Private Cloud için bir TLS sertifikası güncelleme

Apigee Edge belgelerini görüntülüyorsunuz.
. Git: Apigee X belgeleri. bilgi

Sanal ana makinedeki anahtar deposunun ve güven deposunun adını belirtmek için kullandığınız yöntem veya hedef uç nokta/hedef sunucu, sertifika güncellemesini nasıl gerçekleştireceğinizi belirler. Her bir URL'yi belirtmek için şunu kullanarak anahtar deposu ve güven deposunun adını girin:

  • Referanslar - tercih edilen
  • Doğrudan adlar
  • Akış değişkenleri

Bu yöntemlerin her birinin, sertifika güncelleme sürecinde farklı sonuçları vardır: aşağıdaki tabloda bulabilirsiniz.

Yapılandırma türü Sertifikaları güncelleme veya değiştirme Sanal ana makine, hedef uç nokta/hedef sunucuyu güncelleme
Referans (önerilir) Anahtar deposu için yeni bir ad ve aynı ada sahip olmalıdır.

Truststore için yeni adla bir güven deposu oluşturun.

 Referansı anahtar deposuna veya güven deposuna güncelleyin.

Yönlendiricinin veya İleti İşlemcinin yeniden başlatılması gerekmez.
Akış değişkenleri (yalnızca hedef uç nokta) Anahtar deposu için yeni bir ad ve aynı ad veya yeni bir adla değiştirin.

Truststore için yeni adla bir güven deposu oluşturun.

 Her istekte yeni anahtar deposunun adını, takma adı veya güven deposu.

Yönlendiricinin veya İleti İşlemcinin yeniden başlatılması gerekmez.
Doğrudan Yeni bir anahtar deposu, takma ad, güven deposu oluşturun. Sanal ana makineyi güncelleyip Yönlendiricileri yeniden başlatın.

Truststore bir hedef uç nokta/hedef sunucu tarafından kullanılıyorsa proxy'yi yeniden dağıtın.
Doğrudan Anahtar deposunu veya güven deposunu silin ve aynı adla yeniden oluşturun. Sanal ana makine güncellemesi gerekmez ve yönlendiricinin yeniden başlatılması gerekmez. Ancak API istekleri başarısız olur yeni anahtar deposu ve takma ad ayarlanana kadar bekleyin.

Anahtar deposu, Edge ile arka uç hizmeti arasındaki iki yönlü TLS için kullanılıyorsa yeniden başlatın yani Mesaj İşleyicileri var.
Doğrudan Yalnızca Trustedstore için güven deposuna yeni bir sertifika yükleyin. Truststore, bir sanal ana makine tarafından kullanılıyorsa Yönlendiricileri yeniden başlatın.

Truststore bir hedef uç nokta/hedef sunucu tarafından kullanılıyorsa Message İşlemciler.

Sertifikayı sertifikanın geçerlilik süresinden önce güncelle

Güncellemeden önce mevcut sertifikayı test etmek için aşağıdaki openssl komutlarını kullanın şunları sağlar:

echo | openssl s_client -servername hostAlias -connect hostAlias.apigee.net:443 2>/dev/null | openssl x509 -noout -dates -subject

Burada hostAlias, sanal ana makinenin veya IP adresinin ana makine takma adıdır. Örneğin:

echo | openssl s_client -servername api.myCompany.com -connect api.myCompany.com:443 2>/dev/null | openssl x509 -noout -dates -subject

Çıkış şu şekilde görünmelidir:

notBefore=Dec 30 22:11:38 2015 GMT
notAfter=Dec 30 22:11:38 2016 GMT
subject= /OU=Domain Control Validated/CN=*.apigee.net

Sertifikayı güncelledikten sonra test etmek için aynı komutu kullanın.

