposu oluşturun.

Truststore için yeni bir ada sahip bir güven deposu oluşturun.

 Referansı anahtar deposu veya güven deposu olarak güncelleyin.

Yönlendiricinin veya Mesaj İşleyicinin yeniden başlatılmasına gerek yoktur.
Akış değişkenleri (yalnızca hedef uç nokta) Anahtar deposu için yeni bir adla ve aynı ada veya yeni bir ada sahip bir takma adla yeni anahtar deposu oluşturun.

Truststore için yeni bir ada sahip bir güven deposu oluşturun.

 Her istekte yeni anahtar deposu, takma ad veya güven deposunun adıyla güncellenmiş akış değişkenini iletin.

Yönlendiricinin veya Mesaj İşleyicinin yeniden başlatılmasına gerek yoktur.
Doğrudan Yeni bir anahtar deposu, takma ad veya güven deposu oluşturun. Sanal ana makineyi güncelleyin ve Yönlendiricileri yeniden başlatın.

Truststore bir hedef uç nokta/hedef sunucu tarafından kullanılıyorsa proxy'yi yeniden dağıtın.
Doğrudan Anahtar deposunu veya güven deposunu silin ve aynı adla yeniden oluşturun. Sanal ana makine güncellemesi ve yönlendiricinin yeniden başlatılması gerekmez. Ancak yeni anahtar deposu ve takma ad ayarlanana kadar API istekleri başarısız olur.

Anahtar deposu, Edge ile arka uç hizmeti arasında iki yönlü TLS için kullanılıyorsa Mesaj İşleyicileri'ni yeniden başlatın.
Doğrudan Yalnızca güven deposu için güven deposuna yeni bir sertifika yükleyin. Truststore, bir sanal ana makine tarafından kullanılıyorsa Yönlendiricileri yeniden başlatın.

Truststore bir hedef uç nokta/hedef sunucu tarafından kullanılıyorsa Mesaj İşleyicileri'ni yeniden başlatın.

Sertifikayı güncellemeden önce ve sonra test etme

Geçerli sertifikayı güncellemeden önce test etmek için aşağıdaki openssl komutlarını kullanın:

echo | openssl s_client -servername hostAlias -connect hostAlias.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

Burada hostAlias, sanal ana makinenin veya IP adresinin ana makine takma adıdır. Örneğin:

echo | openssl s_client -servername api.myCompany.com -connect api.myCompany.com:443 2>/dev/null | openssl x509 -noout -dates -subject

Çıkışı şu biçimde görmeniz gerekir:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

Sertifikayı güncelledikten sonra test etmek için aynı komutu kullanın.

Anahtar deposunda TLS sertifikası güncelleme

Edge'in şirket içi dağıtımı için:

  1. Anahtar depoları ve güven depoları bölümünde açıklandığı gibi yeni bir anahtar deposu oluşturun ve bir sertifika ile anahtar yükleyin. Yeni anahtar deposunda, anahtar takma adı için mevcut anahtar deposunda kullanılanla aynı adı kullandığınızdan emin olun.

    Not: Geçerli anahtar deposunu silip aynı ad ve takma adla yeni bir depo oluşturabilirsiniz. Yönlendiricinin yeniden başlatılması gerekmez. Ancak yeni anahtar deposu ve takma ad ayarlanana kadar API istekleri başarısız olur.
  2. Gelen bağlantılar tarafından kullanılan sanal ana makine için, yani Edge'e yapılan bir API isteği için:
    1. Sanal ana makineniz anahtar deposuna bir başvuru kullanıyorsa referansı, Referanslarla çalışma bölümünde açıklandığı gibi güncelleyin.
    2. Sanal ana makineniz anahtar deposunun doğrudan adını kullanıyorsa:
      1. Eski anahtar deposuna ve anahtar takma adına başvuran sanal ana makineleri, yeni anahtar deposuna ve anahtar takma adına başvuracak şekilde güncelleyin.
      2. Yönlendiricileri birer birer yeniden başlatın. Eski anahtar deposunu sildiyseniz ve aynı adla yeni bir anahtar deposu oluşturduysanız Yönlendiricinin yeniden başlatılmasına gerek olmadığını unutmayın.

        Proxy yeniden dağıtımı gerekmez.
  3. Giden bağlantılar tarafından kullanılan hedef uç nokta/hedef sunucu için, yani Apigee'den arka uç sunucusuna uzanan:
    1. Hedef uç nokta/hedef sunucu, anahtar deposuna bir referans kullanıyorsa referansı, Referanslarla çalışma bölümünde açıklandığı şekilde güncelleyin. Proxy yeniden dağıtımına gerek yoktur.
    2. Hedef uç nokta/hedef sunucu bir akış değişkeni kullanıyorsa akış değişkenini güncelleyin. Proxy yeniden dağıtımı gerekmez.
    3. Hedef uç nokta/hedef sunucu, anahtar deposunun doğrudan adını kullanıyorsa:
      1. Yeni anahtar deposuna ve anahtar takma adına başvuruda bulunan eski anahtar deposuna ve anahtar takma adına başvuran tüm API proxy'leri için hedef uç nokta/hedef sunucu yapılandırmasını güncelleyin.
      2. TargetEndpoint tanımından anahtar deposuna referans veren API proxy'leri için proxy'yi yeniden dağıtmanız gerekir.

        TargetEndpoint bir TargetServer tanımına ve TargetServer tanımı anahtar deposuna başvuruda bulunuyorsa proxy'nin yeniden dağıtımına gerek yoktur.
      3. Anahtar deposu, Edge ile arka uç hizmeti arasında iki yönlü TLS için kullanılıyorsa ve anahtar deposunu aynı adla sildiyseniz/yeniden oluşturduysanız Uç Mesaj İşleyicileri'ni yeniden başlatmanız gerekir.
  4. Yeni anahtar deponuzun doğru şekilde çalıştığını onayladıktan sonra, süresi dolmuş sertifika ve anahtara sahip eski anahtar deposunu yukarıda açıklandığı şekilde silin.

Güven deposunda TLS sertifikası güncelleme

Güven deposuna referanslar kullanıyorsanız sertifika deposundaki sertifika güncelleme işlemi, yukarıda gösterilen anahtar deposundakiyle aynıdır. Tek fark:

  • Yeni sertifikayı yeni güven deposuna yüklediğinizde takma ad adı, güven depoları için önemli olmaz.
  • Bir sertifika bir zincirin parçasıysa tüm sertifikaları içeren tek bir dosya oluşturup bu dosyayı tek bir takma ada yüklemeniz veya zincirdeki tüm sertifikaları, her sertifika için farklı bir takma ad kullanarak güven deposuna ayrı olarak yüklemeniz gerekir.

Anahtar depolarınızın ve güven depolarınızın doğrudan adlarını kullanıyorsanız:

  1. Anahtar depoları ve güven depoları bölümünde açıklandığı gibi güven deposuna yeni bir sertifika yükleyin. Eski sertifikayı silmenize gerek yoktur.
  2. Gelen bağlantılar (yani Edge'e yapılan bir API isteği) tarafından kullanılan sanal ana makine için Yönlendiricileri teker teker yeniden başlatın.
  3. Giden bağlantılar tarafından kullanılan hedef uç nokta/hedef sunucu için, yani Apigee'den arka uç sunucusuna yönelik olarak Edge Mesaj İşleyicilerini birer birer yeniden başlatın.
  4. Yeni güven deponuzun doğru şekilde çalıştığını onaylayın.