Anahtar deposunda TLS sertifikası güncelleme

Edge'in şirket içi dağıtımı için:

  1. Yeni bir anahtar deposu oluşturun ve şurada açıklandığı gibi bir sertifika ve anahtar yükleyin: Anahtar depoları ve Truststore'lar. Yeni anahtar deposunda, anahtar takma adı için mevcut anahtar deposundan farklıdır.
    .
    . Not: Geçerli anahtar deposunu silebilir ve aynı ile yeni bir anahtar deposu oluşturabilirsiniz. ekleyebilirsiniz. Yönlendiricinin yeniden başlatılması gerekmez. Ancak yeni anahtar deposuna kadar API istekleri başarısız olur ve takma adlar ayarlandı.
  2. Gelen bağlantılar tarafından kullanılan sanal ana makine için (API isteği anlamına gelir) Edge'e:
    1. Sanal ana makineniz anahtar deposuna yönelik bir referans kullanıyorsa referansı şu şekilde güncelleyin: daha fazla bilgi için kullanın.
    2. Sanal ana makineniz anahtar deposunun doğrudan adını kullanıyorsa:
      1. Eski anahtar deposuna ve anahtar takma adına referans veren sanal ana makineleri şu şekilde güncelleyin: yeni anahtar deposuna ve anahtar takma adına referansta bulunur.
      2. Yönlendiricileri tek tek yeniden başlatın. Eski anahtar deposunu silerseniz ve aynı adla yeni bir anahtar deposu oluşturursa Yönlendirici'nin yeniden başlatılması gerekmez.
        .
        . Proxy yeniden dağıtımı gerekmez.
  3. Giden bağlantılar tarafından kullanılan hedef uç nokta/hedef sunucu için, yani Apigee'den arka uç sunucusuna aktarmak için kullanabilirsiniz:
    1. Hedef uç nokta/hedef sunucu, anahtar deposuna ilişkin bir referans kullanıyorsa Referanslarla çalışma bölümünde açıklandığı gibi referans olarak kabul edilir. Proxy yeniden dağıtımı gerekmez.
    2. Hedef uç nokta/hedef sunucu bir akış değişkeni kullanıyorsa akış değişkenini güncelleyin. Sıra No: proxy'nin yeniden dağıtımı gerekir.
    3. Hedef uç nokta/hedef sunucu, anahtar deposunun doğrudan bir adını kullanıyorsa:
      1. Aşağıdaki tüm API proxy'leri için hedef uç nokta/hedef sunucu yapılandırmasını güncelleyin: Yeni anahtar deposuna ve anahtara referans vermek için eski anahtar deposuna ve anahtar takma adına başvuruda bulundu takma ad'dır.
      2. TargetEndpoint tanımından anahtar deposuna referans veren API proxy'leri için proxy'yi yeniden dağıtmanız gerekir.
        .
        . TargetEndpoint bir TargetServer tanımına referans veriyorsa ve TargetServer anahtar deposuna referans veriyorsa proxy'nin yeniden dağıtımı gerekmez.
      3. Anahtar deposu, Edge ile arka uç hizmeti arasındaki iki yönlü TLS için kullanılıyorsa ve aynı adla anahtar deposunu sildiyseniz/yeniden oluşturduysanız Edge'i yeniden başlatmanız gerekir Mesaj İşleyiciler.
  4. Yeni anahtar deponuzun düzgün çalıştığını onayladıktan sonra eski anahtar deponuzu silin anahtar deposunu kullanarak, yukarıda açıklandığı şekilde süresi dolmuş sertifika ve anahtarla değiştirin.

Truststore'da TLS sertifikasını güncelleme

Truststore için referanslar kullanıyorsanız güven deposunda bir sertifikayı güncelleme işlemi yukarıda gösterildiği gibi anahtar deposu için aynıdır. Tek fark:

  • Yeni sertifikayı yeni güven deposuna yüklediğinizde takma ad adı güven depoları.
  • Sertifika bir zincirin parçasıysa yüklemeli ve bu dosyayı tek bir takma ada yüklemeli ya da zincirdeki tüm sertifikaları ayrı ayrı güven deposunda istenen her sertifika için farklı bir takma ad kullanmanızı öneririm.

Anahtar depolarınızın ve güven depolarınızın doğrudan adlarını kullanıyorsanız:

  1. Truststore'a, aşağıda açıklandığı şekilde yeni bir sertifika yükleyin Anahtar depoları ve Truststore'lar. Eski sertifikayı silmeniz gerekmez.
  2. Gelen bağlantılar tarafından kullanılan sanal ana makine için (API isteği anlamına gelir) Yönlendiricileri tek tek yeniden başlatın.
  3. Giden bağlantılar tarafından kullanılan hedef uç nokta/hedef sunucu için bir arka uç sunucusuna aktarmak istiyorsanız Uç Mesaj İşlemcilerini tek seferde gerekir.
  4. Yeni Trustedstore'unuzun düzgün çalıştığını onaylayın.